「千葉県産業情報ヘッドライン」バックナンバー
【連載特集】
┏━━━━━━━━━━━━━━━━━━━━━━━┓
◆ 連 載 ◆
┗━━━━━━━━━━━━━━━━━━━━━━━┛
∽∽∽∽∽∽∽∽∽∽∽∽∽∽∽∽∽∽∽∽∽∽∽∽∽∽∽
「経営者の方々へ〜オリンピック・パラリンピックにより増大
が予想されるサイバー攻撃への対策について〜」
∽∽∽∽∽∽∽∽∽∽∽∽∽∽∽∽∽∽∽∽∽∽∽∽∽∽∽
第1回 「2020オリンピックに向けたサイバーセキュリティ対策」
1 国内におけるサイバー攻撃の情勢
2020年東京オリンピック・パラリンピック競技大会(東京大会)の開催まであ
と半年となりました。2016年リオデジャネイロ、2018年平昌で開催された過
去のオリンピックにおいて、
・「大会運営の妨害を狙った公式サイトへのサイバー攻撃」
・「偽物の公衆無線LANの設置」
・「偽ウェブサイトの開設」
・「フィッシング詐欺メールの送付」
・「オリンピック情報を装ったウイルス付きメールの送付」
等が多数発生しました。
また、報道によれば、先般行われましたラグビーワールドカップでは、組織委員会
のシステムに対し、複数回のDDoS攻撃(複数のコンピューターからネットワークを介
し大量の処理要求を送り、標的サーバーを停止させてしまう攻撃)が行われたとのこ
とであり、東京大会においても同様にサイバー攻撃が増加することが懸念されており
ます。
警察庁による統計によれば、令和元(平成31)年上半期に警察と先端技術を有する
事業者等との情報共有の枠組みを通じて把握した標的型メール攻撃は2,687件あ
りました。そのうち、送信元メールアドレスが偽装されていると考えられるものは全
体の90%を占めました。
標的型メール攻撃は、「ばらまき型」攻撃が全体の85%を占め、添付されたファ
イルの形式は、「Word」「Excel」「圧縮ファイル」などでした。
また、サイバー攻撃の準備として行われる探索行為のアクセス件数は、1日一つの
IPアドレス当たり3,530件であり、その数は年々増加傾向にあります。
2 サイバー攻撃の対象は中小企業
皆さんの中には、『サイバー攻撃なんて、自分には関係ない』と思われているかも
しれません。
しかし、国際的イベントの開催には、数多くの企業が関わるため、その取引数も増
大します。
ハッカーたちは、本命の企業等を直接狙うのではなく、業務委託先である下請け、
孫請け企業や製造、物流、販売の過程を通じた「サプライチェーン攻撃」により、間
接的に本命である企業へ攻撃をすることもあるのです。
自社のセキュリティ不足により、取引先を巻き込んだ情報漏洩等があれば、社会的
な信用が失墜し、業務に多大な影響があるだけではなく、損害賠償請求等のリスクは
避けられません。そのためには、各種セキュリティ対策が必要なのです。
3 対策
こういったサイバー攻撃に遭わないためには、どのようにしたらよいのでしょうか。
サイバー攻撃の一例として冒頭でもふれた「標的型メール攻撃」をご紹介します。
標的型メール攻撃は、実在の人物を装ったり、業務内容など、受信者に関連がある
内容に偽装してメールを送りつけ、コンピュータ・ウイルスに感染させたり、個人情
報を盗んだりする攻撃です。
受信者が、その偽装に気付かずに添付ファイルを開いたり、リンク(URL)をク
リックするとコンピュータ・ウイルスが動き出し、情報漏洩などを引き起こすことも
あります。
メールの内容については、
・「取引先を装った請求書の確認依頼」
・「通信事業者を装った通知」
等、そのパターンは数多くあります。
そして、このようなメールには、
・「添付ファイルが付いている」
・「メール本文中に『ここをクリック』等の文字にリンク(URL)が貼付されてい
る」
といった特徴がみられます。
これらの添付ファイルやリンク(URL)をクリックすることでウイルスに感染し
たり、個人情報が盗まれたりする可能性があるのです。
『これだけは絶対にお願いしたい対策』は、
・「OSソフト・セキュリティ対策ソフトは常に最新の状態にする」
・「添付ファイルは、不用意に開かない」
・「リンク(URL)をクリックしない」
・「一人で対応せず、警察に相談する」
・「送信者が知っている人の名前であっても、電話などで直接確認する」
といった対応をお願いします。
第2回 拡散するマルウェア「Emotet(エモテット)」について
令和元年10月頃から、国内の企業等へ「Emotet(エモテット)」と呼ばれるウイ
ルスへの感染を狙う攻撃メールが拡散しています。
「Emotet(エモテット)」は、過去にメールのやり取りをしたことのある実在の
相手の氏名、メールアドレス等を偽装して送信され、業務上つい開封してしまいそ
うな巧妙な文面を使うなど、極めて悪質なものです。
「Emotet(エモテット)」に感染すると、感染したパソコン内に収納されている
メールアドレスやアカウント情報などの個人情報、更にはやりとりした文章等を盗
み出して、そのデータを流用し、新しいなりすましメールを生成し、今度は自分の
パソコンが感染源となって、別のパソコンへと感染を広げていきます(このプロセ
スは通常のパソコンの画面では一切表示されません)。
このように「Emotet(エモテット)」は、「ねずみ講」式にウイルスの感染が拡
大していくところに特徴があります。
一部の報道によれば都内の某機関において、「Emotet(エモテット)」による感
染被害が発生しており、県内においても某機関、企業において感染が確認されてい
ますので、もはや他人事ではありません。
では、このウイルスに感染しないためにはどうしたらいいでしょうか。
ここでは技術的な話には深入りしませんが、「Emotet(エモテット)」はWordな
どのファイルのマクロと呼ばれるプログラムを悪用して感染を広げることが多くあ
ります。
したがいまして、Wordなどのマクロの自動実行を無効化(※注)し、実行する前
に必ず警告を表示するように設定、警告が出たらその書類が信頼できるかどうか確
認するなどプロセスを踏むことで、ある程度感染を防ぐことができます。
要点をまとめると以下のとおりとなります。
(1)「Emotet(エモテット)」は過去に送受信した相手に偽装してやって来る
(2)最近では、Wordなどのファイルが添付されていることが多い
(3)「Emotet(エモテット)」はWordなどのマクロの自動実行機能を使うので、
事前にこれを無効化しておく
(4)(2)のWordなどのファイルを開くと警告表示がなされるので、その場合は、
送信者に連絡を取り、このファイルが信頼できるものか否かを確認する
(5)セキュリティ対策ソフト、OSソフトは常に最新の状態にする
このような状況下では、『業務で使うメールについては、メールソフトに表示さ
れる相手の名前やメールアドレスは信用出来ず、マクロの自動実行を促すファイル
については、送信元の確認がとれるまで実行しない』ということが、今後、基本原
則になってきます。
メールの送受信について、今一度、組織全体で再考していただきたいと思います。
※注 マクロの自動実行の無効化手順
「ファイル」をクリック → 「オプション」をクリック → 「セキュリティセ
ンター」をクリック → 「セキュリティセンターの設定」をクリック → 「マ
クロの設定」から
〇警告を表示せずにすべてのマクロを無効にする
〇警告を表示してすべてのマクロを無効にする
等を選択することで無効化できます。
一方、無効化することにより、一部データが表示されなくなる可能性もあるため、
無効化する際には、事前にシステム担当者と調整を図るようお願いします。
第3回 標的型メール攻撃〜怪しいメールはどう見抜くのか〜
企業活動をしていく過程でウイルスに感染するリスクは様々な場面で存在します。
例えば、「メールの本文にあるリンクをクリックする」、「危険なウエブサイトに
アクセスする」等その手法は様々です。
しかし、ウイルスに感染する可能性として一番高いのは、メールを起点としたも
のです。
今回はこのウイルス付きメールの見抜き方についてご案内したいと思います。
1、ウイルスメールの大半はフリーのメールアドレスからやってくる
ウイルス付きメールの大半はフリーのメールアドレスを使用しています。
ご存知のとおり、インターネットにはHotmailやGmail等のたくさん
のフリーのメールアドレスが存在しています。
フリーのメールアドレスは簡単に作成・削除ができるため、悪意のある攻撃者も
気軽に使用することができます。
業務の内容にもよりますが、例えば、実在する取引業者を名乗っているにも係わ
らず、フリーのメールアドレスから送信されている場合は、怪しいメールであると
気づくことができます。
2、違和感のあるフォント、奇妙な日本語に注意
中国語を使って作成されたウイルス付きメールは、日本語で表示されていても何
らかの理由により中国語のフォントがそのまま表示されることがあります。この様
な場合はウイルス付きメールである可能性が高いものと言えます。
また、ウイルス付きメールに記載された日本語は、自動翻訳機能等を使って翻訳
したものをそのまま使っていることが多いため、日本語としては明らかに奇妙な言
葉づかいが見られるものもあります。
3、思わせぶりな文面も危ない
思わせぶりな文面にも注意が必要です。
「契約書の案文を作成しました。至急添付文書の内容を確認してください。」と
いった用件のみを記した文面や「物品購入担当者様宛」といった担当者を曖昧にし
た内容のメールを送りつける等、その添付書類を開かせる手法はますます巧妙化し
ています。
4、「標的型メール攻撃」は見抜けない?
基本的なウイルス付きメールは上記の方法で見抜くことができます。
しかし、対象企業をピンポイントで狙う「標的型メール攻撃」では、メールにウ
イルスが添付されているかどうか見抜くことは非常に困難と考えられます。
なぜなら、標的型メール攻撃は、その企業で働いている社員宛に業務でやり取り
をしている実在の取引相手、メールアドレス等を騙って送られてきます。その上、
本文中には現在やり取りしている業務内容等が書かれています。
そのため、対象とされた社員はそのメールを見て「これはウイルス付きメールだ。
」と気づくことは非常に困難です。
この場合、実際の相手に電話でメールの送信事実を確認するなどの行動が必要に
なります。
5、大切なことは感染した後の対処法
ウイルス付きメールは時代とともに進化しています。今回ご紹介させていただい
た「標的型メール攻撃」のようにウイルス付きメールを見た目だけで防ぐことが厳
しくなった現在、ウイルスに感染した時にどうしたら被害を最小限に抑えることが
出来るのかを考えることも重要なのです。
使用しているすべてのパソコンにウイルス対策ソフトを導入し、OS(Wind
ows等)やウイルス対策ソフトのバージョンを最新版にするといった事前の対策
だけでなく、感染の疑いがあれば、
(1)すぐに感染した端末をネットワークから遮断
(2)システム担当者に連絡
(3)警察への通報
といった一連の流れをマニュアル化し職員に徹底させ、社内のセキュリティ意識の
醸成・向上を図るなどの対策についても重要です。
今回の内容を基に社内でのウイルス付きメール対策について、今一度再考して頂
ければ幸いです。
第4回 「こんな企業がハッカーに狙われる」
日本では、「ハッカー」というと企業のサイトなどに不正アクセスしたり、コン
ピュータウイルスをばらまいたりする人たち、というイメージが持たれているかも
しれません。
ハッカーについてはいろいろありますが、ここでは、イメージのまま悪事を働く
人をハッカーとしてお話しします。
現在では、インターネットを利用する全ての組織にセキュリティ対策が必要とさ
れています。それは避けることができないもので、多くの情報漏洩事件をニュース
で見て、他人事ではないと感じた企業もあるはずです。
しかし、「ウイルス対策ソフトを入れてあるから大丈夫」、「うちなんかハッカ
ーに狙われるような業種じゃない」と楽観視している企業は国内には多いようです。
サイバー攻撃は大企業を狙うものと誤解していませんか。
今回は、ハッカーに狙われる企業について取り上げたいと思います。
皆さんは、サイバー攻撃を受ける企業について、どのように考えていますか。
最近では、大企業のセキュリティが厳重なため、セキュリティの甘い取引先の中
小企業を狙い、そこから大企業のシステム内部へ侵入するケースが増えています。
「当社では何も起こっていない」と判断しても、侵入されていることに気が付い
ていないだけで、気づかないうちに踏み台にされていることもあります。
踏み台とは、悪意ある第三者によってコンピュータやサーバが乗っ取られ、サイ
バー攻撃を行う際の中継地点とされることをいいます。
乗っ取られてしまうと気付かないうちに会社のパソコンを使用され、攻撃に利用
されてしまいます。それが取引先企業への攻撃であったらどう考えますか。
きっとセキュリティの甘い会社だと思われ、信用を失うことになるでしょう。
ですから、狙われていない企業はないと思ってください。
狙われて被害に遭うのには、3つの要因があります。
1 サイバー攻撃の脅威
インターネットでは今も各種探索行為、標的型メール、バラマキ型メール等を含
むサイバー攻撃が無数で行われています。
ある観測結果によれば、日本国内だけでも10秒に一人の割合でサイバー攻撃の
被害が出ているとの数値もあります。
ですから、サイバー攻撃を避けることはできないのです。
2 脆弱なシステム
脆弱なシステムとしては、セキュリティソフトの未導入や導入していても未更新
であったり、サポート切れのOSを使用していたりするものがあります。
令和2年1月には、Windows7のサポートが終了しておりますが、システ
ムが脆弱であると、たとえ使う人間が気を付けていても、被害を防ぐことができな
い場合があります。
3 不注意なユーザ
不注意なユーザとは、サイバーセキュリティの知識がない人のことをいいます。
知識といっても必要な知識は大したものではありません。ウイルスチェックをし
ていないUSBを接続することやメールに添付されているファイルを安易に開いて
しまうなどのことです。
サイバーセキュリティ教養を行っていない企業は、ハッカーにとって狙いやすい
所となるのです。
ただいま挙げた3つの要因のうち「脆弱なシステム」、「不注意なユーザ」に関
する要因は、改善することができます。
サイバーセキュリティの知識を得ることによって、100%ではありませんが、
サイバー攻撃の被害を免れ、または、被害を軽減することができます。
というわけで、ハッカーに狙われる企業について説明させていただきましたが、
当てはまるところがないか、是非確認してみてください。
第5回 SNSから企業秘密や個人情報が判明!?
SNSは、ソーシャルネットワーキングサービス(Social Networking Service)
の略で、登録された利用者同士が交流できるWebサイトの会員制サービスのことです。
友人同士や同じ趣味を持つ人同士が集まったりと、ある程度閉ざされた世界にす
ることで、密接な利用者間のコミュニケーションを可能にしています。
SNSは、一般の利用者相互のコミュニケーションのために広く使われていますが、
最近ではビジネスでの利用も進んできています。
企業や組織のアカウントも各SNSで散見されるようになり、そのアカウントから
店舗の販売情報、プロスポーツ団体の試合、ファンサービスのお知らせ等、広報戦
略の一環としてSNSを積極的に活用する機会が増えています。
一方、SNSには社会的に不適切な内容の発言に対して激しく非難を浴びせるなど
の現象が発生することがあり、企業や組織にとってリスクとなっています。
こうした問題を防ぐためには、組織として、SNSの利用に関するルールを決め、
社員・職員に周知をして守らせるなどの配慮が必要です。
一人の職員の個人アカウントからの何気ない投稿が、思わぬところで拡散・炎
上した結果、企業が特定され、結果として組織の信用失墜につながるケースもあ
ります。
特に組織を代表する公式アカウントについては、アカウントのログインIDやパ
スワード管理に加え、投稿内容にも十分な注意を向けましょう。
また、SNSでは他人が同一名称のアカウントを作成できる場合があり、なりすま
しアカウントで発言される内容も企業のブランドイメージに悪影響を与えるおそ
れがあります。
そのため、公式アカウントなどを取得できるSNSでは、企業・組織の正式な発信
を区別するため、公式アカウントを取得することも一つの方法です。
社員・職員は、SNSを業務で利用する際は企業や組織の情報セキュリティポリシ
ーに従い、以下のことに注意しましょう。
・個人情報の取扱いは十分注意し、機密情報は取り扱わない。
・企業や組織のブランドイメージを損なう発言をしない。
・第三者にアカウントを乗っ取られないよう、アカウント情報(IDやパスワー
ドなど)の適切な管理を行う。
・利用するサービスの規約を遵守する。
私たちに身近なSNSも、使い方を誤れば企業の信頼を損なうことになります。
この機会に、発信すべき情報とその内容について検討したり、個人のアカウン
トから業務の内容を発信させない決まりをつくるなど、SNSを利用する際のルール
を決めてみたらいかがでしょうか?
第6回「今すぐできる情報セキュリティ対策
〜お金をかけなくてもできる対策の紹介〜」
機密情報や個人情報などの情報流出は、取引先との信頼関係を失墜させ、顧客の
喪失、業務の停滞などを招き、金銭的被害も甚大となり、最悪の場合は業務の継続
すらままならない事態へと発展する危険性があります。
このような事態を防止するために、まずは情報流出事案の原因から探ってみまし
ょう。
1 情報流出の原因で一番多いのは、紛失・置忘れ
日本ネットワークセキュリティ協会の「2018年 情報セキュリティ インシデン
トに関する調査報告書(速報版)」によると、情報流出の原因は、
・「紛失・置忘れ」(26.2%)
・「誤操作(宛先間違い、機器の設定ミスなど)」(24.6%)
・「不正アクセス」(20.3%)
によるもので、全体の約7割を占めているとのことです。
2 情報流出の原因となる媒体で一番多いのは「紙媒体」
情報流出の原因となる媒体は、「インターネット」の比率が増加傾向にあります
が、それでも一番の原因は「紙媒体」です。
先の調査によれば、情報流出の原因となる媒体の比率は、
・「紙媒体」(29.8%)
・「インターネット」(26.6%)
・「電子メール」(21.4%)
であり、そのほか「USBメモリ等の外部記録媒体」や「パソコン本体」による場
合があります。
紙も大切な企業情報ですので、管理を徹底しましょう。
次に、情報流出事案の対策について考えましょう。
対策は、最新のOSやウイルス対策ソフトの導入のみならず、ヒューマンエラーを
いかに防ぐかが重要です。
ヒューマンエラーは誰もが起こし得るものですが、気をつければ防げるものでも
あります。
そのため、情報セキュリティに対する従業員の意識改革とスキルアップが必要な
のです。
3 従業員の意識改革
従業員による情報流出は、従業員個人の責任ではなく、会社の責任です。
まずは、従業員にセキュリティ対策の重要性を認識させ、会社全体の意識を変えて
いきましょう。
情報流出事案が発生した場合には、「事故原因・被害範囲調査費用」、「事故対
応費用(コールセンター費用等)、「コンサルティング費用」等で数千万円以上の
費用負担が発生する可能性があります。
紙やデータの取り扱いや管理方法について、従業員に「もう分かっているよ。」
と思わせるくらいに、繰り返し研修を行うことをオススメします。
4 従業員のスキルアップ
現在、最も被害が多いのは、「Word」や「Excel」をはじめとした文書
ファイルをメール送信し、そこからウイルス感染させる手法です。
メールを開封する従業員が怪しいメールかどうかを見分けるスキルを身に着ける
必要があり、それ自体も1つのセキュリティ対策なのです。
怪しいメールの特徴としては、「不自然な日本語で書かれている」、
「急にパスワードの変更を要求する」等ですが、近年は実在する人物や会社を装う
ものもあるため、これらの事例を踏まえ、
・本文中のリンクを安易にクリックしない
・心当たりのない内容はメール以外の手段で確認する
などの具体的な対策を従業員に浸透させましょう。
5 セキュリティポリシーの策定
会社としての情報セキュリティに対する方針を明文化した規則(セキュリティポ
リシー)を定めることもセキュリティ対策の1つです。
例えば、
・一定の機密レベルの文書を持ち出すには、管理職の許可が必要
・外部記録媒体に接続制限をかける
などが一例です。
規則を定めると不便さを感じる従業員がいるかもしれませんが、情報流出による
会社の損失を考えれば、必要な措置ではないでしょうか。
会社の情報セキュリティ対策について、ぜひ検討してみてください。
千葉県警察本部 サイバー犯罪対策課
