これもコロナ禍での攻撃という事なのかも知れません。日経グループの従業員が怪しいメールを踏んだ様です。
www.nikkei.com
日本経済新聞社は12日、日経グループの従業員にコンピューターウイルスが仕込まれた電子メールが送りつけられパソコン1台が感染し、日経と一部のグループ会社・団体の役員・社員やOB、業務委託先社員ら1万2514人分の個人情報が流出したと発表した。
流出したのは8日で、日経のネットワーク端末を利用した社員らの氏名や所属、メールアドレスが含まれていた。取材で得た情報や、読者・顧客の情報は流出していない。
日経はウイルス検知システムを導入するなど対策を講じていたが、新種のウイルスを使ったサイバー攻撃に遭った可能性が高いとみている。現時点で流出した情報の悪用は確認されていない。
(日経新聞記事より引用)
キタきつねの所感
よく記事を見ると、日経新聞の記者さんという事はなく、日経グループの従業員からの漏えいという事の様です。
まず、誤解を恐れずに言えば、これをサイバー攻撃・・・というのはどうかと思います。
※厳密にはサイバー攻撃なのでしょうが、三菱電機やNECらが受けたAPT攻撃とは性質がかなり違うもので、漏えいさえなければ、どの企業でも日常的に飛んできているマルウェア付きメールの範疇な気がします。
「新種のウィルス」とありますが、少しマルウェアの型を変えた添付ファイル付きのフィッシングメールは頻繁に出てきますので、アンチウィルス対策ソフトのパターンファイルが対応しきれてない状態だった、程度の事だったのかと推測します。
今後APT攻撃が行われるとしても、情報が端末1台という感じですので、精々「偵察」活動の段階です。
日経新聞の記事には書いてないのですが、NHKの記事にはもう少しヒントが出ていました。
日経新聞 社員ら1万2000人余の情報流出 サイバー攻撃か | NHKニュース
従業員が受信したフリーメールに添付されていたファイルを開いたところ感染したということで、日本経済新聞社はサイバー攻撃によるものだとしています。
(NHKニュース記事より引用)
漏えいした情報が日経ネットワーク端末利用者の登録情報という事なので、このシステム管理者(又はその補助に当たる方)の端末が攻撃の対象だったとなります。
しかし、そのアカウントを狙った標的型攻撃というより、入手した日経メールアドレスに対して、”引っかかったら儲けもの”という程度で攻撃された可能性の方が高い気がします。
当該従業員がフリーメールからの「添付ファイルを開いてしまった」原因は2つ考えられます。
まず怪しそうなのが、当該従業員は、在宅勤務中だったのではないかという事です。だとすると、会社に居る時より集中力が落ちた業務を強いられる「コロナ禍」の影響だった事が考えられます。
※在宅勤務中の方は全て”同じ脆弱性”を抱えている可能性がありますので留意が必要です。
2つ目が、日常的にフリーメールを受信していたと推測される点です。日経内部だけのメール受信がメインであれば、フリーメールからのメールは警戒されていてしかるべきかと思います。しかし、漏えい対象を見ると、
パソコン1台が感染し、日経と一部のグループ会社・団体の役員・社員やOB、業務委託先社員ら1万2514人分の個人情報が流出したと発表した。
(日経新聞記事より引用)
フリーメールを使っている可能性が高い対象が2つあります。それがOBと業務委託先社員です。この部分への対策としては、これらの方々に日経グループのメールアドレスを付与して内部アドレスにしてフリーメールは弾くというやり方も考えられそうですが、社外の方にそうしたドメインが付いたアドレスを付与するのは難しいかと思います。おそらく、DMARC等のなりすましメール詐称対策も難しい気がします。
セキュリティ予算がかけられるのなら、外部メール(登録者)に対して多要素認証を導入するのが有効かと思いますが、業務委託先の方はともかく、OBの方にそこまで要求するのは違う問題が発生するかも知れません。
そう考えると外部の方からの問い合わせメールを受信する端末を専用PCにして内部ネットワークと分離する(エアギャップを設ける)、面倒ですが2台端末運用をする程度しか対策が難しそうな気がします。
余談です。日経グループ(米国子会社)は昨年後半にビジネスメール詐欺(BEC)でも攻撃を受けています。狙われているという意識をもう少し強くもって、セキュリティ体制を再点検すべきなのかと思います。
foxsecurity.hatenablog.com
本日もご来訪ありがとうございました。
Thank you for your visit. Let me know your thoughts in the comments.
更新履歴
