ブラウザで閲覧したホームページに埋め込まれたマルウェアをダウンロードし、感染させるタイプ。
ホームページを見ただけで感染することもあり、インターネット利用者が自身で感染を認識することが難しくなっています。
中小企業によくある課題
「仕事に関連のあるものと思って自分宛てのメールを開き、そこにあるURLをクリックしたら変なページに飛ばされたが、問題ないか?」といった問い合わせをスタッフからもらうと、ヒヤリとするものです。
こうした問い合わせを減らすために情シス担当者としては、情報セキュリティ教育を定期的に実施し、セキュリティ意識を高めてもらう必要があります。
しかしどのようなコンテンツでどんな教育を行うのが良いのでしょうか?
今回は、ヒヤリハット事例が発生しないようにユーザーに対して行う教育をどのような内容で行うべきかをお伝えします。
マルウェアの感染経路は様々ですが、メールはその中でも主要な経路のひとつであるといえます。
メールは攻撃者にとってプッシュ型の手軽なツールであるため標的型攻撃に用いられることが多く、年々把握されている攻撃件数が増加傾向にあるといわれています。
実際に新聞の一部報道によると、2020年は過去最多ペースでの攻撃数となっているようです。
官民連携のマルウェア対策プロジェクトサイトであるACTIVEでは感染経路を以下の通りに分類しており、主要な感染経路のうち2つがメールに関わる経路となっています。
ブラウザで閲覧したホームページに埋め込まれたマルウェアをダウンロードし、感染させるタイプ。
ホームページを見ただけで感染することもあり、インターネット利用者が自身で感染を認識することが難しくなっています。
メールに添付されたURLをクリックし、アクセスしたホームページからマルウェアをダウンロードするよう誘導して感染させるタイプ。
Windows OS等の基本ソフトの設定の不備を悪用し感染させるタイプ。
メールの添付ファイルにマルウェアが埋め込まれており、この添付ファイルをクリックすることにより、感染させるタイプ。
USBメモリ、デジタルカメラ、ミュージックプレーヤー等の外部記憶媒体を介して感染させるタイプ。
マルウェアに感染すると様々な影響が出てきます。
例えば前述のACTIVEでは、一例として以下のようなケースが紹介されています。
マルウェア感染した端末内のデータを消去されたりPCを起動できなくされたりする、などのケースがあります。
ランサムウェアなどの感染の場合、金銭を要求されるケースもあり、金銭的被害にもつながっていきます。
ランサムウェアの身代金は平均で1億円を超えているとの発表もあります。
キーボードの入力ログを収集するいわゆるキーロガーを仕込まれ、サーバのアカウント情報を取得されると顧客の個人情報を窃取される可能性があります。
同時にバックドアを仕込まれて外部流出の経路を作成されているケースも多く、攻撃者に対して送信されてしまうことも想定されます。
マルウェア感染すると、PCが勝手に遠隔操作されて悪意を持った第三者の指令に基づき稼働するケースがあります。このような感染PCで構成されたネットワークを、ボットネットと言います。
感染したPCを悪用されると、知らないうちに犯罪に加担してしまうことがあります。よくあるのがspamメール配信のbot化です。いつの間にかフィッシングサイトへ誘導するためのメールを大量に送信してしまっていた、というケースが実際に確認されています。
またIPA(情報処理推進機構)が発表している「情報セキュリティ10大脅威 2021」では2位に「標的型攻撃による機密事項の窃取」が入っており、メールを利用した攻撃への対策は未だ優先度の高いセキュリティ対策であるといえます。
現在、メール経由での感染をセキュリティソフトだけで完全に防ぐことは困難といえます。
昨今流行したEMOTETやIcedIDに代表されるように、最近の標的型攻撃メールは一見すると、あたかも知り合いが送ってきたように見せかける文面で送られることが多く、見分けることが難しくなっています。
攻撃側のコードも解析難易度が上がり、ゼロデイ攻撃のようにセキュリティソフトだけでは防ぐことができないケースもあるのが現状です。
そうなると、結果としてシステムを活用している「人」がある程度フィルタとなり、そもそも危険な行動を行わないようにするなど対策しなければならないといえます。
IPAが発表している「標的型攻撃メールの傾向と見分け方」という資料を見ると、いくつか標的型攻撃メールの見分け方についてポイントが押さえられています。
着眼点は4つあります。
EMOTETやIcedIDも、情シス担当者として情報収集していれば知っているかもしれませんが、全社員が積極的に情報収集しているわけではありません。
そのため情シス担当者はこうした知識と対処法を、自発的に社内に発信していく必要があります。
教育を行うことで知識が身につき不審なメールに「気付く」ことができるようになり、全体としてのセキュリティレベルが向上していく形となります。
できれば教育とともに定期的に実践的なテストを行い、正しい判断ができるかどうかを確認していきましょう。
社内教育を行う場合に参考にしていただけるよう、盛り込む内容をピックアップしてみました。
参考にしていただき、必要に応じて取捨選択していただければと思います。
「やってみせ 言って聞かせて させて見せ」の言葉の通り、啓蒙活動と実践はセットで行うことでしっかりと身につくようになります。
自社全体のメーリングリスト宛てに「怪しいメールにあるURLは不用心にクリックしないこと」と注意喚起メールを送るだけではなく、その先にどのような影響が出てくるのか、それによって被害を受けた事例がどれだけあるかなどをしっかりと伝えましょう。
そのうえでタイミングを見て実践を行うことで、各従業員が「覚えたつもり」になっていた部分を実行できるかを確認し、社内のセキュリティ意識を高めていくことが重要です。
啓蒙活動としての教育は情シス担当者として行うことができますが、そのあとの実践についてはなかなか実行が難しいところです。
セキュリティ意識が高まっているか、そして正しく実践できるかどうかについては外部の協力を得るのが一番早く効率的です。
SOMPOリスクマネジメントではセキュリティ意識をきちんと持っているかどうかを図ることができる、「標的型攻撃メール訓練サービス」をご提供しております。
実践的なテストを行い、定着率を測りたいとお考えの企業様はぜひ一度ご検討ください。