「うちは中小企業だから、サイバー攻撃の心配はない」 
0 コメント
ソーシャルエンジニアリングとは
ソーシャルネットワーキングサービス(SNS)は聞いたことがあるけれど、ソーシャルエンジニアリングは聞いたことがない、という方も多いのではないでしょうか。 ソーシャルエンジニアリングは、人の心の隙や油断を狙ったサイバー攻撃です。 高度な技術を要する攻撃とは異なり、人の心理を巧妙に突くため、防ぐのが非常に難しいのが特徴です。 そのため、従業員のセキュリティ意識向上など、組織的な対策が不可欠になります。 ソーシャルエンジニアリングの種類には、関係者へのなりすまし、フィッシング、のぞき見などがありますが、最近ではSNSを利用した手口も報告されています。 狙われたDMM Bitcoin 2024年12月に警察庁が発表したDMM Bitcoinからの約482億円相当の暗号資産窃取事件は、北朝鮮を背景とするサイバー攻撃グループ「TraderTraitor」(トレイダートレイター)によるものと特定されました。 「これだけだと、ソーシャルエンジニアリングと関係ないのでは?」と思われるかもしれませんが、その手口はまさにソーシャルエンジニアリングそのものでした。 https://www.npa.go.jp/bureau/cyber/koho/caution/caution20241224.html 攻撃者は、ビジネスSNSであるLinkedInを使い、DMM Bitcoinが利用する企業向け暗号資産ウォレットソフトウェア会社Gincoの従業員に接触しました。 Gincoのウォレット管理システムへのアクセス権を持つ従業員に対し、GitHub上に保管された「採用前試験」を装った悪意あるPythonスクリプトのURLを送付。 従業員がこのPythonコードを自身のGitHubページにコピーして実行してしまったことで、情報が侵害されました。 これは、被害者の「より良いキャリアを築きたい」「自分のスキルを評価されたい」といったポジティブな感情や、プロフェッショナルとしての義務感といった人間の心理的な隙を巧みに悪用する、ソーシャルエンジニアリングの典型的なパターンでした。 街中でも起こり得るソーシャルエンジニアリング ソーシャルエンジニアリングは、このように手の込んだものだけではありません。 先に記載したとおり、「のぞき見」もその一つです。 最近では、モバイルPCやスマートフォンの性能向上やSNSの浸透に伴い、電車やバス内でのビジネス上のやり取りが散見されます。 空いている空間で周囲を気にしながら作業しているのであればまだしも、満員電車やバス内で、周囲への注意を払わずスマートフォンに向かい黙々とタイピングに勤しんでいる姿は、残念ながらよく見かけます。 日本人は「性善説」で物事を捉えがちですが、万が一、悪意のある人間がタイプされた内容を盗み見し、悪用したらどうなるでしょうか? 単に接待の予定についてのやり取りであれば問題ないかもしれませんが、価格や取扱量といった営業情報が含まれている場合は、会社に大きな損害を与えかねません。 継続的なソーシャルエンジニアリング対策教育 「ソーシャルエンジニアリング対策教育」というと大変そうに感じるかもしれませんが、実際はそうではありません。 経営者、そして従業員の皆様が、一人ひとりのセキュリティ意識を向上させることが重要です。 身近なところでは、以下の点に注意しましょう。
また、身に覚えがない、あるいは疑わしいと思ったメールは、すぐに開封せず、必ず発信者に電話で確認をするなどの作業が必要です。 さらに、セキュリティソフトを常に最新の状態にしておくことで、誤ってマルウェアに感染するなどのリスクを減らすことができます。 折角大事に築き上げた会社を、たった一つの間違いで壊してしまう、 ソーシャルエンジニアリングは、そんな恐ろしい可能性を秘めています。 皆様の会社や大切な従業員を守るためにも、ぜひご一考いただければと存じます。 第1回:あなたの会社にとって「情報」は「武器」ですか?〜見過ごされがちな情報漏洩のリスク〜
「情報セキュリティ」と聞くと、大企業の話でしょ?と思っていませんか? 実は、中小企業にとって情報セキュリティは、事業を強くし、成長を加速させるための「攻め」の経営戦略になり得るのです。 皆様の会社にとっての「情報」とは何でしょうか? 顧客リスト、製品の設計図、製造ノウハウ、従業員のスキル、日々の業務データ…これら全てが、会社を成長させるための大切な「武器」です。 そして、この「武器」は、設計図のように形のあるもの(有形)だけでなく、ノウハウやアイデアといった形のないもの(無形)も含まれます。 情報セキュリティって、何?なぜ重要? 情報セキュリティとは、これらの大切な情報を守り、有効活用するための取り組み全般を指します。 単にシステムを導入するだけでなく、組織全体で情報を取り扱うルール作りや従業員の意識付けも含まれます。 残念ながら、日本でも情報漏洩の事例は後を絶ちません。 顧客情報の流出による信頼失墜、営業秘密の漏洩による競争力低下、そして対応にかかる多大な費用…情報漏洩は、企業の存続すら脅かす重大なリスクなのです。 実際に、このような事例がありました。 • 不動産事業を展開する企業の子会社の元従業員が、顧客情報を含む営業資料を外部サーバーにアップロードし、転職先でダウンロードしていた事例です。 この情報流出は、元従業員の退職後の社内調査によって発覚しました。 • 情報通信会社の元派遣社員が管理者アカウントを悪用し、約900万件以上の個人情報を不正に持ち出し、名簿業者に売却していた事例も報告されています。 情報漏洩による損害は、金銭的なもの(事故対応費用、賠償費用、売上減少、身代金など)だけでなく、風評被害、ブランドイメージの低下、株価下落といった無形損害も含まれます。 中小企業であっても、その影響は甚大であり、事業継続に直結する問題となることを認識しておく必要があります。 種苗法の「イチゴ」が教えてくれること〜情報流出は他人事ではない!〜 少し前に日本の農業分野で大きな問題として取り上げられていたのが、種苗法の不備を突いて日本のブランド品種であるイチゴやブドウの種苗が海外に無断で持ち出され、現地で栽培されている事例です。 これは、日本の農家や企業が長年かけて開発した「知的財産」が、何の対価も払われることなく海外で利用され、数百億円と言われる本来得られるはずだった利益が失われていることを意味します。 本件は余り取り上げられなくなりましたが、残念ながら現在でも続いている問題です。 これこそまさに、形のない「ノウハウ」や「情報」が「武器」として流出し、経済的損失を生む典型例です。 半導体やAIのような先端技術だけでなく、身近な農産物の品種であっても、その開発ノウハウは重要な「営業秘密」なのです。 この問題は、情報セキュリティが、特定の業種だけでなく、あらゆる中小企業にとって重要な課題であることを示唆しています。 情報セキュリティは「ハード」だけでなく「ソフト」の問題 情報セキュリティと聞くと、ファイアウォールやウイルス対策ソフトといった「ハードウェア」や「ソフトウェア」の導入だけを想像しがちです。 しかし、それだけでは不十分です。従業員の不注意や悪意による情報持ち出し、適切なルールがないために起こるミスなど、「人」や「運用」といった「ソフト面」の対策も非常に重要になります。 次回は、この「ソフト面」の対策、特に法律との関係や、具体的な情報管理のステップについて詳しく見ていきます。 |
|||
RSSフィード