顧客情報流出で倒産?!中小企業も取り組むべきセキュリティ対策とは?
中小企業も取り組むべきサイバー攻撃対策を事例もふまえて解説
(2016/08/25更新)
昨今、IT環境の変化に伴い、標的型サイバー攻撃等のセキュリティ課題も深刻化しています。
「大企業」のイメージが強いサイバー攻撃ですが、最近は創業期でも被害の危険があり、場合によっては知らぬ間に自社のユーザーをウイルスに感染させてしまうケースもあります。
自身のウイルス被害はもちろん、自らが加害者にならないために何をすべきか?情報セキュリティのエキスパートであるトレンドマイクロに、最近のサイバー攻撃の傾向と安全なIT環境への対策について伺いました。
この記事の目次
個人情報の漏洩を引き起こす恐怖のサイバー攻撃
A:サイバー攻撃にはいくつかの種類があります。昨今ニュースで取り沙汰されているのは、「標的型サイバー攻撃」というものです。これは、例えば企業が持っている機密情報や個人情報等、特定の情報を長期間に渡って攻撃し盗み取るようなものです。
しかし、創業間もない企業は、この攻撃の被害に直接遭うというより、個人にも幅広くばらまかれているウイルスの被害に遭う可能性が高いと考えられます。
A:そうですね。サイバー犯罪の大きな目的は、金銭摂取や金銭につながる情報を盗むことです。
例えば、ファイルを暗号化し、それを解く為にお金を支払ってくださいというランサムウェア(別名:身代金要求型ウイルス)です。このタイプが非常に増えています。
暗号化解除のために金銭を要求するものは、外部で修理ができない場合も。
A:下図2016年5月25日に発表したデータでは、赤が法人の被害報告件数、青が個人の被害報告件数を表しています。感染が増大し、1年前から8.7倍と急増してしまっていることが見受けられます。特に法人ユーザーの被害報告が顕著です。
ランサムウェア被害報告件数 (2016年5月25日発表)
A:ランサムウェアの多くは不特定多数に送られますので、ある日自分のパソコンにも送られてきて、そこから被害を受けるという可能性は十分に考えられます。「自分はサイバー攻撃の被害を受けない」と思われている創業したての方は、この被害に遭う可能性があるということを理解しておく必要があります。
知らないうちに情報漏えいの被害者に!最新型ウイルスの脅威
A:「オンライン銀行詐欺ツール」というものです。この3.4年で攻撃が増加しています。これは、ウイルスに感染しているパソコンから特定のネットバンキングにアクセスすると、正規のネットバンキングにアクセスしたはずなのに、裏では偽のサイトに誘導されているという攻撃です。
以前からある攻撃で、フィッシング詐欺サイトというものがありますが、主な誘導経路はメールで、メールの文面がおかしかったり、クリックするURLがおかしかったりというところで気付くケースもありました。
しかし、オンライン銀行詐欺ツールは、わからないうちにウイルスに感染させておいて偽のサイトに誘導するので、見た目で気付くのは非常に難しいです。偽のサイトで入力してしまうと、その銀行口座の金額が不正に送金されてしまいます。また、不正に気付かず送金が長期化してしまうケースもあります。
A:はい。下図は、当社のセキュリティ対策ソフトがインストールされたパソコンで、オンライン銀行詐欺ツールを検出した数です。
ちなみに、警察庁が毎年発表している数値では、昨年2015年の不正送金等の被害金額は30億円ですが、より多くの被害が潜在的に発生している可能性もあります。
オンライン銀行詐欺ツール検出台数(日本)
知らぬ間に情報漏えいの加害者になるケースも
A:一つは、メール経由で感染するタイプです。以前は怪しい英語のメールにウイルスが添付されているケースが多くありましたが、最近では郵便局などになりすまし、見た目だけで判断することが難しいメールの攻撃が増えています。これは、添付ファイルをクリックすると感染してしまうというタイプの攻撃です。
もう一つ、実はこちらの方が問題だと思っているのですが、正規のウェブサイトを閲覧しただけでウイルスに感染してしまうタイプがあります。今までは正規のウェブサイトだったにも関わらず、突然あるタイミングで攻撃者に改ざんされてしまいます。セキュリティに欠点があるパソコンからそのサイトへアクセスすると、裏で不正なサイトに誘導され、ユーザーは全く気付かないままウイルスに感染してしまうという攻撃です。自分が意識して何らかの動作をしなくても、ウイルスが送り付けられてしまうという脅威が最近顕在化しています。
創業初期等、セキュリティに関してあまり対策を考えられていないサイトは改ざんの被害に遭いやすいです。
創業したての企業、経営者の皆さんは、自分が攻撃を受けることもそうですが、ユーザーに対して迷惑をかけてしまうという二つの視点でセキュリティを考えることが重要です。
レンタルサーバーのウイルス対策を把握する
A:まずパソコンやスマートフォン等、従業員が使うデバイスのセキュリティ対策をしましょう。それにはセキュリティ対策ソフトなどが有効です。
もう一つは、特にウェブサイトを作る為のウェブサーバーはいつ誰からでもアクセスできますので、そのセキュリティをしっかりしておくことです。
具体的には、ウェブサイトを立ち上げる際には、まずレンタルサーバーのセキュリティ内容を事前に確認することが重要です。
A:一概には言えませんが、例えばAWS(Amazon Web Services)ではアクセス制御などの機能が標準搭載されています。それに追加するのであれば、ウイルス対策の機能や「仮想パッチ」と言われる攻撃を防止するような機能をお勧めします。また、第三者から不正にシステムを改ざんされてしまった時に、その改ざんを検知するような機能もお勧めです。
ウイルス対策は一日にして成らず!体制作りと教育が不可欠
A:セキュリティ対策は技術やソフトウェアだけで対応できるということは絶対にありません。
紛失等は、どこの会社でも起こり得ると思います。例えば弊社では、入館カードなどを紛失してしまった場合に、自分の上長と総務等に連絡することを、ルールとして定めています。従業員に対して、どんなセキュリティの脅威があるのかを共有し、それを定期的に教育しています。従業員は新しく入ってきますので、定期的に教育を行うことは重要です。
また、それほど費用はかからない形で、定期的に教育できるコンテンツを利用することも効果的です。当社を含めセキュリティ会社からウェブ上でダウンロードできるテキストもあります。
A:パソコンに妙な現象が起こってしまうと、従業員は隠してしまいがちです。しかし、問題が生じた際すぐに誰に報告するのかということをルールとして決めておかなければ、会社の他のパソコンにも感染が広がってしまうことも起こり得ます。
当社も創業当初は3人の会社でしたが、今は5000人規模に成長しております。ビジネスや売上が増えれば増える程従業員も増えていきます。そうすると、更にセキュリティポリシーもきちんと教育していく体制を作っていかなければいけないと思います。
まとめ
いつ誰にでも起こりうるサイバー攻撃の被害。日頃からの意識と体制作りで未然に防ぐ努力が大切です。今一度あなたの会社のセキュリティについて考えてみてはいかがでしょうか?安全なIT環境で安心して事業が進められるようにしましょう。
- チェックポイントまとめ
-
- サイバー攻撃による顧客情報の流出はいつ誰にでも起こり得ることを自覚する
- 従業員が使うデバイスのセキュリティ対策をする
- レンタルサーバーを借りている際は、どんなセキュリティ対策がされているか確認する
- セキュリティ対策は組織づくりと社員教育が不可欠
(取材協力:トレンドマイクロ マーケティングコミュニケーション本部 広報グループ 高橋 昌也 )
(編集:創業手帳編集部)