eラーニングブログ

Blog

2021.02.23

オリジナル教材

標的型攻撃メールから身を守るには?情報セキュリティ教育の重要性

  • カテゴリ

  • おすすめ記事

  •  

    Moodle導入支援・運用サービス
    eラーニング教材制作サービス

    企業や組織が安心して業務を行うためには、情報セキュリティ対策が欠かせません。
    企業は、社員の個人情報など自社に関する情報だけでなく、取引先や委託先などさまざまな企業・個人の情報も抱えています。これらを不正に流出させれば、その企業は信頼を失い、大きなダメージを受けることは間違いありません。
    ウイルス対策ソフトの導入、社内ルールの整備、情報セキュリティ教育の実施などの情報セキュリティ対策を確実に行い、情報漏えいを防ぐことは、すべての企業が取り組むべき課題です。



    1. 企業を取り巻く、さまざまな情報セキュリティリスク

    情報セキュリティ対策の出発点は、どのような「リスク」があるかを把握することです。業務の中で、機密情報を漏えいする危険性がどのくらいあるかを考えます。
    リスクには、「脅威」と「脆弱性」があります。脅威とは、リスクを引き起こす要因です。人の行為による人為的脅威と、災害などの環境的脅威があります。

    <脅威の例>

    人為的脅威 意図的 ウイルス、盗難、盗聴、不正侵入、情報の改ざん など
    偶発的 記録媒体や書類の紛失、宛先間違いなどのケアレスミス、会話からの情報漏えい など
    環境的脅威 火災、地震、落雷、洪水 など

    脆弱性とは、脅威によって突かれる弱点です。ウイルス対策が不十分、ソフトウェアの不具合、建物の施錠ができていないなど、セキュリティの穴を指します。
    脆弱性が多いほど、悪意のある攻撃者に狙われ、機密情報を盗まれる可能性が高まるわけです。


    2. 被害が増えている「標的型攻撃」

    悪意のあるサイバー攻撃といえば、以前は、不特定多数を狙う愉快犯のようなものが主流でした。しかし最近は、特定の組織や個人を対象とした、金銭を得るための攻撃が主流になりつつあります。
    この、「特定の組織や個人」を対象に行われる攻撃を、「標的型攻撃」といいます。

    標的型攻撃のうち、特に多いのが、メールによる攻撃です。
    例えば、A社の機密情報を狙う攻撃者が、A社の社員宛に「うっかり開いてしまいそうな」偽装メールを送り、社員のPCをウイルスに感染させます。感染したPCから、社内ネットワークを通じてウイルスを拡散させ、PCやネットワーク上の機密情報を盗み出したり、システムを破壊したりします。
    これらの攻撃は長期間継続して行われることが多く、気づかないうちに情報を盗まれていた、ということも少なくありません。


    IPA(独立行政法人情報処理推進機構)が毎年発表している「情報セキュリティ10大脅威」によると、標的型攻撃は、2016年から5年間ずっと、「組織における脅威」ランキングの1位をキープしています。2015年より以前は「組織」「個人」の区別がなかったため、組織の脅威について調べ始めて以来、ずっと1位ということになります。それほど、被害件数の多い攻撃なのです。

    順位 組織における脅威 昨年順位
    1位 標的型攻撃による機密情報の窃取 1位
    2位 内部不正による情報漏えい 5位
    3位 ビジネスメール詐欺による金銭被害 2位
    4位 サプライチェーンの弱点を悪用した攻撃 4位
    5位 ランサムウェアによる被害 3位
    6位 予期せぬIT基盤の障害に伴う業務停止 16位
    7位 不注意による情報漏えい(規則は遵守) 10位
    8位 インターネット上のサービスからの個人情報の窃取 7位
    9位 IoT機器の不正利用 8位
    10位 サービス妨害攻撃によるサービスの停止 6位

    出典:https://www.ipa.go.jp/security/vuln/10threats2020.html

    2020年11月には、日本の大手ゲーム会社が、標的型攻撃により個人情報を流出、身代金を要求される事件が発生しました。同社を標的としたランサムウェア(盗んだ情報と引き換えに身代金を要求する攻撃)に感染したことで、最大約35万件分の個人情報が流出した可能性があるようです。


    3. 標的型攻撃の手口はますます巧妙に!「大企業しか狙われない」は誤解

    標的型攻撃の手口は、実に巧妙です。標的とする企業を入念に調査し、例えば「どのようなタイトルであればメールを開きやすいか」などを考えた上で攻撃を仕掛けてきます。社員のSNSを調べたり、ときには社内の人間関係まで調べたりもします。
    メールの差出人や添付ファイルも、一見しただけでは見破れないような偽装がされています。

    標的型攻撃は「大企業だけを標的にしている」「自分には関係ない話だ」と考える人もいますが、それは誤解です。企業の規模、所属する部署、役職などにかかわらず、誰もが狙われる可能性があります。

    例えば、A社を狙う攻撃者は、A社の委託先B社、再委託先C社、取引先D社、サーバ管理E社など、少しでも関連する人たちに罠をしかけます。誰か1人でもウイルス感染させられれば、そこから感染を広げ、最終的にA社の機密情報まで辿り着くことができるからです。


    4. 標的型攻撃メールは、対策ソフトでは弾けない!

    英語のみで書かれた不自然なメールなど、あからさまなスパムメール・迷惑メールであれば、対策ソフトで弾くことができます。企業によっては、個人のメーラーに届く前に、不審なメールを弾いているところも少なくないでしょう。
    しかし、標的型攻撃メールの怖いところは、タイトルも内容も「ごく普通の業務メール」を装っているところです。「見積り依頼」や「議事録送付」などのタイトルで届いたメールをスパム扱いするソフトはありません。そのため、ウイルスが添付されたメールが、個人のメーラーに届いてしまうのです。

    機械的に弾けないのであれば、「メールが本物か偽物か」を、人の目で見て判断するしかありません。

    ・メールアドレスが正しいか?フリーのメールアドレスが使われていないか?
    ・本文におかしなところがないか?
    ・添付ファイルが偽装されていないか?

    など、通常の業務メールと異なるちょっとした違和感に気づく力を、従業員1人ひとりが身につける必要があります。


    5. システムやソフトウェアに頼りすぎず、個人のセキュリティ意識を育てる

    ウイルス対策ソフトなど、情報セキュリティ対策のためのシステムやソフトウェアの導入はもちろん必要です。しかし、情報セキュリティ対策は、「このセキュリティソフトを導入すれば絶対に大丈夫」というものではありません。攻撃者の手口はどんどん巧妙になり、ソフトでは防げない攻撃も増えてきています。
    「常に守られていて安全だ」という考えは捨て、従業員1人ひとりが情報セキュリティ対策の正しい知識を身につけ、日々の業務を注意しながら行うことが何よりも重要です。情報セキュリティ教育を通じて、個人のセキュリティ意識を育てていきましょう。


    6. 情報セキュリティ対策に使えるeラーニング教材

    ヒューマンサイエンスで提供している、eラーニング原稿 簡単アレンジシリーズ「企業で取り組む情報セキュリティ対策の基礎・2020年度事例編」は、情報セキュリティ対策のひとつとして、従業員への情報セキュリティ教育にお使いいただけるコースです。「標的型攻撃」「サプライチェーンへの攻撃」「ランサムウェア」3つの脅威を紹介しています
    PowerPoint形式なので、自社の方針や事例を追加したり、社長メッセージを加えたりするなど、自由に編集してお使いいただけます。

    3つの脅威以外に、基礎的な知識を学べる「企業で取り組む情報セキュリティ対策の基礎」コースもございます。
    情報セキュリティ対策にお悩みの方は、ぜひご検討ください!

    eラーニング原稿 簡単アレンジシリーズ
    企業で取り組む情報セキュリティ対策の基礎・2020年度事例編
    企業で取り組む情報セキュリティ対策の基礎

    城近 小夜子

    執筆者:

    城近 小夜子

    教育ソリューション部 制作グループ
    ライター/コンサルタント
    入社以来、一貫してeラーニング制作に従事。
    プロジェクト全体を統括するディレクター業務に加え、eラーニングのシナリオ執筆を専門に行うライター業務も担う。
    現在は、これまでの制作経験を活かし、教材設計やシナリオ執筆、eラーニングに関するコンサルタント業務も務める。

    お問合せ先:

    電話番号 : 03-5321-3111
    hsweb_inquiry@science.co.jp