PR
Symantec Security Response Weblog

To Open or Not to Open」より
January 29, 2008 Posted by M.K. Low

 どこでもいいから,セキュリティ関連Webサイトにアクセスしてみよう。セキュリティ確保に向けた注意事項に「ファイル付きメールの届く予定がなく,添付の目的が分からないのなら,決して添付ファイルを表示/オープン/実行してはならない」と書いてあるはずだ。しかし,添付ファイルを開くことが仕事の人はどうしたらよいのだろう。

 今どきの企業の人事担当マネージャは,求人情報をオンライン配信し,できるだけ大勢の人の目に触れるようにする。新聞の求人広告や窓の張り紙など過去の遺物だ。人事担当マネージャは適切な志望者を可能な限り多く集めたいと考えているし,Webサイトへの求人広告掲載は安価で効率的な方法である。こうした行為は,人事部門が企業セキュリティの弱点になる理由の一つと考えられる。多くの企業は志望者に対し,履歴書と添え状を人事部門や担当マネージャにメールで送るよう指示する。国際的な企業のWebサイトを10カ所ほど調べたところ,半数がこうした方法を採用していた。

就職希望者は,jane.doe@xxxxx-jobs.comにメールで申し込んでください。

メールには,Microsoft Word(*.doc),リッチテキスト(*.rtf),PDF(*.pdf)のいずれかの形式で作成した履歴書を添付し,サブジェクトに応募する職種を記載してください。

 企業の規模によって異なるが,人事担当マネージャが一日に受け取る応募メールは数十通になるので,メールをふるいにかけて対象ポジションに最も適した人物を見つけようとするだろう。ただし,ふるいにかけるには添付された履歴書を開く必要があり,無警戒に開いてしまうことも多い。こうした人事担当マネージャの行為は,攻撃者が企業内のサーバーや重要情報にアクセスするのにおあつらえ向きの足掛かりになる。というのも,人事部門は一般的に,社会保障番号や給与振り込み用の銀行口座など,従業員のあらゆる個人情報を持っているからだ。攻撃者はメールを利用し,開くとパソコンを乗っ取るよう細工した添付ファイルを企業に送りつければ,攻撃を仕掛けられる。

 この例における大きな問題は,セキュリティ注意事項に「予期していない添付ファイルを開くな」という指示があることだ。この指示を目にすると,子供のころに両親や先生から「知らない人と話してはいけません」と教えられたことを思い出す。両親たちの言う「知らない人」とは,正体不明の薄暗い路地に潜んでいる邪悪な生き物であった(筆者はよく子供向けアニメーション映画「Dudley Do-Right」に登場する悪者「Snidely Whiplash」のような姿を思い浮かべた)。そして「どんなものをくれると言われても近づいてはならない」と注意された。でも,知らない人が玄関先に現れて「お父さんかお母さんはお家にいますか」と聞かれたらどうしよう。その人は両親の名前を知っているから,「知らない人」ではないのだろうか。悪意のあるメールでも,誤った英語でクレジットカード情報を送るよう求める差出人不明の派手なメールとは限らない。攻撃メールのなかには,Webサイトの求人広告に対する応募のように,怪しく感じないものもあるだろう。

 このセキュリティ・ホールをふさぐ一つの方法は,オンライン応募システムを用意し,志望者が履歴書をWebアプリケーションにコピー&ペーストして提出できるようにするのだ。そうすれば,攻撃手段となりうる文書を開く必要がなくなる。この対策は,雇用関連処理の自動化さえ可能なら導入できる。


Copyrights (C) 2008 Symantec Corporation. All rights reserved.

本記事の内容は執筆時点のものであり,含まれている情報やリンクの正確性,完全性,妥当性について保証するものではありません。

◆この記事は,シマンテックの許可を得て,米国のセキュリティ・ラボの研究員が執筆するブログSecurity Response Weblogの記事を抜粋して日本語化したものです。オリジナルの記事は,「To Open or Not to Open」でお読みいただけます。