中小企業が直面しているセキュリティリスクとその対策
IPA発表の情報セキュリティ10大脅威 2018年版から
インターネットセキュリティに関する情報を提供している、経済産業省所管の独立行政法人情報処理推進機構(IPA)は、「情報セキュリティ10大脅威」の2018年版を発表しています。
この「情報セキュリティ10大脅威」は、情報セキュリティの専門家を中心に選定されたものです。企業や政府機関、公共団体などの組織が認識すべき情報セキュリティの脅威として、1位に標的型攻撃による被害、2位にはランサムウェアによる被害、3位はビジネスメール詐欺による被害をあげています。
これらの脅威に共通するのは、極めて巧妙な手口で行われる攻撃手法であることで、日本国内でも被害が増加しています。また、業種や規模に関係なく被害にあっていることも大きな特徴です。
中小企業であっても、これらの巧妙化する攻撃への対策を取ることが求められています。
特に注目すべき脅威とその対策
1位にあげられている「標的型攻撃」とは、メールなどによってPCにウイルスを感染させ、ネットワークに侵入した上で、重要な情報を盗み取る攻撃手法です。
企業や官公庁など特定の組織を狙い、綿密な計画を立てた上で、時間をかけて攻撃するのが、標的型攻撃の特徴です。
公的機関や取引先などを装い、業務上のメールに見せかけて信頼させることで、添付ファイルを実行させたり、本文内のリンクにアクセスさせてウイルスに感染させるのが、標的型攻撃の手法です。
標的型攻撃の最終目的は、企業や官公庁などから重要な情報を盗み取ることですが、中小企業にとっても無関係ではありません。
企業の規模や業種には関係なく、標的とした組織へ攻撃を仕掛けるときの踏み台や、攻撃対象のメールアドレスを収集する目的で標的型攻撃が行われるため、中小企業でも対策を取る必要があります。
標的型攻撃のほとんどは、すでに判明している脆弱性を利用して侵入します。
不審なメールの添付ファイルを開かないことも対策として有効ですが、OSやアプリケーションを常に最新の状態にすることが、標的型攻撃を防ぐ上で最も効果的な対策です。
ランサムウェアの概要とその対策
2位にあげられている「ランサムウェア」とは、PCに保存されているファイルの暗号化や画面のロックを行い、金銭を支払えば復旧するとして脅迫するコンピューターウイルスで、身代金要求型不正プログラムとも呼ばれます。
身代金を指すランサムという言葉の通り、攻撃者の最終的な目的は金銭を得ることです。
万が一ランサムウェアに感染してしまい、ファイルが暗号化された場合には、元どおりに復旧させることは極めて困難です。
また、要求通りに金銭を支払ったとしても、暗号化が解除される保証はありません。
ランサムウェアの感染原因は、メールの本文に書かれた不正なリンクへのアクセスや、添付ファイルを開いたことによるものが多く、手口も巧妙化しています。
ランサムウェアへの感染を防ぐと同時に、万が一感染した場合に備えて、データのバックアップを定期的に取っておくことが効果的な対策です。
ビジネスメール詐欺の概要とその対策
3位にあげられている「ビジネスメール詐欺」とは、巧妙に偽装したビジネスメールを使い、企業担当者を信用させ、攻撃者の口座に送金させるという詐欺の手口です。
取引先になりすまして偽の請求書を送付するケースや、経営者や弁護士などになりすまして指定口座に送金させるケースなどがあり、日本国内でも大手企業が約3億8千万円の被害にあうなど、事態は深刻化しています。
ビジネスメール詐欺は、一見すると架空請求に似た手口のため対策も容易に思えます。しかし、メールの文面や発信者の役職に加えて、送信されるタイミングや送金金額などが、実際の取引に対応しているなど手口が巧妙なため、見破るのは困難です。
ビジネスメール詐欺の攻撃者は、あらかじめ攻撃対象となる組織のPCに侵入した上で、メールを盗み見して情報を収集するとともに、攻撃を行うタイミングを見計らっています。
実際の取引を把握しているため、請求書が送信された直後に振込先口座の変更メールを送信する、請求書のフォーマットを本物と同じ形式にするなど、巧妙な手口で攻撃できるわけです。
ビジネスメール詐欺による被害を防ぐには、振込先口座の変更を伝える電子メールを受信した場合に、取引元に電話で確認するなどのチェック体制を構築すると同時に、攻撃者に侵入させないためのセキュリティ対策を取ることが効果的です。
なぜ中小企業にセキュリティ対策が必要か
ランサムウェアやビジネスメール詐欺のような、金銭を得ることを目的とした攻撃が急増しています。
これまでの個人情報や機密情報を狙った攻撃は、大企業や官公庁などの大きな組織や、個人情報を多数保有している業種が狙われていましたが、金銭を狙った攻撃の場合は、企業の規模や業種は関係ありません。
むしろ、社内決裁の手続きが簡単で、短期間で金銭を得やすい中小企業のほうが、被害にあうリスクが高いともいえるでしょう。
標的型攻撃やランサムウェア、ビジネスメール詐欺に共通しているのは、メールの添付ファイルなどが最初の感染経路として利用されていることです。
これらの攻撃に利用されるメールは、攻撃者が直接送信するわけではなく、すでに感染している組織のPCを遠隔操作して送信されます。
自社が攻撃を受けていなくても、攻撃者の踏み台として利用され、攻撃する側として利用されてしまうリスクがあるのです。万が一、自社のPCが他の企業を攻撃するための踏み台として悪用された場合、十分なセキュリティ対策をとっていない企業として、社会的信用の失墜を招きかねません。
中小企業が今取るべきセキュリティ対策とは
電子メールが、攻撃者が取る最初の侵入手段である以上、メールの添付ファイルを不用意に開かない、心当たりのないメール内のURLにアクセスしないなどの、具体的なセキュリティ教育が必要不可欠です。
セキュリティ教育は人的対策である以上、万全なものではありませんし、手口の巧妙化により、ユーザーが注意をはらうだけでは、攻撃を防ぎきれないのが実情です。
しかし、セキュリティ教育が無意味なわけではありません。
日常的に使用する電子メールに、どのようなセキュリティリスクが存在するのかを知っておくことは、被害を防ぐためだけではなく、被害を受けた際の早期発見や的確な対応ができる強い組織を作ることにつながる、重要なセキュリティ対策であるといえるでしょう。
ウイルス対策ソフトウェアの導入は、基本的なセキュリティ対策として有効ですが、ランサムウェアなど新たな脅威への対策が不十分な製品があるのも実情です。
たとえ中小企業であっても、ウイルス対策ソフトウェアだけではなく、メールセキュリティ対策や、不正サイトのURLフィルタリング、最新セキュリティパッチのチェック、重要データのバックアップなど、総合的なセキュリティ対策を取ることが求められています。
最近では、中小企業でも導入できる運用負荷の少ない製品も登場しています。
現在導入しているウイルス対策ソフトウェアが、最新の脅威に十分に対応できているかどうかを確認し、総合的なセキュリティ対策ソフトウェアの導入を検討しましょう。
どんなに高度で総合的なセキュリティ対策を行っても、営業部門だけ、経理部門だけなど、セクション単位で行われている限り、セキュリティ対策の甘い部門から侵入されてしまうため、対策としては不十分です。
組織としてセキュリティ対策を行うためには、セキュリティ対策基準を統一し、全体のレベルを底上げすることが第一歩です。
具体的な対策としては、セキュリティ対策ソフトウェアを全社で共通化し、一括管理する方法があります。
少ない運用負荷で、高度なセキュリティを維持できるように工夫されている、中小企業向けの総合セキュリティ製品を導入することで、専任の情報システム担当者がいない場合でも、適切なリスク管理が可能になるのです。