会社での話。
ある官公庁のOBの方が働いていて、その人、現役時代はそれなりに偉かった人。
その人のところに、その官公庁で偉かった人しか入れないOB会を名乗るメールがやってきた。
そのOB会が靖国神社に参拝するスケジュールが添付されて。
もちろん、そのOBの人は、何も考えずにその添付ファイルを開くわけで。
事後にはなんでも言えるけど、日本でも数人しか入る資格がないOB会。
私はOBの採用業務に携わっていたこともあるけど、そんなOB会の存在なんか知らない。
だから、よほどの関係者しか存在を知らない会な訳で、そりゃ、その会を語ったら、普通添付されているファイルなんか何も考えないで開けるわな。
普通の人は、そのメールが送られてくるドメインなんか気にしない。
自分に送られてくるメールをきちんとメールソフトのアドレスに登録している人なんか皆無だから、知らないメールアドレスが送られてきても何も不審に思わない。
官公庁のOB会のように、会社にとってその人のプライベートなものなのか業務なのかわからいにくいものの場合、会社のウィルス対策も、不審添付ファイルという点では全く無力。
ということで、そのひとが開いてしまった添付ファイルは、その官公庁のOBが勤務しするであろう会社を狙ったトロイの木馬攻撃。
ええ、もちろん私の会社も情報をたくさん抜き取られましたよ。
某県警から情報が漏れている可能性の指摘を受けるまで、SEも誰も気づかないという。
添付ファイルをクリックした当人は、自分がウィルスを作動させてしまったということを気づかないどころか、そんなことがあったこと自体も忘れている。
ということで、会社は大騒ぎになりました。
専門業者に調査を依頼して、そのため二何百万も払って。
ちょうど親会社が変わった機会ということもあり、新しく親会社になった会社は、前の親会社の雰囲気を変えたかったこともあったのか、何千万もかけてシステムを入れ替えたりして。
これ、私の会社の話。
私の会社は防衛関連企業で、相当なお金をかけて情報漏洩対策をしていた。
でも、いくらハードウェアで防御しても、抜け穴はあるわけで、特に対人対策はどんなにハードで防御してもどうしようもならない。
官公庁のOBは、採用される時はしおらしくしているけど、慣れてくれば、自分が仕事を持ってきてやっているんだぐらいの慢心となり、いくら最新の情報を教えても全く学ぶ気がないから。
ということで、防衛関連企業を狙ったトロイの木馬攻撃の実情をちょっとだけお話ししました。