Digital Arts News Watch

2015年6月1日、日本年金機構は保有する個人情報が漏洩したことを公表しました。この事件の原因は、職員が電子メールに添付されたマルウェアを開封し、感染した端末を通じ、情報が窃取される「標的型攻撃」でした。このような攻撃が日々さまざまなところで起きており、日本年金機構の事件をきっかけに東京商工会議所や石油連盟など多数の企業団体が標的型攻撃によるマルウェアの感染や情報漏洩を相次いで公表しています。

コンピュータセキュリティの情報を収集し、インシデント対応の支援、コンピュータセキュリティ関連情報の発信などを行う「JPCERT コーディネーションセンター」は2015年4月1日から6月23日までに調整中であるインシデントを2,479件と発表し、このうち61件が標的型攻撃に関するものと報告しており、このことからも標的型攻撃の脅威が、他人事ではないことがご理解いただけると思います。

前回このコラムでは「情報セキュリティ教育の必要性」に関して取り上げ、社内の設備を整えると共に、リスク低減のためにセキュリティに対する正しい理解を行なった上で、従業員への教育の必要性が高まっていることをお伝えしました。そして今回は、従業員が普段の業務を行う中で具体的に「どこに」「どのような」リスクが存在し、どういった対策を行うべきかをご紹介します。従業員への情報セキュリティ教育の実施の際にあたって、ぜひご一読ください。

ただし、教育はあくまでもリスクを低減するためのものであり、これのみで安全を担保できるというものではありません。時代にあったポリシーを作成し、設備を整え、正しく運用・管理し、インシデントが発生した時に速やかに対応できる体制づくりなど、多くの対策を総合的に行うことが重要です。

メールの利用に関連すること

まず、メールの受信では、標的型メール攻撃の被害を受ける可能性があります。犯罪者はメールに添付した「ファイルの実行」や「URLの閲覧」を誘導することで、受信者の端末をマルウェアに感染させます。

メールを受信した際は、送信者のメールアドレスを確認する癖を付けることが重要です。ただし、送信者のメールアドレスを犯罪者が偽装して利用している可能性もありますので、添付ファイルやURLを安易に開かず、少しでも不審な点がある場合は、送信者に確認するか、セキュリティ担当者に相談するようにしましょう。

また、メールアドレスを犯罪者に悪用されることを防ぐため、会社のメールアドレスを個人的な連絡に利用することは避けましょう。組織内のたった1人でもマルウェアに感染してしまうと、組織内部にある重要な情報が窃取されたり、感染端末が犯罪者に利用され、攻撃が引き起こされる可能性があることを忘れてはいけません。

一方、メールの送信では、「添付ファイルの間違い」や「Bcc:をCc:で送信してしまう」などいった誤送信によって情報漏洩を引き起こす可能性があります。メールを送信する際は、メールを作成後、すぐに送るのではなく、送信前に必ず宛先と内容（文面と添付ファイル）の確認を行う癖を付けることが重要です。

公私の区別を正しくつける

業務で取り扱う情報は社外に公開してはならない内容が多く含まれます。FacebookやTwitterといったSNSに仕事内容を書き込むことや社内の様子を写真に撮りアップロードすることは行なってはいけません。

また、SNS上での公開範囲を適切に設定することも重要です。犯罪者はあなたの登録している情報や投稿内容を攻撃に利用して、標的型攻撃に使用する可能性があります。SNSの利用には十分に注意が必要です。

さらに、会社から支給された端末での私的な利用にも注意が必要です。犯罪者がマルウェアなどを埋め込んだWebサイトにアクセスし、感染してしまうと情報漏洩につながりかねません。

ある企業では、従業員Aさんが業務中にアダルトサイトを閲覧したことで、マルウェアに感染してしまい、遠隔操作によって情報漏洩が起きてしまったという事例もあります。この企業では、組織の端末で「誰が」「いつ」「何を行なったか」をデータとして取得していたため、原因が判明し従業員Aさんは懲戒処分となりましたが、漏洩した情報は回収不可能なため、企業には多大な損害が発生しました。

社内ルールを確認し遵守する

多くの組織は業務で利用する端末の利用時にUSB の利用禁止や特定の操作を行うための申請など、多くのルールが定められています。従業員は私物の端末と比べ、不自由さを感じることも多くあります。しかし、これらの設定やルールは、会社の情報やシステムを保護するための重要な役割を果たしています。これらを正しく理解して、その上で勝手に設定変更や認められていない行為は避け、決められている社内ルールを守るようにしましょう。また、疑問や不満がある場合は、上長や担当者に相談するなど、普段からコミュニケーションを密に行うことをおすすめします。

まとめ

情報セキュリティ教育に加えて、当社製品をご利用いただくと、標的型攻撃対策や私的なWeb利用の抑制などをシステムで実施することができます。ぜひご検討ください。

項目	リスク	対策	対策できる当社製品
メール受信	標的型メール攻撃	メールアドレスを確認する 不用意に添付ファイルやURLを実行しない	m-FILTER
メール送信	誤送信からなる情報漏洩	送信前に内容を確認する癖を付ける	m-FILTER MailAdviser
SNS	業務端末を利用したSNSへの投稿	業務内容を投稿しない	i-FILTER
Web利用	Web経由のマルウェア感染	私用のWeb閲覧を行わない	i-FILTER

＜製品開発担当：桑原＞

「i-FILTER」「m-FILTER」の詳細は製品紹介ページをご確認ください。