エモテットに対する自衛手段
こんにちは。私の妻はピラティスのプライベートサロンを運営しています。
私は股関節が固いので、それを相談したところ、スパルタレッスンが始まりました。インナーマッスルを鍛えている様子です。効果のほどについてはいずれnoteで報告したいと思います。
今日は、巷を賑わせているエモテット(Emotet)に対するリスク管理についてお話をします。
エモテットとは
ついに私が所属している教育研究団体
にもエモテット(Emotet)が届きました。
エモテットとは、コンピュータウイルスの一種で、近年大量感染を引き起こして社会問題となっています。
特徴としては、
添付ファイル内のマクロを実行すると感染する。
感染したパソコンから次のパソコンへ送信される。
ごく自然な文体で送られるため、受信者が添付ファイルを開けてしまいやすい。
といったものがあります。(2022.04.11現在)
感染すると、データの消失などがあるため、怪しいと思った添付ファイルは決して開けないようにしてください。
実際に来たメール
実際に来たメールはこのようなものです。
Re:○○○○研究会
以下メールの添付ファイルの解凍パスワードをお知らせします。
添付ファイル名:2022-03-02_****.zip
解凍パスワード:04***
○○○○研究会
Tel 044-639-XXXX Fax 044-012-XXXX
Mobile 090-9953-XXXX
Mail 〇〇〇@gmail.com
このように、最小限の文面で、違和感のない文章になっています。
ちなみに、電話番号などはランダムに生成されたもののようです。
この研究会は、やり取りをしたことのある団体だったので、知識が無かったら添付ファイルを開けてしまうところでした。
即時に送信した注意喚起メール
このメールアドレスは、主に大会や研修の参加にしようしているメールアドレスだったので、即座に次のメールを送信しました。
当研究団体からウイルスメールが送信される可能性があること
添付ファイルを決して開けないこと
不明点は事務局に連絡をしてほしいこと
です。
さらに、以下のことから個人情報が守られている点も強調しました。
参加者の個人情報を守ることができた対策
①大会参加者の情報保存場所について
大会参加者の情報はWordPressを運営しているサーバ上に保存されていることを伝えました。このことにより、当該パソコンが感染したとしても、エモテットによる個人情報の流出の恐れはないということを伝えました。
②アドレス帳に参加者のアドレスは保存されていないこと
エモテットの特徴として
アドレス帳に記載されているメールアドレスに送信する
ということがあります。
そこで、参加者のメールアドレスはアドレス帳に登録されておらず、csv形式で保存されたものを用いていたことを伝えました。
③クレジットカード情報は外部に金銭を払って委託していること
当研究会は、研修や大会をオンライン決済できるようにしています。
そこで、クレジットカード情報を扱うのですが、ここに関しては以下のような相談メールが来ました。
大会参加の際に、クレジットカード情報を入力したが、その流出の心配は無いのか。また、研究会メンバーがクレジットカード情報を不正に扱うことは無いのか。
これに関して、
クレジットカード情報に関しましては、Stripe社に一会計あたり3.6%の手数料を支払い、完全委託をしております。
※『Stripe』は、最も厳しい業界標準に準拠し、規制に関するライセンスを世界中で取得しています。
⇒ https://stripe.com/jp/payments
ご入力いただいたカード情報は、当研究会を一切経由せずに、直接決済システムである『Stripe』に登録されます。そのため、我々スタッフが参加者のカード情報にふれることは絶対にございません。
また、『Stripe』はグローバルなセキュリティ規格「PCI DSS」に準拠しております。
現在のところ、Stripe社からカード情報流出の通知は来ておりません。当研究会のスタッフから情報流出や悪用の案件が出ることはシステム上不可能になっております。ご安心いただければと存じます。
というメールを送信しました。
これに関しては、金銭を支払って外部委託をしておいたおかげで、参加者の安心を得ることができたと考えています。
これらの対策にもリスクはあるが・・・
もちろん、これらの対策についてもリスクはあると思われます。
それでも、外部委託をしていくことで、責任を最小限にする必要性を感じました。
予算を付けるべきところにはしっかりと予算を付けていくこと。
これはこれからのリスク管理時代に身に着けておきたいスキルだと感じました。
では、またね~!
この記事が気に入ったらサポートをしてみませんか?