中小企業の情報セキュリティ2

　今回は「情報セキュリティ10大脅威」の第3位からです。

 

　第3位は標的型攻撃による諜報活動です。

 

　標的型攻撃とは、特定の企業を目的としてその企業の業務内容を調べ、その内容に似せたメールを送信したり、関連のあるWEBサイトに誘導することによりウイルスに感染させ、情報を盗み出そうとする攻撃です。

　最近は不審なメールに対して警戒し、安易に添付ファイルを開いたり、リンクをクリックすることが減ってきました。そのために業務に合致した内容のメールを作成し、その警戒をかいくぐろうとします。

　社員が数十人を超えると、この標的型攻撃から逃れることは非常に困難です。

　100人いれば少なくとも3～5人は引っかかってしまいます。

　また攻撃に用いられるウイルスも新しい専用のものが使用されますので、ウイルス対策ソフトでも検出されません。非常にやっかいな攻撃です。

 

　対策としては、

　・情報に対するアクセス権をしっかりと設定する

　・部門ごとにVLANを設定しウイルスの2次感染を防ぐ

　この2つは比較的簡単に、費用も安価（月額3000円以下程度）に設定できます。

　次に

　・ログ収集管理ソフトを導入し不審な操作履歴を検出する

　これで時間外の操作や不正な操作などの履歴からウイルスの感染を検出できますが、ソフトの導入にはそれなりの費用（月額20000円以下程度）がかかります。

　その他、C&Cサーバ対策などもありますが、費用が高額（月額50000円超）になるため中小企業では現実的ではありません。

 

 

　第4位はWEBサービスへの不正ログインです。

 

　これはYahoo!や楽天などのサイトに接続するアカウントやパスワードを窃取され、身に覚えのない買い物をされたり、不法な書き込みをされたりする被害です。

　以前はブルートフォース攻撃と言って、すべての組み合わせのパスワードを入力して一致するものを探す方法が主流でしたが、最近は一定回数パスワードを間違えるとロックアウトされるサイトが一般的になりましたので、リスト型攻撃が主流になっています。

　リスト型攻撃とは、脆弱性のあるサイトから窃取したアカウントとパスワードの組み合わせで他のサービスにログインを試みる方法です。

　アカウントは多くの場合メールアドレスで共通ですので、複数のサイトで同様のパスワードを使用しているとリスト型攻撃の被害に会いやすくなります。

　パスワードの使いまわしには注意しましょう。

　またなるべく長いパスワード（10文字以上）を使用し、数字・アルファベットの大文字・小文字・記号など複雑なパスワードが望ましいです。

 

 

　第5位はWEBサービスからの顧客情報の窃取です。

 

　これはサービスを提供しているWEBサイト側で対策をしてもらわないとこちらではどうしようもできません。

　必要ないサイトには登録しない、セキュリティ管理が甘そうなサイトには登録しないことが必要です。

　特にクレジットカード情報などの入力には注意が必要です。

 

 

　第6位はハッカー集団によるサイバーテロです。

 

　世界的にはアノニマスと呼ばれる集団がサイバー攻撃を仕掛けています。

　日本では中国や韓国からサイバー攻撃を受けることが多いようです。

　中小企業には直接関係ありませんが、サーバやルーターの設定に不備があると攻撃に利用されることがあるので、メーカーサイトを確認して最新のファームウェアに更新したり、攻撃に加担しないような設定が求められます。

 

 

　第7位はウェブサイトの改ざんです。

 

　ホームページを持っておられる企業も多いと思いますが、そのホームページを改ざんされ不正な表示をされたり、訪問者をウイルス感染の被害に合わせるなど、近年増えています。

　ホームページを管理するアカウント、パスワードをしっかりと管理する、必要に応じて定期的に変更することと、ホームページにおかしな点がないか定期的に確認することが必要です。

　特に見た目は変わっていなくても目に見えない部分で変更されている場合があるので、作成担当者がファイルの更新日付などを確認することが望ましいです。

 

 

　第8位はインターネット基盤技術の悪用です。

 

　これに関してインターネットプロバイダなどネットワーク事業者側で対処してもらうだけですので、一般の中小企業でできることはありません。

 

 

　第9位は脆弱性公表に伴う攻撃

 

　インターネット技術は日進月歩しており、昨日まで安全だったものが明日以降も安全だとは限りません。

　脆弱性が見つかるとメーカーは修正ソフトを作り、完成すると公表して広く修正ソフト（パッチと言います）の適用を呼びかけます。

　この段階でその脆弱性は世界中に知れ渡るわけですから、公表された修正ソフトはすぐに適用するべきです。

　一般的にはタスクトレイ（windowsで通常右下の時計がある部分の小さいアイコンの集まっている場所）に通知されますので、毎日確認して適用するようにしましょう。

 

 

　第10位は悪意のあるスマートフォンアプリです。

 

　iPhoneは原則appleが認可したものしかインストールできませんので、比較的安全です。

　それに対してandroidのスマートフォンは自由にアプリをインストールすることができますので、危険なプログラムをインストールしてしまうこともあり注意が必要です。

　多くはアドレス帳の窃取などですが、wifi接続情報やクレジットカード情報などを盗まれる危険もあります。

　企業でBYOD（Bring Your Own Device-個人のスマホなどを業務で使用する）を認めている場合には、セキュリティポリシーの作成が必要です。

　業務での利用を許可したり、社内のwifiに接続させる前には、スマートフォン情報の登録はもちろん、紛失した場合には会社側で端末のロックや全消去できるようにしておくべきです。

 

 

　以上10大脅威について簡単に述べました。

 

　費用を掛けないとできないこともありますが、費用を掛ければ全て解決するわけではありません。反対に費用を掛けてもできないことの方が多いです。

 

　大切なことは情報セキュリティに対して、意識し、きちんと理解することです。

 

　当社では社員教育向けのセミナーも開催できます。

　ご興味のあるご担当者様はお問合せください。