Netpress 第2260号 限りなくリスクを低く! メールセキュリティから始めるサイバー攻撃対策
1.メールのセキュリティを強化することは、サイバー攻撃に対する最も有効な対策となります。
2.攻撃されることを前提に、ゼロリスクを目指さず、限りなくリスクを低くすることを目標に対策を推進しましょう。
さくら情報システム株式会社
技術開発部 鈴木 優一
近年、サイバー攻撃による被害は、情報漏洩に留まることなく、深刻な事態の数々がメディアで頻繁に報道されています。サイバー攻撃には、さまざまな種類や手法がありますが、実はその90%以上がメールを突破口としています。
下表は、メールをきっかけとした具体的な手法やリスクについてまとめたものです。
| 手法やリスク | 詳細と攻撃のポイント | |
| ①ビジネスメール詐欺 | ・ | 金銭を騙し取ることを目的として、自社または関連会社の経営層や取引先になりすましたメールを送りつけ、不正送金を促す。 |
| ・ | 被害額が最も大きい手口。ターゲットを確実に騙すため、正当なメールアカウントの乗っ取りやメールの傍受を行い、タイミングを見計らって取引先とのやり取りの途中で介入する。 | |
| ②スパムメール | ・ | 商品の宣伝や勧誘、ウイルス感染、詐欺サイトへの誘導など、さまざまな目的で一方的に送りつけられる迷惑メールのこと。世界中で送受信されるメールの95%以上がスパムといわれている。 |
| ・ | 情報漏洩など、何らかの方法で入手されたメールアドレスを利用し、無差別に実行される。 | |
| ③フィッシング 攻撃 | ・ | 個人情報や暗証番号などの価値ある情報を窃取することを目的として、有名企業や銀行などを装ったメールを送り、メール内のURLから偽サイトへ誘導して、機密情報の入力を促す。 |
| ・ | 送信者の詐称をはじめ、正規サイトそっくりの偽サイトが用いられ、主に認証情報やクレジットカード番号などの個人情報を盗み取る。 | |
| ④標的型攻撃 | ・ | 企業の機密情報や知的財産の窃取を目的として、特定の個人や組織を狙って仕掛けられる攻撃。 |
| ・ | ①とは目的が異なる。明確な目的(ネットワークへの侵入など)に向けた第一段階の攻撃であるため、入念な事前準備や情報収集のうえ実行される。昨今ではランサムウェアなどのウイルス感染を組み合わせ、当初の目的が達成できなかった場合の代替プラン(金銭目的にシフト)を併用して実行される。 | |
| ⑤ウイルス感染 | ・ | システムの破壊や不正侵入を目的として、メールの添付ファイルや本文中のURLリンクからウイルスを感染させる。 |
| ・ | 添付ファイルのアイコンの偽装(例:.exeファイルのアイコンがWordファイル)や、二重で拡張子を付ける(例:『test.docx□□□□□□□□.exe』の様なファイル名と拡張子の間に長いスペースを挿入して誤認させる)などの巧妙な手法でウイルスファイルの実行を促す。 | |
| ⑥誤送信 | ・ | 送信者の操作ミスや不注意で発生するもの。 |
| ・ | 誤送信によって、①〜⑤の手法を実行するきっかけを与えてしまうケースや後日ターゲットにされるケースがある。 | |
1.サイバー攻撃におけるメールの位置付け
昨今のサイバー攻撃は、国家的・組織的で、より高度化・巧妙化しています。そんなサイバー攻撃で最も使われる手法がメールである理由は、身近なものであり、ビジネスで必要不可欠なコミュニケーションツールだからです。
メールを用いた攻撃が確認され始めたのは、古くは1990年代、インターネットの商用利用に伴ってITシステムの普及が加速した頃に遡ります。国際的に有名な事例では、2000年にメールで拡散するタイプのウイルス「I LOVE YOU」が話題になりました。国内でも、2015年に起きた日本年金機構の大規模情報漏洩事件は、当時社会問題になりました。
どちらもメールの受信が発端であり、メールの送信元に心当たりがあれば即座に開封する、添付ファイルは開いて中身を確認してしまうといった人間の心理と行動を悪用した手法であるため、どんな製品やツールを導入しても対策が難しく、現在でも高度な攻撃に移る前の侵入経路の1つになっているのが実情です。
2.メールに潜むリスク
メールをきっかけとして発生する被害には、情報漏洩、マルウェア感染、不正アクセスなどさまざまなものがあります。さらに、いまはITシステムが業務と密接に関わるため、末端のシステムがメールによる攻撃を受けることで、業務停止に追い込まれるようなケースも珍しくありません。まずは具体的な手法やリスクを理解し、それにどう備えるかが重要です。
前ページの表に示したように、攻撃の目的に応じてさまざまな手法が用いられます。1つの手法に絞り、時間と費用をかけて徹底してそのリスクへの対策をすれば、被害をゼロにできる可能性はありますが、すべてのリスクを排除することは現実的ではありません。
メールを用いた攻撃の多くが人間の心理的な隙や行動のミスにつけ込む手口であり、たとえば不審メールの訓練を行うと、どんな組織でも、一定数の「つい開封してしまう人」が必ずいます。
こうした事実からも、ゼロリスクの実現は非常に難しいことがわかると思います。
3.今すぐ取り組める4つのこと
限られた時間や費用のなかで効果的な対策をするために、まずは以下の4つのことに取り組むとよいでしょう。
| ① | OS・ソフトウェアの最新化、ウイルス対策ソフト導入などの基本的なセキュリティ対策を徹底しましょう。 |
| ② | 不審なメールに気付く確率を上げるため、整理用フォルダの作成および自動/手動による振り分けを行い、メールボックスを常に整理整頓しましょう。 |
| ③ | 攻撃の手口を知ることによるセキュリティ意識の向上を目的とした研修や、不審なメールを開いてしまった場合に備えた対応訓練を定期的に行いましょう。 |
| ④ | 被害を最小限に抑えるべく、有事における関係者間の情報共有方法の取り決めなどを行い、コミュニケーション体制や方法を見直しましょう。 |
これらは当たり前のことかもしれませんが、メールをきっかけとしたサイバー攻撃を防ぐためには、日頃からセキュリティの意識を身に付け、確実に実践することが大切です。
4.最後に
ほとんどのサイバー攻撃はメールを突破口とするため、メールのセキュリティを強化することが、現状では最も有効なサイバー攻撃対策です。
最近のサイバー攻撃に使われるメールの文面は、非常に巧妙で違和感が少ないものが多く、誰でも被害に遭う可能性があります。
したがって、重要なのは、「100%防げる対策はない」ということを念頭に置いて、有事に備えることです。1つの対策においても目的を明確にし、ゼロリスクを目指さず、限りなくリスクを低くすることに注力しましょう。
「Netpress」はPDF形式でもダウンロードできます
SMBCコンサルティング経営相談グループでは、税金や法律など経営に関するタイムリーで身近なトピックスを「Netpress」として毎週発信しています。過去の記事も含めて、A4サイズ1枚から2枚程度にまとめたPDF形式でもダウンロード可能です。
プロフィール
SMBCコンサルティング株式会社 ソリューション開発部 経営相談グループ
SMBC経営懇話会の会員企業様向けに、「無料経営相談」をご提供しています。
法務・税務・経営などの様々な問題に、弁護士・公認会計士・税理士・社会保険労務士・コンサルタントや当社相談員がアドバイス。来社相談、電話相談のほか、オンラインによる相談にも対応致します。会員企業の社員の方であれば“どなたでも、何回でも”無料でご利用頂けます。
https://www.smbc-consulting.co.jp/company/mcs/basic/sodan/
この記事が気に入ったらシェア!
関連キーワード
経営者・経営幹部・管理職 総務・法務 コンプライアンス・リスク対応 テクノロジー
