どうしてJTBのような大企業から情報が漏れたのか?? １から解説します

６月１４日、JTBは記者会見を開き、社内コンピュータシステムがウイルスに感染して顧客情報が外部に漏えいしたおそれがある、と発表しました。その件数は793万件に及ぶということです。報道によれば、この漏えい事件は「標的型攻撃」によるウイルス感染が原因でした。

結果の重大性で話題になっていますが、多くの方が「どうしてそんなことになったの?」　「どうしたら防げるの?」　「自分もそうなってしまうことはないの?」　ということに関心を寄せていらっしゃいますね。パソコン教室でお話していて、実際の「標的型攻撃」の全体像、どうしたら防げるか、といった部分は、まだまだ広く知られていないと感じます。

そこで今日は、パソコン初心者の方にもわかるように、コンピュータウイルスについて、そして「標的型攻撃」について解説してみたいと思います。

そもそも「コンピュータウイルス」って何?

まずは、このお話からです。「ウイルスって何?」

コンピュータウイルスというのは、ぶっちゃけて言いますと、コンピュータソフトの一種です。

えっ!?　と思う方もいらっしゃるかもしれませんが、そうなんです。皆さんがふだん使っている、ワード、エクセルや、ゲームソフトなんかと同じ、コンピュータソフトの一種です。

例えば、メールソフトだったら、「自分が送りたいメールを、送りたい相手に、送りたい時に」、送ってくれますね。

これを、「自分が送りたくもないメールを、知らない相手に、知らない間に」送ってしまうソフトがあったとしたら、これはもうコンピュータウィルスなんです。

しかも、ウイルスは「インストールしたくもないのに勝手にインストール」されます。だから、それを防ぐための対策が必要なのです。

ウイルスが「勝手にインストールされる」その手口を知っておきましょう

それでは、どうして「勝手にインストールされる」ということが起こるのでしょうか?

1.勝手に送りつけられたメールの添付ファイルを開いてしまう

ウイルスを作る攻撃者側は、ウイルスをインストールするための「実行ファイル」をメールに添付して、世界中にばらまいています。

例えば、当店ホームページのアドレスは　https://curio-shiki.com/ ですが、これを発見した攻撃者は「aaa@curio-shiki.com」から「zzzz・・・zzz@curio-shiki.com」まで、順番にa～zを組み合わせたメールアドレスを自動で生成し、どんどんメールを送ります。

ほとんどのメールは「そんなアドレスはありません」というエラーとともに返却されますが、ひとつだけ「info@curio-shiki.com」という当店の問い合わせアドレスに該当し、当店までメールが届いてしまうのです。

「curio-shiki.com」という名前(ドメインといいます)は当店しか使用していませんので、ひとつしかメールアドレスがヒットしません。では「gmail.com」「yahoo.co.jp」「docomo.ne.jp」「ezweb.ne.jp」「softbank.jp」ではどうでしょうか?? アルファベット順に何千万件もメールを送れば、おそらく数万件はメールが正しく届いてしまいますね。もしかしたらあなたにも???

あるいは、どこかから流出したリストを元に、的確に送ってくるウイルスメールもあります。

そして、ウイルスメールにはたいてい、「添付ファイル」がついています。多くの場合は、よくわからない英語の名前だったりするので、それを開いてみる人はほとんどいません。でも、攻撃者は「なるべく開いてしまいそうな名前」をつけようと努力しているので、最近は区別がつきにくくなっています。

そんな添付ファイルがあったら、大量のメールを整理していて、「ついうっかり」ウイルスメールの添付ファイルを開いてしまう人が、数万人に一人ぐらいはいるかもしれませんよね!?

攻撃者はそれを狙っているのです。そして一度うっかり開いてしまえば、ウイルスがパソコンにインストールされ、いろいろと大変なことが起こってしまうのです。

注意していただきたいのは、「メールの送信元は簡単に偽装できる」ということです。実際のメール送信元とは違うアドレスを、メールの「送信元」とか「from」の項目に表示することが、簡単にできてしまうんです。

例えば筆者のもとに、送った覚えのないメールが「届かなかった」というエラーがきたことがあります。内容を解析しますと、なんと、レバノン国内の接続業者を介して、差出人のアドレスとして私のアドレスを使った偽装メールが、アメリカに向けて大量に送信されていたことが分かりました。

単に「送信元」という欄に適当なアドレスを入れて送るだけなので、このような偽装は非常に容易です。

ですので、知り合いから来たようなメールであっても、内容が不審であれば偽装の可能性がありますから、開いてはならないのです。開く前に、必ず「本当に送ったかどうか」本人に確認をしてください。

2.ウェブサイトに仕込まれたウイルスに感染する

もうひとつ、これが危険なのですが、ウェブサイト(ホームページ)を見ただけでインストールされてしまうウイルスが存在します。

ウェブサイトには、さまざまな「飾り」をつけたり「動き」をつけるために、内部にプログラム(「スクリプト」)を埋め込む機能があります。例えば、何もインストールしなくてもウェブ上で遊べるゲームがあったりしますね。これらは全て、ウェブサイト上にプログラムが仕込んであって、開くだけで動き出すようになっています。

このプログラム機能が、ウイルスに悪用される場合があるのです。ウイルスも、コンピュータソフトの一種ですから、同じ方法で仕込むことができます。ただウイルスが違うのは、「普通は書き換え不可の部分を書き換えてしまう」こと。そのために、ウェブサイトを見るのに使う「Internet Explorer」などのブラウザの、「セキュリティー上の穴」=「脆弱性」を利用したプログラムになっているんです。

最近は、ウェブサイトだけでなく、メールにもいろいろ飾りがついてきれいなのがありますね。「HTMLメール」といって、あれもウェブサイトと同じ技術を使っています。この場合、添付ファイルを開かなくても「メールの本文をちらっと見ただけで感染する」ということがありうるのです。

3.偽のウイルス対策ソフトをインストールしろという画面を表示する

最近増えてきたのがこのタイプです。どこかのウェブサイトを見ていると、突然画面の真ん中に「注意!!　ウイルス感染の恐れがあります。いますぐ無料でウイルス対策をインストール!」などという表示が出てきます。

こういう画面は絶対にクリックしてはいけません。これ自体が100%ウイルスです。

スマホでも同様です。「スマホの動作が重い?　いますぐ無料で軽くする」といった画面は、「スマホの動きを軽くする機能も備えた偽装ウイルス」のことがあります。インストールすると、スマホは軽くなりますがアドレス帳が全部流出していた、ということもあります。

ウイルス対策ソフトは、必ず信頼できるメーカーサイトからダウンロードするか、電気屋さんの店頭で購入しましょう。

JTBがやられた「標的型攻撃」って何?

今回JTBに対して行われたのは、ただのウイルスではなくて、「標的型攻撃」でした。これは一体何でしょうか?

「標的型攻撃」=ウイルスのバラまきではなく、特定のターゲットに確実に感染させる手法

「標的型攻撃」というのは、狙った特定のターゲットに確実にウイルスを感染させる手法のウイルス攻撃のことです。

従来のウイルスは、上で解説したようなさまざまな方法で、不特定多数にばら撒かれる手法が主でした。これに対して「標的型攻撃」は、特定のターゲットに確実に感染させ、欲しい情報を確実に抜き取る、または破壊するための手口として発達しているものです。

ウイルス対策が進んで、攻撃側は「一発勝負」になっている

ウイルスを作る側から見ると、ウイルスに感染させることが非常に困難になっています。

多くの会社・機関、そして個人が、セキュリティ対策の重要性を認識し、ウイルスがインストールされるのを防ぐ手立てを講じるようになってきました。それとともに、一度出現したウイルスに対して素早く対策ソフトが作られ、インターネットで世界中に配信されるようになりました。

つまり、攻撃する側からしたら、「毎回、誰も知らない最新型のウイルスを作る必要がある」そして「目的のところに感染する前には、作ったウイルスをできるだけ外に出したくない」という状況になっているのです。

例えば攻撃者が、JTBの顧客情報を狙っているとします。内部の情報を抜き取るには、JTBのコンピュータにウイルスをインストールしないといけません。

でも、目的のJTBに行き着く前に、いろんなコンピュータに感染させていたらどうでしょうか?　感染したコンピュータの対策過程で、せっかく作った新種のウイルスの情報が、セキュリティー会社に流れてしまい、１日ぐらいで対策を完了されてしまいます。JTBに行き着いたころには、もうJTBで使っているウイルス対策ソフトが検知して、駆除してしまう状態になっています。これでは侵入できませんね。

長期間、周到な準備をして、「巧妙なニセメール」を送信

そこで攻撃者側は、おそらく１年以上かけて準備をします。

JTBの社員がやりとりするメールを傍受して、「どんな社員がいるか」「どんな言葉を使っているか」「誰からメールが届いているか」という情報を蓄積します。

インターネットというのは、「たくさんのコンピュータを経由しながら、世界中のどことでも通信できる技術」ですので、自分の送受信するメールを傍受されることは、仕方がない面があるのです。経由地のコンピュータの管理者か、またはそれを乗っ取った攻撃者であれば、簡単に通過するメールの内容をすべて知ることができます。

(対策として、メールを暗号化する技術が広く使われるようになっています。今ご覧のブラウザの一番上のところ、当店ホームページのアドレスが、「http://」ではなく、「https://」になっているのが分かりますでしょうか? これは、今ご覧になっているブログとの通信が暗号化されている印です。)

こうしたメール傍受によって、十分にデータが集まったら、「JTB社内でごく普通にやりとりされているメールに、そっくりのニセメール」を作り、「多くの社員が開きそうな添付ファイルに偽装したウイルス」を添付します。

今回の事例で言いますと、「取引先の航空会社の、架空の社員」を装ったメールに、「電子航空券の控えに似せたウイルス」が添付されていたそうです。添付ファイルの名前は、「E-TKT控え」となっていて、JTB社内ではしばしば使われるファイル名だったそうです。

ウイルスメールは高度化していて、パッと見ただけでは気づきにくくなっています。最近も、「日本郵便」や「ヤマト運輸」を偽装したウイルスメールが大量に出回りましたが、かなり精巧に作られています。

高度化する「ファイル偽装」

添付ファイルの偽装も高度化しています。ウイルスをインストールするファイルは、「実行ファイル」である必要があるのですが、パッと見た目が「実行ファイル」だと、最近は怪しんで実行してもらえません。そこで攻撃者は、「実行ファイル」なのに、パッと見た目はただのPDFに見えるファイルを作ったりするのです。

今回のJTBの事件でも、このようなPDF偽装ファイルが使われていたと報道されています。一見普通のPDFなのですが、ファイルの種別が「実行ファイル」と表示されていたそうです。

「標的型攻撃」に対する、最新の防御策

このような「標的型攻撃」が、最近頻繁に行われるようになってきました。標的は主に、官庁や大きな会社です。(もちろん今後、個人が狙われる可能性は大いにあります。これについては次の項目でご説明します)

今この瞬間も、誰かが攻撃のための情報収集をしていると思われます。手をこまねいていたら、どんな情報でも抜き出されてしまいます。

そこで、多くの会社や官庁では、次のような防御策が行われるようになっています。

感染しないための対策

外部から届くメールを自動的に検査する
メールのやり取りを暗号化して、傍受されても読めないようにする
端緒となるメールを開かないための社員教育
開いてもウイルス感染が広がらない安全なコンピュータを用意して、「試しに開いて検査する」
実行ファイルは開けないように設定する

感染した場合の対策

自社のコンピュータが知らないコンピュータと通信していないか常時監視する
不審な通信が確認されたら、一瞬で自動的にネットから切断し、情報漏えいを止める
最初に感染したコンピュータを、自動的にほかのコンピュータから切断する
最初から感染が広がりにくいようなシステムを構築する

これらの対策は、どの一つをとっても完ぺきではないが、すべての対策を行うことでほぼ確実に被害を防げる、という考え方のもとに行われています。この考え方を「多層防御」といいます。

特に「標的型攻撃」の場合、広く知られたウイルスではなく、新種のウイルスが使われるため、感染前の検知が非常に困難です。検知できるに越したことはありませんが、ウイルスに感染することまでは仕方がない面がどうしても残るのです。

そこで現在、各企業は、「感染しても情報漏えいを止められる」対策に重心を移しつつあります。

今回のJTB情報漏えいの問題点も、そこにあります。いろんな対策をしたのに、感染は止められなかった。しかし問題は、感染が判明した3/15から、すべての不審な通信を遮断した3/25まで、10日もかかっていることにあります。実際にデータが抜き取られたのは、残された記録からみて3/21ごろということなので、即座に全ネットワークをいったん遮断していれば、流出は避けられたことになります。

個人のレベルで「標的型攻撃」に狙われる可能性はある?

それでは、個人のレベルで「標的型攻撃」に狙われる可能性はあるのでしょうか? 残念ながら、「ある」と言わざるを得ません。

「そんなに大事な情報なんて持ってないのに??」と思われるかもしれませんが、あなたのパソコンが「大きな標的を攻撃するための踏み台」として利用される可能性があるのです。

攻撃を行う側は、

自分の居場所を悟られたくない
ひとつの攻撃ルートが封鎖されても、別のルートから攻撃を継続したい

と考えています。この目的で、個人のパソコンが乗っ取られ、悪用された例があるのです。

パソコン遠隔操作事件(Wikipediaの記事)

この事件では、自分のパソコンを乗っ取られて利用されたあげく、真犯人と間違われて誤認逮捕までされてしまいました。

ですので、やはり対策は必要なのです。

個人でできる「標的型攻撃」対策

個人のレベルでしたら、ウイルスバスター、ノートン、カスペルスキーなどのウイルス対策ソフトを買ってきてインストールし、「常に最新の状態」にしておくことで、対策になります。契約しているインターネット会社が、オプションで安く提供している場合もありますので、確認してみるといいかもしれません。

無料のソフトもたくさんありますが、有料のものと比べると効果はざっと半分くらい。検知できないウイルスがたくさんあります。それに、先程ご紹介した「無料ウイルス対策を偽装したウイルス」もありますので、区別がつきにくいのです。

有料のものでしたら、どれでも99%以上の確率でウイルスを遮断してくれます。未知のウイルスも、内部で動作試験を行ってウイルスと判定する機能が高度に進化しており、さらに、「添付ファイルの自動スキャン」「不審な通信の検知と遮断」など、ある程度の「多層防御」の機能もそなえています。

当店はウイルス対策ソフト各社と提携しているわけでもなんでもありませんが、しっかり防御されるのであれば、ぜひ有料のソフトをきちんと導入することをおすすめします。

Windows自体も常にアップデートして最新の状態に

そして大切なことですが、Windows自体も常にアップデートして、最新の状態にしてください。

全世界の攻撃者が、「Windowsのどこかに、攻撃に使える『穴』がないか??」と、目を皿のようにして毎日探しています。この「穴」を「脆弱性」といいます。

そしてMicrosoftは、毎週この見つかった「穴」をふさぐアップデートを配信しています。

Windowsのパソコンを使っていると、１週間に一回、パソコンのシャットダウンに時間がかかり「更新をインストールしています」と表示されると思います。これは、この防御のための作業がほとんどです。面倒でも、これをきちんとやることが対策になります。

Windowsそのものに加えて

Java
Adobe Flash Player

といった広く使われているソフトも、定期的に更新が入っていると思います。なんだか読んでも意味が分からないとしても、アップデートと言われたら、面倒でもやっておいてくださいね。

どちらの対策も「常にオンラインでアップデートして、最新版にする」というのが非常に重要なところです。世界中で毎日ウイルス感染は発生していますが、その対策過程でウイルスの情報が即座に共有され、対策ソフトが作られ、アップデートによって世界中に同時配信されています。それを毎日取り込むことによって、万一同じウイルスに感染しそうになっても、防ぐことができるようになるのです。