中小企業への情報セキュリティ支援。最近の情報セキュリティ事故事例から学ぶ

サイバー攻撃、ランサムウェア、内部不正による情報漏えいなど情報セキュリティ事故が発生したらどうなるか?

インフラへの脅威や機密情報の漏洩、プライバシー問題など業務に大きな影響がでます。場合によっては、企業の存亡に関わる恐れもあります。最近起きているセキュリティ事故例をいくつか挙げながら中小企業がどう、対処すれば良いのか、専門家はどうそれに向き合えば良いのかを今回は考えていきたいと思います。

最近は毎日のように情報セキュリティの事故が新聞に載っています。

右上の「役員IDが1万ドルでとりひきされている」ということや、右下の「サイバー攻撃闇市場拡大」では、ハッカーも分業化が進んでおり、ランサムウエアがサブスクリプションで売られていることが衝撃的でした。

情報セキュリティ事故の事例

上記の表は独立財団法人 情報処理推進機構(IPA)が毎年行っている「情報セキュリティ10大脅威」の最新版です。特に会社や組織を対象とした右の「組織向け脅威」でTop5を見ていきたいと思います。

企業など特定の組織に対して、機密情報等を窃取することを目的とした標的型攻撃が発生している。2020年初頭には、複数の防衛関連企業が不正アクセスを受けていたという報道があった。

1位は「標的型攻撃による機密情報の窃取」です。

組織の従業員や元従業員等、組織関係者による機密情報の持ち出しや悪用等の、不正行為が発生している。また、組織の情報管理のルールを守らずに情報を持ち出し、さらにはそれを紛失し、情報漏えいにつながることもある。

2位は「内部不正による情報漏えい」です。〇〇県庁のサーバーのハードデスクが破棄されずにネットオークションに出されていたということなどは記憶に新しいところです。

ビジネスメール詐欺は、海外の取引先や自社の役員等になりすまし、巧妙に細工された偽の電子メールを企業の出納担当者に送り、攻撃者が用意した口座へ送金させる詐欺の手口である。

3位は「ビジネスメール詐欺による金銭被害」です。

原材料や部品の調達、製造、在庫管理、物流、販売までの一連の商流、およびこの商流に関わる複数の組織群をサプライチェーンと呼ぶ。業務委託先組織がセキュリティ対策を適切に実施していないと、業務委託元組織への攻撃の足がかりとして狙われる。

4位は「サプライチェーンの弱点を悪用した攻撃」です。大企業はそれなりにお金をかけて情報セキュリティ対策を行っていますが、中小企業はまだまだ情報セキュリティ対策ができていません。そこで、サプライチェーン上のセキュリティ対策が弱い企業を足掛かりにして大手企業に侵入するケースが増えています。

ファイルの暗号化や画面ロック等を行うランサムウェアに感染し、PC(サーバー含む)やスマートフォンに保存されているファイルを利用できない状態にされ、復旧と引き換えに金銭を要求される被害が発生している。

5位は「ランサムウェアによる被害」です。サーバのファイルににロックをかけ、解除するから身代金を出せ、という手口です。

企業情報や機密情報を守るために行うべきこと

企業情報や機密情報も守らねばならないこととして取り組みが必要になってきたわけですがでは、どのような対策を取ればよいのか?
コンピュータやネットワークの物理的なセキュリティ対策も当然のことながら、人のセキュリティ対策も重要であり、ルールや体制を決めて守ることが必須です。

セキュリティ事故を起こさない、巻き込まれないように、基本的な対策方法としている内容をご紹介します。
出典:IPA(独立行政法人情報処理推進機構セキュリティセンター)

基本的な対策

OSやソフトウェアは常に最新の状態にする
OSやソフトウェアを古いまま放置しているとキュリティ上の問題点が解決されずウイルスに感染してしまう危険性があります。
お使いのOSやソフトウェアには修正プログラムを適用する。もしくは最新版を利用するようにしましょう。
ウイルス対策ソフトを導入し適切に利用する
ID・パスワードを盗んだり遠隔操作を行ったり、ファイルを勝手に暗号化するウイルスが増えています。
ウイルス定義ファイル、イルス対策ソフトを導入しパターンファイル(は常に最新の状態になるよう)
しましょう。
強固なパスワードを使用する
パスワードが推測や解析されたり、ウェブサービスから流出したID・パスワードが悪用されたりすることで不正にログインされる被害が増えています。
パスワードは「長く」「複雑に」、「使い回さない」ようにして強化しましょう。
機器の設定、共有設定を見直す
データ保管などのウェブサービスやネットワーク接続した複合機の設定を間違ったために無関係な人に、情報を覗き見られるトラブルが増えています。
無関係な人がウェブサービスや機器を使うことができるような設定になっていないか確認しましょう。
脅威や攻撃の手口を知り対策に活かす
取引先や関係者と偽ってウイルス付のメールを送ってきたり、正規のウェブサイトに似せた偽サイトを立ち上げてID・パスワードを盗もうとする巧妙な手口を知って。対策をとりましょう

従業員としての対策

身に覚えのない電子メールは疑ってみる
電子メール、電子メールに添付されたファイルを開いたり
本文中に記載されたURLリンクをクリックしたりすることでウイルス感染する事故が続いています。
身に覚えのない電子メールの添付ファイルやURLリンクへのアクセスに気をつけましょう
無線LANの盗聴や無断使用を防ぐ
適切なセキュリティ設定がされていない無線LANは通信内容を読み取られたり不正に接続されて犯罪行為に悪用されたりする被害を受ける可能性があります
無線LAN の盗聴対策や無断使用を防止するようにセキュリティ設定をしましょう。
インターネットを介したトラブルを防ぐ
悪意のあるウェブサイトやセキュリティ上の問題があるウェブサイトを閲覧することでウイルス感染する可能性があります。
また、SNSや掲示板へ悪ふざけした画像を 投稿したり秘密情報を勝手に掲載して会社に被害を及ぼすことがあります
業務でのインターネット利用を制限する仕組みやルールにより、被害を防止することが必要です。
バックアップを励行する
パソコンや、ウイルス感染などにより、故障や誤操作でサーバーの中に保存したデータが消えてしまうことがあります。
このような不測の事態に備えてバックアップを取得しておきましょう。
●解説編
重要情報の放置を禁止する
机の上に放置された情報は盗み見、誰かに持ち去られたり、関係者以外が見たり、盗み見られたりする危険にさらされています。
重要情報は放置せず管理する必要があります。触れたりすることができないように保管場所を定め作業に必要な場合のみ持ち出し終了後に戻すことを励行するようにしましょう。
重要情報は安全な方法で持ち出す
重要情報を社外へ持ち出す場合、思わぬ盗難にあったり、うっかり紛失したりすることがあります。
ノートパソコンやスマートフォンの利用にあたってパスワードの入力を求めるように設定したり、
データファイルを暗号化するなどの対策を、事前に行うことで盗難や紛失の際に情報を簡単に読み取られることができないようにしましょう。
機器を勝手に操作させない
パソコンを使用した作業の途中でそのまま席を離れたりパスワードなしでログインできるパソコンなど
誰でも操作できる状態のパソコンは、不正に使用される可能性があります。不正使用からパソコンを守るための対策を行いましょう。
見知らぬ人には声をかける
関係者以外の事務所への立ち入りを制限しなければ侵入されてしまい情報を盗み取られる危険性があります。
特に重要な情報の保管場所の近く、サーバーや書庫・金庫などには無断で立ち入りができないようにしましょう。
機器・備品の盗難防止対策を行う
ノートパソコンやタブレット端末、USBメモリなどは手軽に持ち運べる便利さがある反面盗難や紛失の危険性も高くなっています。
利用しない場合は施錠可能な引き出し等に、保管するなどの対策を講じましょう。
オフィスの戸締まりに気を配る
最終退出者と退出時間の記録を残すことは
最終退出者による施錠の責任意識を向上させることにも役立ちます。施錠と退出記録の管理をしましょう。
重要情報は復元できないように消去する
重要情報が記載された書類をゴミ箱にそのまま捨てると関係者以外の目に触れてしまい重大な漏えい事故を引き起こすことがあります。
また、電子媒体に保存された情報は・電子機器、ファイル削除の操作をしても復元される恐れがあります。
重要情報を廃棄する場合は、シュレッダーや消去用ソフトウェアを利用するなど、媒体ごとに適切な処分をしましょう。

組織としての対策

従業員に守秘義務について理解してもらう
従業員の守秘義務や機密保持について就業規則などで定められていることもありますが
どのような情報が秘密なのか従業員に明確に何をしたらいけないのかなどを説明しましょう。
従業員に情報セキュリティ教育を行う
日々の仕事では常に様々な情報を取り扱いますが、日常的であるがゆえに管理が行き届かず管理の意識がつい疎かになりがちです。
従業員に対し繰り返し意識付けを行うことが有効です。
個人所有端末の業務での利用可否を決める
個人所有のパソコンやスマートフォンを業務で使用する場合、管理が行き届かずセキュリティの確保が難しくなります。
個人所有端末の業務利用の可否や業務利用のルールを定めましょう。
取引先に秘密保持を要請する
取引先が情報の内容から判断して「当然秘密にしてくれるだろうという一方的な期待は禁物です」
取引先に機密情報を提供する場合には。それを機密として取り扱ってもらうことを明確にすることが必要です。
信頼できる外部サービスを使う
クラウドサービスなど外部サービスをコスト優先で選んでしまうと障害等でサービスが利用できなくなっても補償を受けられない場合もあります。
外部サービスを利用する場合は性能や信頼性、補償内容など十分に吟味しましょう。
解説編
事故発生に備えて事前に準備する
実際に事故が起きてからだと冷静に対応する余裕がなくなってしまいます。また、対応が後手に回り、それが原因でさらに深刻な事態になりがちです。
報道されるセキュリティ事故などを参考にもし「同じこじことが自分の会社で起きたらを想定して・・・」
誰がいつ何をするのかをまとめておきましょう。
情報セキュリティ対策をルール化する
経営者が情報セキュリティ対策に関する方針を決めていたとしてもそれを具体的なルールとして明文化していなければ、従業員は都度経営者の指示を仰がなければなりません。従業員が自らルールに従って行動できるように従業員がいつでも見られるよう「企業としてのルール」をまとめて明文化しておく必要があります。

「対策のしおり」より
https://www.ipa.go.jp/security/antivirus/shiori.html

講師:東野康宣(ITコーディネータ/IPAセキュリティ・プレゼンター)>>