まずは脱PPAPを~トヨタの工場停止は他人事ではない~
セキュリティコンサルタント小牟田 です。
~セキュリティコンサルタント 小牟田が斬る!~
『まずは脱PPAPを~トヨタの工場停止は他人事ではない~』
まだPPAPやってる?
え?ペンパイナッポーアッポーペン?
こんにちは。ペルソナの小牟田(こむた)です。
前回の投稿に引き続きセキュリティの話をしたいと思います。
“PPAP”といえば6年前に流行したピコ太郎を思い浮かべるかもしれませんがセキュリティの話題ではメール添付時の「パスワード付きzipファイル」を指します。
取引先との資料のやりとりで利用している方もいるのではないでしょうか?
でもこのやり方”パスワード付き”といいながらめちゃくちゃ危険です。
2020年に日本政府はPPAPを今後廃止する旨を公表しています。
最大のリスクは情報漏えいにつながる可能性が高いこと。
そもそも送信先が間違っていたら。。。
送信ボタンを押したときには時すでに遅し。
パスワード付ZIPファイルとパスワードが第三者のメールアドレスに送信されるとファイルの中身を見られてしまいます。
送り先が正しくてもメールの送受信を覗き見(盗聴)されている場合、言わずもがなパスワードもばっちり見られているので、そもそもこのやり方自体、セキュリティの効果が希薄と言えます。
もう一つのリスクは添付ファイルのウイルスチェックができないこと。
ウイルス対策ソフトをスルーしてメールボックスに届くのがPPAP。
悪意のある第三者からメールを受信し「パスワード付きだから安心だよね」と、不用意に解凍して攻撃用のコードがPCに入り込んでしまう。
そこから全社のシステムが全てダウンするケースも実際に起こっています。
トヨタの国内全工場停止は他人事ではない
ついこの間、以下のサイバー被害のニュースが全国に衝撃を与えました。
この小島プレス工業社に向けられたサイバー攻撃による被害は、かねてから指摘されていた『サプライチェーン攻撃』のリスクと損害の大きさを改めて世間に知らしめました。
上場企業の場合、セキュリティ事故適時開示後の株価は平均で約10%ダウンし、さらに純利益ベースでは前年比から約20%も落ちるというゾッとするデータもあります。
実際、国内企業のランサムウェアの被害相談が2022年2月下旬から急増しています。
他国での紛争による影響も否定できませんが、今年2月に米セキュリティー機器のソニックウォールのVPN(仮想私設網)製品に脆弱性が存在するとして注意喚起を出したことも大きく影響してると考えられます。
いずれにせよサイバー攻撃の脅威が日に日に増していることは紛れもない事実で、すべての企業が例外ではなくなっています。
甚大な被害を受けてからようやくセキュリティの重要性に気づいた(涙)とならないように、すべての企業が早急に対策を講じるべきです。
【対策例】
PW付き圧縮ファイルを使わない/不用意に解凍しないなど社内への注意喚起を徹底
社用PCでカフェなどのパブリックWi-Fiを利用しない
感染が疑われる端末のブラウザに保存されている認証情報の変更
すべてのコンピュータにウイルス対策ソフトの導入/スキャンの実施
テレワークの際は多要素認証やそれに類する対策を実施 など
様々な手立てを経営者へ提案できるセキュリティ人材や、その企業にとって最適でセキュアな環境を企画・構築できるプロフェッショナルを活用し、自社だけでなく、取引先や株主などのステークホルダーを守りましょう。
セキュリティ対策に真剣に取り組む企業様のお役に立てれば幸いです。
採用にお困りの企業の方は、お気軽にお問い合わせください。
DX・セキュリティの採用課題解決は、お気軽にご相談ください。
LinkedIn
▼過去投稿記事
サイバー空間から日本が乗っ取られる時代~企業がセキュリティ対策をやるべき理由~