Googleの件で、改めて標的型攻撃が注目されています。しかも、IEのゼロデイが悪用されたとのことですので、狙われた企業はひとたまりもありません。しかも、標的を絞っての攻撃となると、一般に情報が公になるのが遅れますので、対策をうつ事すらできませんので非常に厄介です。

セキュリティ担当者の立場からしますと、「そんな攻撃は来てくれるな!」と祈るばかりです。では、この標的型メールとは、一体どの程度届くものなのでしょうか。
(私のところには、まだ日本語の標的型メールが届いたことが無いのでとても不満ちょっと残念です。)

そこで、昨年私の所属する研究所で調査した統計のデータを元にざっくり計算してみました。大体ですが、調査対象全PCに対して標的型メールから被害を受けたPCの率は約0.1%くらいでした。
#サンプル数が10社ですので、正確性に欠けますが、ご愛嬌ということで。。。

人数に換算すると、1万人規模の組織に対して、10人くらい。1000人規模であれば、1人の計算になります。しかし、これは統計情報ですのでそんなに都合よくいくわけがありません。

そこで、実際に被害に遭われている方々に聞いてみました。すると、どうやら一部の部署やチームに届いているようだ、とのことでした。
標的型メールのタイトルも色々あるそうで、昨年ですと、新型インフルエンザの注意喚起を装ったものや、打ち合せ議事録を装ったものさえあったそうです。
これは引っ掛かってしまいそうですよね!

特にGoogleは、知的財産が狙われたとのことですので、盗まれてマズい情報を持っている業種の方は注意が必要です。先ずは重要情報を管理しているサーバのセキュリティ対策を見直すところから初めては如何でしょうか。
#ちなみに、私の経験ではファイルサーバ関連は要注意です。

そうそう、全く話が変わりますが、明日からTBS系で「ブラッディ・マンデイ シーズン2」が始まりますね。
当研究所の茶パンダさん(本人希望でHN)を中心にハッキングシーンを作ってます。所々にコネタを入れているようですので、色々探してみて下さい。(編集でカットされている可能性大ですが・・・)
乞う、ご期待!