西本逸郎氏のセキュリティコラム「中小企業向けのサイバー攻撃対策検討の際のポイント」

第二回目は、中小企業向けの対策に関してです。

中小企業と言っても、その業態により対策は全く異なります。コマースサイトやオンライン ゲームサイトなどサイバー空間が商売の領域であれば、セキュリティ対策は必須となるのでここでは割愛します。例えば、各種製造業、工務店、理容店、店舗な どリアルで商売をしているところ、加えて、各種公益法人、地方公共団体などを対象に考えてみます。

恐らく、一番意識しなければならないこ とは、過失や無知によるセキュリティ事故です。例えば、カバンやパソコン、USBメモリなどの紛失から、業務内容が他人に知られ、発注元や関連機関に連絡 が入るなどです。仕事をきられる、善後処置のため、社員一同心底へとへとになり会社の信頼も社員の絆も失われてしまいます。また、社員や職員のSNSでの しでかしも、大きな脅威になります。それに対し「禁止!」で対抗するのが一般的ですが、実際はそう簡単ではありません。結局、会社は禁止していても、結局 やってしまえば、会社としての始末をつけざるを得ないからです。

また、データの消失も意識が必要です。2005年以降急速に様々なシステ ムに依存することとなりました。そのため、データを失ったときの衝撃は恐らくは10年前とは段違いに変化しています。昔は、全て失うことは火災などよっぽ どなことでしたが、今は簡単に発生しえます。恐らくはデータ消失は会社の存続に関わる大きな事件となり得ます。

こういった危機にあっという間に陥ってしまうのが、情報セキュリティの脅威です。このあたりのことは、言い古されていますので、各種公開されている対策を行っていただきたいと思います。

この、シリーズは所謂「サイバー攻撃」への対策ですので、その観点でお話をします。

まずは、昨今の急速に脅威の拡大を見せているのが、インターネットバンキングでの不正送金です。先日、警察庁からも発表がありました。7月までの被害が398件で計約3億6千万円となり、過去最悪だった2011年を既に被害件数、総額とも上回ったとの報道が相次ぎました。
http://sankei.jp.msn.com/affairs/news/130803/crm13080300020000-n1.htm
http://www.nikkei.com/article/DGXNASDG02059_S3A800C1CR8000/

報 道によると、楽天、ゆうちょ、みずほ、三菱東京UFJ、りそな、シティバンク、ジャパンネット、セブン、北洋、十六、大垣共立などの銀行口座から送金され たとのこと。送金先の75%が中国人と見られる名義であり、被害者の多くでパソコンがウイルスに感染しており、IDやパスワードを盗まれていたということ です。

個人の場合は、重過失がない場合は実被害を避けることも可能なこともあるようですが、法人の場合は、基本的には自己責任となることが多いようです。インターネットバンキングを使用している組織も多いと推測されます。

関連して、先日トレンドマイクロ社から興味深い発表がありました。
「ウイルス感染で偽ログイン画面に誘導…日本に集中 ネットバンキング不正送金」
http://headlines.yahoo.co.jp/hl?a=20130804-00000066-san-soci
イ ンターネットバンキングのホームページ(HP)でログインする際に、偽のログイン画面に誘導する新種のウイルスに感染した2万台のパソコンが日本に存在し ているということのようです。以前は、この手の攻撃は欧米ばかりで発生していましたが、昨年くらいから、守られてきたがゆえに意識の低い日本が、明らかに 標的となっているという証左であろうと考えます。つまり、2万台の感染パソコンのうち何台でインターネットバンキングをやっているかはわかりませんが、仮 に1%だとすると、200台のパソコンの持ち主が被害を受けていても不思議ではありません。そして、恐らくは改ざんされたホームページを閲覧したことによ り、ウイルスに感染しており、現在も気づいていない持ち主も多数存在していることが推測されます。

中小企業で、まず考えることは、例える と、集金した現金を抱えて繁華街に飲みに行かない、ということです。つまり、現金を直接取り扱うパソコン(つまり、インターネットバンキングを行うパソコ ン)で、外部からのメールを開封したり、ホームページで調べ物をしたりしてはいけないということになります。具体的な対策方法はたくさんあります。また、 すでに感染して潜んだこそ泥がいるかどうかを調べる方法もあります。

つぎに、前回のコラムでも紹介しましたが、やはり、ホームページ改ざ んにはご注意ください。今年に入って大量の改ざんが相次いでいます。恐らくは、前述のインターネットバンキングでの不正のため、閲覧者のパソコンにウイル スを感染させる目的と推測されていますが、全容は明らかになっていません。

「外見上変化のないウェブサイト改ざん事案の多発について」警察庁
http://www.npa.go.jp/cyberpolice/topics/?seq=11618
「ウェブサイト改ざんの増加に関する一般利用者(ウェブ閲覧者)向け注意喚起」IPA
http://www.ipa.go.jp/security/topics/alert20130626.html

こ のサイト改ざんですが、見た目上は何も変化がありません。巧妙に他のサイトへ誘導するスクリプトなどのタグが埋め込まれ、閲覧者に恐らくはインターネット バンキングを行うときに、IDなどを不正に窃取する画面を表示させるようなウイルスを埋め込んでいるものと推測されていますが、全体像はわかっていませ ん。閲覧者が個人だと思われる場合は、インターネットバンキング、組織の場合は遠隔操作ウイルスを入れ込んでいるのかもしれません。

いずれにせよ、閲覧したパソコンに登録されているアカウント情報は持ち出していると推測されています。

また、多くの場合、利用者から或いは地元警察などのパトロールで発見され通報されることが多いです。しかし、通報そのものがいたずらと思われたり、点検は行っても改ざんを確認できなかったりし、放置されている事例もよく見受けられます。

さ て、この改ざんを受けたサイトは、日本国内で今年大量に発生しています。特に、Apache Struts2などのJAVAで開発したシステムを動作させる環境(アプリケーションサーバ)や、WordPressやMovableTypeのような CMSが標的となっている傾向が見られます。中小企業で非常に多く採用されているにもかかわらず、多くの企業でその認識がないことが多いことも、被害が広 がっている一因であると私は見ています。最近のホームページの運用は経験や知見のない人でも簡単に運用できるようなシステムへ変化しています。つまりは便 利になっているのです。その、便利な道具の保守をどこもやってないことが多いのです。また、サイトのコンテンツを更新する人、つまりは管理者が管理者とし ての自覚がなく、そのサイト更新のためのアカウント情報が盗まれ、改ざんされていると推測される事例も多く発生しています。

また、改ざん されてもバックアップから戻せば良いじゃないかと一般的には軽く考えられがちです。高々、落書きだろ、落書きは消せば良いじゃないか、という理屈です。し かし、前述の理由のため、戻しても再発します。改ざん原因を根治していないからです。そのうち、上記が原因と気づき対処して再開しても、再発することが 多々あります。最初に侵入を受けたときに密かに遠隔操作ツールが埋め込まれ、それを経由して改ざんなどされるのです。すると、運用を請け負っている会社 と、被害企業の間の信頼関係はぼろぼろになります。そうこうしているうちに、改ざんされていることが周知となり、取引先などから問い合わせが来ることにも あり、情報流出の事実がないことの証明や弁明に多くの時間や体力を使い、冒頭の話と同様に、社員一同心底へとへとになり会社の信頼も社員の絆も失われてし まいます。

もう既に改ざんは受けているかもしれない、若しくはいつ受けてもおかしくない状態かもしれない、あたりを念頭に取り組んでいただきたいと思います。これも、調べる方法はあります。

ま た、最近よく言われている、標的型攻撃も意識が必要です。この攻撃で意識すべきはまずは、関係者とのメールのやり取りです。この関係者およびやり取り内容 が根こそぎ流出し、その情報が次に侵入するときの「餌」として悪用されたりします。すると、関係者から情報が流出したのではないかとの指摘が入ることにな り、これまた、社を上げての対応をせざるを得なくなります。

結局、仕事を止められ、業務が止まり、信頼と仕事を失い、社員の絆までが奪わ れる危険性があります。最終的にはそう陥らないようにすることが重要な手立てとなります。そのためには、社員のレベル向上、最低限の予防策と早期の発見策 を軸とした対策が、企業の将来、成長、費用対効果を睨むと落しどころではないかと私は思います。

関連記事

更新情報

最新コラム

  1. こんにちは。吉政創成の吉政でございます。今日は「ビジネスチャットの稟議の通し方」というタイトルで書き…
  2. こんにちは。吉政創成の吉政でございます。今年もDSol Power Dayに参加してきました。…
  3. こんにちは。吉政創成の吉政でございます。プライム・ストラテジーのマーケティング支援も行ってい…

ログインステータス

ログインしていません。

最新事例

  1. 某消費財メーカー24時間稼働監視・維持保守・運用支援事例を公開しました。24時間365日の有…
  2. 「KUSANAGI」導入で表示速度UP、Webサイトアクセス数が約20%増加「ディーアイエスソリュー…
  3. 某ホテル Wi-Fiを活用した顧客サービスの強化事例を公開しました。興味がある方はログインの上、ダウ…
ページ上部へ戻る