セキュリティクイズを通して考える、巧妙化するサイバー攻撃から組織を守る方法
皆さん、すでに厳しい暑さが続いておりますが、いかがお過ごしでしょうか。
私はと言えば、先日とあるご縁でサイバーセキュリティを語る「熱い」講演会をしてまいりました。
「巧妙化するサイバー攻撃から組織を守るには ~効果的な実践的対策~」というテーマで、京成電鉄株式会社様で講演をさせていただきました。今日はその講演の中から、当日実施した、セキュリティを「自分ごと」として考えるための『セキュリティクイズ』についてお届けします。
個人編、組織編と用意してあるので、ぜひ皆さんも一緒に考えてみてください。
セキュリティクイズについて
クイズの目的は以下の通りです。
セキュリティ対策の必要性を知る
どのような脅威が存在しているかを知る
どのようなセキュリティ対策を実施しているかを知る
セキュリティ対策で気を付けていることや注意すべき点を知る
個人であっても組織であっても、セキュリティ対策を行うことの重要性は変わりません。
クイズを通して一人一人がセキュリティ対策の必要性を理解し、「自分ごと」として捉えていただきたいなと思います。
今回出題するクイズは、IPA(独立行政法人情報処理推進機構)が発表した「情報セキュリティ10大脅威 2024」のランキングを参考にしています。
上記は、前年2023年に発生した脅威を、社会的に影響が大きかったと考えられる順にランキング化したものです。今回は時間の関係上、一部のみご紹介しました。
※IPAによる解説資料も公開されていますので、興味がある方はぜひご覧ください。
セキュリティクイズ・個人編
【個人編クイズ①】不審なメッセージが届いたら
緊急性の高いSMSメッセージを受信しました。メッセージを受信した後の行動として不適切なものはどれでしょう?税金の未払い分を請求するメッセージが表示されています。
正解は、『C. リンクをクリックする』が不適切な行動です。
リンクをクリックしてしまうと、偽サイトのページが表示され、例えばログイン情報やクレジットカード情報を入力させるような画面に誘導される可能性があります。そこで実際に情報を入力することで、情報が窃取されて悪用されてしまうという事態につながってしまいます。
こういった詐欺はフィッシング詐欺と呼ばれています。特にスマートフォンなどで使われるメッセージ機能であるSMSを悪用して、受信者をフィッシングサイトへ誘導、アカウント情報やクレジットカード情報を窃取するスミッシングと呼ばれる手口が増加しています。
官公庁や自治体、銀行、通信キャリア、通販サイト、宅配便などを騙る様々なスミッシングが確認されています。
不審なSMSを受信した際は、不用意にリンクをクリックしないようにしましょう。
【個人編クイズ②】フィッシングサイトに情報を入力してしまったら
先ほどご紹介したフィッシング詐欺の事例です。フィッシング詐欺による偽サイトを開いてしまって、そのサイトでクレジットカードの情報を入力してしまいました。果たしてどのような被害(問題)が発生してしまうのでしょうか?
正解は『D. 身に覚えのないクレジット決済が行われる』です。
フィッシングサイトに入力した認証情報(IDとパスワード)だけでは、一見すると金銭的な被害には直接つながらないように思われます。しかし、クレジットカード情報もあわせて入力してしまった場合、盗んだ認証情報を使って通販サイトに不正ログインされ、勝手に買い物されてしまい、さらに盗んだクレジットカード情報を使って不正に決済される、ということが考えられ、こういった被害も実際に出てきています。
そして、氏名や電話番号といった個人情報も、実は闇サイトと呼ばれる場所で情報が転売されているケースがあり、不審な電話がかかってくる可能性もあります。
フィッシングの報告件数は、2022年は約8万件から10万件で推移していますが、2023年の1月を見ると、約4万件という形で大きく減少はしています。それでも一定数の方々が実際にこういったメッセージを受け取っていて、情報を入力してしまっている実態がありますので、不審なメッセージを受け取ってもリンクを開かない、それから情報を入力しない、と改めてご注意いただければと思います。
セキュリティクイズ・組織編
【組織編クイズ①】不審なメール
業務中にこのようなメールを受信しました。このメールを受け取った後の行動としてもっとも適切なものはどれでしょうか?
最も適切な行動は、『D. 差出人のアドレスを確認する』です。
不審メールによる攻撃は日々巧妙化しています。攻撃者は、受信者が不審メールだと気付きにくくするような様々な偽装テクニックを駆使してきます。特にメール本文は、ChatGPTなどの生成AIによる自然な文章作成も可能となっていて、一見すると不審メールだと気付けないようになってきています。
怪しいメールが届いても、慌てずに以下の項目を確認しましょう。
■差出人のメールアドレス
@(アットマーク)以降のドメインの部分に注目してください。正規のドメイン名の表記に似せた、偽のドメイン名が表示されている可能性が高いです。
■本文
不自然な文章になっていないか、心当たりがある内容かどうか、よく確認してください。
■添付ファイルやURL
誤って開いてしまうと、その中に仕込まれたプログラムが実行されてしまい、端末がマルウェア(ウイルス)に感染してしまう可能性があります。
メールの件名や本文の内容から、つい開いてしまう方もいらっしゃるかもしれませんが、落ち着いて冷静に対処しましょう。
少しでも不審に感じるメールを受信した場合は、メールを開かずに、速やかに上司の方や社内のセキュリティ担当部門の方に報告するようにしましょう。
【組織編クイズ②】ランサムウェア対策
(例:ランサムウェア「WannaCry」によって表示される日本語の身代金要求画面)
出典:IPAサイト
ランサムウェアの被害も増えています。
ランサムウェアに感染すると、端末にあるデータが暗号化されて利用できない状態になってしまい、それを解除する代わりに金銭を要求されるといった事案が発生します。
そんな中、ランサムウェア感染への対策として、バックアップが非常に注目を浴びてきています。ということで、バックアップ対応において、もっとも対策効果が見込めないものはどれでしょうか?
最も対策効果が見込めないのは、『A. オンラインでバックアップを取得する』です。
前述の通り、ランサムウェアとは、データや端末に特定の制限を掛け、その制限の解除と引き換えに金銭を要求するマルウェア(ウイルス)のことです。
データ(Officeファイルやデータベース)などが暗号化され、社内の複数の端末やサーバなどへも被害が拡大し、会社として事業継続が困難になるケースが散見されます。ランサムウェア感染時に事業停止につながらないよう、適切なバックアップの取得や準備が重要です。
では、なぜ「オンラインでのバックアップ取得」では対策効果が見込めないのでしょうか?
ランサムウェアはネットワークを通じて感染拡大していきます。そのため、オンラインでバックアップを取得していた場合、バックアップデータはクラウドストレージに保存されることになりますが、その保存場所も攻撃者に特定されてしまうと暗号化の対象になる可能性があります。
バックアップに関しては、ネットワークに接続していない環境でバックアップを行う「B. オフラインでバックアップを取得する」が有効な手段となります。
ランサムウェアに感染してしまったら
ランサムウェアに感染してしまった後に発生する事案としては、まずはデータが暗号化されてしまいます。その後、データの復旧と引き換えに身代金を要求するという形で金銭を支払うように強迫されてしまうのですが、実はこの一番最初の暗号化の前に、すでに情報が窃取されて漏洩してしまっていて、闇サイトで公開されてしまっている場合が多いです。
また、身代金の要求に対して、言われるがままに金銭を支払うことは一番おすすめしません。仮に金銭を支払ったとしても、暗号化されたデータが元の状態に戻る保証はありませんし、一度金銭を支払ってしまうと、攻撃者の要求を呑む企業だと認定されてしまい、さらなる攻撃のターゲットとなってしまう可能性があります。
実際に、身代金を支払った企業の8割が再度攻撃を受けているという報告もあります。その中で、同一の攻撃者グループが再度攻撃を行った割合と、別のグループが攻撃を行った割合が5割ずつとなっています。これは、攻撃者の中で情報が共有されてしまい、別の攻撃者グループから見ても攻撃すれば身代金を支払ってくれる企業だと認識されることで、攻撃を仕掛けられていることを表しています。
さらに、暗号化前に情報が流出している可能性が高いと前述しましたが、流出したデータのサンプルを公開して第三者に販売する組織も存在します。
よって、身代金を支払うことは一番避けるべきことで、そうならないためにも、まずはバックアップの取得をはじめとした対策を行う必要があります。
https://www.dataclasys.com/column/ransom_re-damage_20220623/
【組織編クイズ③】内部不正対策
あなたは情報システム部門の責任者で、テレワーク中に機密情報を持ち出すといった内部不正の対策を実施しようと考えています。その中でもっとも効果が見込めるものは何でしょうか?
最も効果的な対策は『A.私物のUSBメモリを使えないようにする』になります。選択肢 B・C・Dは、自由にアクセスしたりと、不正対策どころか不正を誘発する可能性があります。
内部不正とは、従業員が会社のポリシーに違反し、社内の機密情報などを外部に漏洩させてしまうことを指します。
内部不正は「動機」、「機会」、「正当化」の3つの要素が顕在化したときに発生しやすいと言われています。動機は「不正を行わざるを得ない状況」を、機会は「不正を行う機会がある環境」を、正当化は「不正を行う時に生じる葛藤による、不正を行う判断をする際の理由付け」を指します。これらの条件が揃うと、通常では考えられないような行動でも、理由付けして実行してしまう可能性があります。
内部不正ができないよう、システム的な制約に加えて、「動機」、「機会」、「正当化」を全体的に低減できるよう、組織全体で対策を検討する必要があります。
質疑応答:内部不正を防ぐためにはどうすればいいのか
最後に、講演時にいただいた質疑応答を一部ご紹介します。
内部不正による情報漏洩は、IPAの情報セキュリティ10大脅威にもラインクインしていたり、昨今大きな情報漏洩事件が報じられることもあって、「内部不正を防ぐためにはどうすればいいのか?」という質問をいただきました。
【Q.】
社員による内部不正を防ぐためにはどうすればいいのでしょうか。例えば、マルウェアなどのように組織の外側からの攻撃に関しては注意しやすいと思いますが、内部不正は、言わば中からの攻撃なので困ってしまいますよね。(聴講者の方)
【A.】
内部不正は非常に難しい問題です。最近は、退職者によるデータ持ち出しといったケースも耳にします。
例えば、IT資産管理ツールを導入すると、PCの操作ログなどを取得することができます。そうすると、社内のサーバからデータをコピーしたり、機密ファイルの名前をそうとは分からないような名前に変更したり、さらにはクラウドサービスへのアップロード・外部共有・ダウンロード、USBメモリのような記録メディアの利用、メール送信など、データを外部に持ち出したような記録も全てログとして残ります。
このように、組織が定めるポリシーに違反した不正操作に該当するかどうかをセキュリティ製品で監視することができ、加えて従業員への教育など、一人ひとりのリテラシーの問題も重要です。製品だけでは完全な対策は難しい部分があり、そもそもPCなどを使って操作をする「人」の意識づけも必要で、製品と人の両面から対策することが重要だと思います。(福岡)
皆さん、クイズはいかがでしたでしょうか? 簡単な問題もあったかもしれませんし、難しいと感じたものもあるかもしれません。実際に、京成電鉄様の社員の方からも、以下のようなお声を頂きました。
・基本的な内容から、最近のサイバー攻撃に対する対策まで講義いただき、非常に勉強になった。システム部の社員として、セキュリティに対する意識づけをより強化し、他社の模範となる行動を心がけたい。
・クイズ形式で、自分で考える形式の研修であったことで、自身のセキュリティに対する認識と差がないことが再確認できた。
・クイズ形式で説明いただけたので、当事者として考えることができ、知識がより身に付いた。
今回の講演では、セキュリティをより「自分ごと化」して考えていただけるように、より身近な内容から組織においてまで、あらゆる場面を想定して作成したクイズを出題しました。
皆様、当事者として考えていただけたようなので、よりセキュリティ対策の必要性や重要性をご理解いただけたかなと思います。
今回ご紹介した内容は、実際に発生するリスクが高いものばかりなので、今後、業務や生活の中で目にしたときには、クイズの内容を思い出していただければと思います。
