目次
先日、IPA(情報処理推進機構) 主催のカンファレンスに参加いたしました。(※IPAは中小企業へのセキュリティ対策強化を担う組織です)
2018年版の情報セキュリティ10大脅威が発表されたので、一部抜粋して注意情報をお知らせします。
情報セキュリティ10大脅威 2018~組織編~
第1位:標的型攻撃による被害
業務上の重要情報や個人情報、金銭を目的として特定の組織を狙う攻撃が発生しています。こちらは昨年に引き続き1位となっています。
標的型攻撃とは
“メールの添付ファイルを開かせたり、悪意あるウェブサイトにアクセスさせて、PCをウイルスに感染させる。その後、組織内の別のPCやサーバーに感染を拡大され、最終的に業務上の重要情報や個人情報が窃取される。さらに、金銭目的な場合は、入手した情報を転売等されるおそれもある。”(出典:IPA)
標的型攻撃には多層防御での対策が有効です。多層防御についてはこちらの図をご覧ください。
第2位:ランサムウェアによる被害
ランサムウェアとは、パソコンなどに保存しているファイルの暗号化や画面ロックを勝手に行い、金銭を払えば復旧させると脅迫する犯罪に使われるウイルスです。業務上に必要なファイルを全て暗号化されてしまったら、業務の継続に大きな支障が生じます。
弊社のお客様でも定期的に被害が発生しています。ランサムウェア対策には、多層防御やファイルのバックアップが有効です。
第3位:ビジネスメール詐欺による被害
ビジネスメール詐欺とは、巧妙に細工したメールのやりとりにより企業の担当者を騙し、攻撃者の用意した口座へ「送金させる」詐欺です。社長のメールアドレスが乗っ取られ、実際の社長のメールアドレスから経理担当へ「送金」を依頼する事例も出ています。
ビジネスメール詐欺は昨年順位ランク外からの急上昇。現在は外国語版のメールが主流ですが、今後日本語版のメールが出てくる可能性もあるそうです。
これまでに、JALで3.8億円、ドルチェ&ガッバーナ日本法人で3億円の被害が出ています。多層防御に加えて経理担当などへの社員教育が有効です。
社員教育について、全社員に周知・意識させるのが難しいとお悩みのご担当者様も多いと思います。そんな方にはIPAから配布されている資料がおすすめです。仕事中のルールなど社員教育用にわかりやすくまとめられているので、ぜひご活用ください。下記IPAのページからダウンロードしていただけます。
情報セキュリティハンドブックひな形(IPAのサイトに遷移します)
また、気になる4位以降の内容は下記リンクからご覧いただけます。
情報セキュリティ10大脅威2018 組織編 (IPAサイトに遷移します)
他にもインターネット上の犯罪の脅威は数多くありますが、IPAセキュリティーセンターでは中小企業の対策の初めの一歩として「情報セキュリティ5か条」の確認を推奨しています。
この記事を読まれたらすぐにこちらの5つだけはチェックしていただくことをお勧めします。チェックしていただくことをおすすめします。
