「ゼロから学ぶ」セキュリティ脅威(基礎編) #3 手口と対策を知る

多忙な日常業務を送る情シスの皆さん。範囲が広く技術の底が深いセキュリティについて「実は把握できていない」という本音も聞こえてきます。「手軽に、そして全体的に知識が得られる方法って無いの?」とコスパを求める情シスのための情報セキュリティ基礎知識をまとめました。
ある程度ご存じの方にはおさらいの意味を込めて、またこれから情シスを目指す方には基礎知識として、「セキュリティ脅威」に関する内容をシリーズでお届けします。

第3回は手口を知り、対策に活かす為のお話しです。

2020年に流行した脅威から学ぶ

近年、標的型攻撃やビジネスメール詐欺などの複雑な手口によるサイバー攻撃が増加しています。
ここで、その手口と対策についておさらいすることにしましょう。

1.標的型攻撃

標的型攻撃とは、特定の企業の内部情報に狙いを定めて行われる攻撃です。
過去には、スパムメールなど不特定多数のユーザーに送りつけられたり、誰でもアクセスできるサイト上にマルウェアを配置するといったような、標的が定まっていない攻撃が多かったのですが、最近では明確に特定の組織を狙って行われます。

攻撃者は、標的となる組織に関して入念に下調べを行い、その組織の一員や関連組織の一員にまずコンタクトを取ります。それも、まるで内部の人間であるかのごとく装ったり、業務上必要なファイルであるかのように偽装したOfficeファイルなどを送り、巧妙にマルウェアをインストールさせます。関連する人のアカウントを乗っ取るなどする場合もあります。
そして、マルウェアの侵入が成功したら、そこから社内システムに入り込み、情報を盗み出すのです。
更に不正侵入後、感染を横展開させ拡大する「ラテラルフィッシング(参考:使える!情シス三段用語辞典113「ラテラルフィッシング」)」と言われるものも増えています。

標的型攻撃に対しては、とにかく不正なファイルを開かないように気を付ける必要があります。たとえOfficeアプリケーション関連のファイルと認識していても、外部から送られてきたファイルに対しては検証をしてから開くような仕組み作りが必要でしょう。
また、なりすましのための情報を収集されてしまうのを防ぐため、組織図などの社内情報を安易に外部に出さないことも重要です。自社Webサイトなどで会社のことを知ってもらうことも大事ですが、バランスも考える必要があります。

そして、万が一、マルウェア侵入されてしまった場合でもデータを盗み出されないようにEDRなどで不審な挙動を検知したり、適切なアクセス権限を確認するなどの対策をとりましょう。

2.ランサムウェア

ランサムウェアとは、インストールされた端末をロックするなどして動作できないようにさせ、解除する代わりに金銭を要求するマルウェアです。(参考:使える! 情シス三段用語辞典21「マルウェア」
標的型攻撃と組み合わせて行われるケースも確認されています。

攻撃者は、メール送信元の偽装を行うなどしてランサムウェアの潜んだファイルをユーザーにダウンロード(または実行)させるよう誘導します。もしユーザーがインストールしてしまったら、その端末内のファイルが暗号化され、動作しなくなってしまいます。
そして、端末が動かなくなった状態で、画面に警告が出て攻撃者への送金を促します。
端末や重要なファイルを人質に取られ、身代金を要求されるのです。解除するには送金するしかありません。
しかしながら、ランサムウェアの始末が悪いところは、仮に身代金を払ったとしても解除されるとは限らないのです。
しかも、データを暗号化されるだけでなく、転送までされていたりすると、データの公開などで再び脅しをかけ、更なる身代金の要求するケースもあります。

また、ランサムウェアはネットワークを通じて伝染するので、同じネットワーク内のサーバーなども危険にさらされます。

予防するには、添付ファイルをデコードし、アンチウィルスのスキャンを行った上で再びエンコードできるようなアプライアンス機器やサーバー上での機能追加を行うことが効果的ですが、コストも必要になります。
その意味では、ユーザーレベルでできることとしては、標的型攻撃と同様でメールで送られてきた添付ファイルを安易に開かないようにすることでしょう。

3.ビジネスメール詐欺(BEC)

ビジネスメール詐欺では、ある日取引先や経営層の人物から金銭の振り込みや重要情報の送信を要求するメールが送られてくるという詐欺です。(参考:【セキュリティ基礎知識】気をつけよう!ビジネスメール詐欺

これも、標的型攻撃と同じく入念に準備され、実在の人物になりすましたり本物の取引のような巧妙なメールが送られてくることが特徴です。
しかも、「至急」「緊急」といった急かすような内容であったり、大きなトラブルをほのめかしたり、実在のドメインに近いもの(時として全く同じ物!)が使われていたりと冷静に見破ることを難しくさせるような工夫がなされています。
焦りから偽物と見抜くことができず、従業員が思わず重要データを送ってしまう、または送金してしまうという被害が実際に出ています。

こちらの詐欺は、他の脅威とは異なり、マルウェア等のツールを使わずに攻撃が行われます。
そのため、いくらシステム内にセキュリティ製品を配置して防御していても太刀打ちすることができません。

企業として送金する際には必ず稟議や上長承認を得ることが多いでしょうから、従業員レベルで対応することは少ないでしょうが、重要な情報の送信には注意が必要です。手順やルールを設けるなど、組織的な対策が必要となります。

 

まとめ

セキュリティと一口にいっても、実はさまざまな対象・製品・対策・関係者が関わり合っているものだということがわかって頂けたことと思います。
特に重要なのは、セキュリティは単品の製品だけではとうてい守り切れるものではないということです。
多層防御、そして組織内の教育や運用ルールも含めた、全社的な対策が必要ということです。

そして最も大事ことは「一人一人のセキュリティの意識」なのです。
「あれ?何か変だな?」と気が付くかどうかが最後の砦ともいえます。

情シスの役割は、ただ単純にセキュリティ製品を稟議にかけて導入するということだけではありません。
情報セキュリティへの理解と日々情報更新、経営層含む全従業員へ(そして関連企業もです)のセキュリティ意識の啓蒙も大事です。

情シスだけでは情報セキュリティを守れない世の中、他部署との連携をして、全社を挙げて企業の情報セキュリティを守りましょう!

 

【執筆:編集Gp 星野 美緒】

関連記事

ピックアップ記事

  1. 「身内であっても全員疑え!」そんな手厳しい考え方が主流になろうとしています。 10年以上前に提唱さ…
  2. テレワーク(在宅勤務)はコロナ禍以前にも東京オリンピック2020の混雑緩和を目的に「テレワークデイズ…
  3. 常に新しい用語が生まれてくる情報システム部門は、全ての用語を正しく理解するのも一苦労。ましてや他人に…
  1. 松田軽太の「一人情シスのすゝめ」#21:システム内製化は言うほど簡単じゃない!?

  2. シリーズ【SSL可視化とセキュリティ】3)クラウドサービス活用時代における ネットワークセキュリティの必要性

  3. 「ゼロから学ぶ」セキュリティ知識#01:そもそも脆弱性って何?

  4. DX時代の情報システム部門をアップデートする『情シスサミット 2021 ONLINE』開催

  5. シリーズ【企業の情報漏洩の原因】#03 インターネットサービスの利用に伴う情報漏洩パターンと対策-is702

  6. Are you ready for DX? あなたは「DXの本質」を理解してますか?

  7. セキュリティ事故が発生した場合の被害額って想像できてますか!?~JNSAレポートより~

  8. 松田軽太の「一人情シスのすゝめ」#20:PDCAはKPTと合わせ技で行うと効果的!?

  9. 株式会社ビジネス・アーキテクツ「社内SE/ヘルプデスク/インフラエンジニア」ポジションのご紹介[PR]

  10. Microsoft 社 Internet Explorer のサポート終了(EOS)について-IPA

プレスリリース

登録されているプレスリリースはございません。

関連サービス

IT-Manager AS

IT-Manager SD

情シス求人

  1. 第二創業期を基盤から支えます。大手クライアント中心。リモートワーク可/フレックス求人! 『サイ…
  2. Findyで1人目のコーポレートエンジニアを募集!会社と組織の基盤づくりをお任せします。 「テ…
  3. 圧倒的な成長、ITによる事業貢献を実現したいあなたへ。 皆さんもスポーツ用品やアウトドア用品で…
  4. あなたのやりたいことを、叶えてください! 今回は、千代田区岩本町に本社を構える株式会社クリアス…
  5. 帰宅後や休日の束の間、ゲームでストレス解消! なんて方も多いのではないでしょうか? 今…
ページ上部へ戻る