物語の主人公、A子は、従業員50名ほどの小さな部品製造会社で経理事務を担当していました。この会社の売上は、ほぼ100%隣接する大手の精密機械メーカーからの製造委託によって賄ってました。小さいながらも、大手企業からの安定した注文があることから、会計帳簿は悪くありません。
入社3年目のA子は、毎日パソコンに向かい、請求書の処理や、取引先との連絡業務をこなしていました。
ある月曜日の朝、A子の勤める会社のトイレの洗面台にUSBメモリが置かれていました。会社は複数のテナントが入居するビルの一角にあり、トイレも複数の会社の社員が共用で使用してます。
このUSBはうちの誰かが置き忘れたのかもしれないわ。帰って確かめてみよう。
A子はUSBを執務室に持ち帰り、パソコンに挿入しました。そこには.exeの拡張子を持つファイルが格納されてました。ファイルをクリックすると、A子のパソコンにアプリケーションをインストールするメッセージが表示されました。
A子が「はい」のボタンを押下すると、InstallShield Wizardが自動で表示されました。
インストールされたアプリは「メモ帳」と「カレンダ」がセットになったアプリで、日付をクリックすると、そこに予定を書き込めるような動きをしました。
あ~これ、便利!いいアプリを手に入れてラッキーだわ。
A子はそう考えました。ただ、USBメモリの所有者が分からないので、元にあった洗面台に戻しました。
数日後、A子はメモ帳アプリを開いて、取引先と共有しているクラウドサービスのアカウントとパスワードを書き留めました。キーロガーはその入力内容も全て攻撃者に渡してました。
- 2週間後、取引先の精密機械メーカーから緊急の電話がかかってきました。
大変なことになっています!あなた方のシステムから私どものネットワークに侵入され、設計データが盗まれました。
担当者の連絡を受け、A子はIT担当者に連絡しました。そこでようやく事実が判明しました。USBメモリに仕込まれていたのはトロイの木馬と呼ばれる悪質なマルウェアです。表向きは無害なファイルに見せかけながら、実際には会社のシステム全体を乗っ取っていたのです。
IT担当者は「サプライチェーン攻撃」の説明をしました。それは、一つの企業のセキュリティが破られると、取引関係にある他の企業も連鎖的に被害を受ける攻撃の総称だと知りました。
さらにIT担当者は、どうしてこのアプリをA子がインストールしたかを問いました。A子はトイレの洗面台にUSBメモリが置かれていた経緯を説明しました。
IT担当者は「ベイティング攻撃」の説明をしました。ベイティングはUSBメモリなど、興味を引くものを社員の目につく場所にさりげなく置くことで、ターゲットを引き寄せます。ターゲットはそれを利用することで、マルウェアをシステムに感染させたり、情報を盗み取る手法を指すことを知りました。
翌日、精密機械メーカーから正式な通知が届きました。「情報セキュリティインシデントが解決されるまで、一切の取引を停止いたします」
A子は自分の軽率な判断が会社に大きな損害をもたらしたことに強い責任を感じました。しかし、社長は彼女を責めることはしませんでした。
A子さん、君だけの責任じゃない。私たちはサイバーセキュリティの重要性を軽視していた。これを教訓に全社でセキュリティ対策を見直そう。
その後、会社はITの専門業者と契約して、情報システムの再構築を行いました。そして、全従業員に情報セキュリティ研修を実施しました。
