【税理士×Security NEXT】マイナンバーを扱う現場の課題とセキュリティ対策　第3回危険ととなり合わせ、企業はマイナンバーをどう守ればいい？

マイナンバー取扱用に別のパソコンを用意する

最近は安全そうに見えるウェブも危険なんです（武山）

武山：パソコンを別途用意できると良いですね。マイナンバーを扱うパソコンと、日常的に使用するパソコンを別に分けるのです。

というのも、日常的に使うパソコンは、メールを送受信したり、ウェブサイトへアクセスしたりするでしょう。昔は、「不審なメールは開かない」「怪しいサイトにはアクセスしない」と言われていましたが、今ではもはや通用しません。

登坂：年金機構の事件も、メールがきっかけになったと聞いています。

武山：標的型攻撃として注目を集めました。こうした巧妙な攻撃は、一般的な問い合わせメールのようなやりとりから始まりまることもあります。

ターゲットに対して普通のメールを何通かやり取りした後に、マルウェア付きの添付ファイルを送り、相手を感染させます。

そのマルウェアを使って、ターゲットとなった組織内部のパソコンをコントロールして情報を盗みだすのです。きわめて巧妙な手口なので、やり取りしているメールから「何かおかしい」と気が付くことは難しいケースも多々あります。

マルウェアそのものも悪質になっています。昔は愉快犯が中心で、感染させられると画面がおかしくなり、利用者も異常に気が付きました。

しかし最近の標的型攻撃の場合は、機密情報の入手など明確な目的があります。侵入に気が付かれたら対策を講じられ、それ以降は情報を盗みだせなくなってしまうので、感染に気が付かれないように作っています。

登坂：普通に使っているなら、情報が盗まれていることに気が付かないかもしれませんね。

武山：さらに「水飲み場攻撃」というものもあります。これは、ターゲットとされた組織や企業がよく利用するだろうウェブサイトを改ざんして、マルウェアを組み込んでおくというものです。そして、ターゲットがアクセスした場合に限り、脆弱性を攻撃して、パソコンに感染させるのです。

この場合は、ターゲットではない企業のパソコンがアクセスしてもマルウェアに感染せず、見つけるのも容易ではありません。しかも、誰でも知っている有名な企業のサイトが改ざんの被害に遭うこともあるので、「有名なサイトだから安心」とは言い切れません。

登坂：絶対に安全なメール、安全なウェブサイトはないと考えるべきなのですね。

武山：はい。そのように考えてあらかじめ対策を講じておく方が良いでしょう。日常のメールやウェブサイト閲覧に使うパソコンとは別に、マイナンバーなど、重要な情報を取り扱う専用のパソコンを分けておく方が安全と言えるわけです。

（Security NEXT - 2016/02/10 ）ツイート