目次
新入社員や人事異動等、組織の変更も多い時期、知っていれば防げる脅威もたくさんあります。今一度セキュリティ対策の確認を。
Office 2013をご利用中の場合、2023年4月11日にサポート終了になりました。サポート切れのソフトの利用は控え、定期的に機器やソフトの見直しもしましょう。
→中小企業で押さえておくべき情報セキュリティの脅威2023(セキュリティーニュースレターVol.95)
中小企業が押さえておくべき情報セキュリティの脅威6つ
Emotet(エモテット)による脅威(取引先への影響大)
実在の組織・取引先・社内の人物になりすまし、Word、Excel、OneNote(.one)、ZIP、ウイルス対策検知をすり抜ける暗号化ZIPや容量の大きいファイル含むZIPファイルを添付し、開かせる。感染後、メールのパスワード情報、本文、アドレス帳などの情報を搾取、その情報を元に拡散、ランサムウェアなど、新たな被害も。
- Emotetの手口や脅威を全員で知る
- 不審メール、添付ファイル、URLリンクは開かず相手に確認
- 添付ファイルを開いてコンテンツの有効化をクリックしない
- 感染が疑われる場合、最新バージョンのEmoCheckで確認
- 参考:マルウエアEmotetへの対応FAQ
ランサムウェアによる脅迫、データ損失・流出被害(事業継続の影響大)
古いPCやネットワーク機器、ソフトなどの脆弱性を悪用。暗号化され被害に気付く→バックアップがないと莫大な損失に。
暗号化したファイルを戻すための金銭要求+盗んだデータをインターネット上に公開しないための金銭要求といった二重の脅迫に変化。
- サポート切れOS、ソフト、古いネットワーク機器は使わない(ソフト、ハードは定期的に見直す)
- 不審なメール・ファイル・URLは開かない
- 重要なデータのバックアップ確認
- ネットワーク機器の管理権限、共有データのアクセス権の確認
個人利用のPC、スマホ、USBメモリ、クラウド利用などからの情報漏洩
個人利用端末でメール確認、データの持ち運び、クラウド利用は、紛失時、退職時の管理やセキュリティ対策が行き届かない。いつ誰の持ち物から、何のデータが紛失、漏えいしたか把握も困難。
- 組織で管理できる端末でのみ、組織のデータへアクセス
- アクセス制限等の見直し
- データの受け渡し等、組織で運用ルールを決める
- フリー、提供元不明のサービスの利用は利用を控える
巧妙化し続けるフィッシングメール
フィッシングメール→偽サイトにログイン→不正アクセス情報漏洩。パスワード使いまわしの場合、複数のサービスに被害拡大。いつ偽サイトに入力したかもわからず、被害にあって気付く。
- メール本文のリンクからアクセスしない
- パスワードの使いまわしはさける
- 参考:迷惑メール相談センター(デ協)
サポート詐欺
インターネット閲覧中に、Windowsの警告画面。表示されているサポートの電話番号にかけると、サポート費用の支払い要求、遠隔操作され情報搾取や不正送金の2次被害も発生!
- 偽の警告表示、警告音が鳴っても、サポート詐欺を疑い、信用のおける相手に相談を(警告画面の番号へは電話しない)
- 参考:マイクロソフトのサポートを装った詐欺にご注意ください
外出先のWi-Fi利用
外出先で鍵マークのない、フリーWiFiへのアクセスや、ホテルや公共施設などにある鍵マークがあるWi-Fiへのアクセス
→通信情報の搾取、不正サイトへの誘導、偽WiFi利用ログイン画面
- 外出先では、フリーWiFiは利用せず、組織で用意したモバイルWiFiやスマホのテザリングで接続する
- 参考:無線LAN(Wi-Fi)の安全な利用(セキュリティ確保)について(総務省)
対策
- 組織全員で定期的に脅威を知りましょう
- 情報共有(不審なメールが届いた場合は組織全体で共有)
- 最新化(OS、ソフト、ネットワーク機器等、計画的に見直しアップデート)
