メールや電話による問い合わせの一次対応、請求書の処理、取引先とのやり取り、担当上司やチームメンバーのスケジュール管理。このような日常業務の中にも情報漏えいやマルウェア感染、金銭窃取などのサイバー脅威が潜んでいます。一般事務やアシスタント業務従事者が注意するべきサイバー脅威と対策を紹介します。
サイバー攻撃は、企業の規模や地域、業種を問わない脅威です。あらゆる企業や組織が攻撃の標的であり、どの従業員が、いつ狙われるかわかりません。もちろん一般事務やアシスタント業務従事者もその対象です。ビジネスメール詐欺や標的型サイバー攻撃の実例を見ていきましょう。
ビジネスメール詐欺(BEC:Business E-mail Compromise)は、経営幹部や役員、取引先などを装ったメールを従業員に送りつけ、金銭や特定の情報をだまし取る手口です。たとえば、実在する取引先を装うメールに偽の請求書を添付し、「口座が変更になった」などと称して振込先の変更を依頼するパターンがあります。また、「緊急かつ極秘の取引」などと役員を装う文言で送金を促す手口もあります。
BECの手口に共通するのは、サイバー犯罪者が業務メールの盗み見やネット上の公開情報の調査をもとに標的企業で進行中の取引や人間関係などを把握し、信ぴょう性を高めたなりすましメールを仕立てることです。彼らは振り込みが発生する頃合いを見計らって実在する関係者になりすましたメールを送りつけてくるため、受信者は何の疑いもなく依頼を受けてしまう恐れがあります。
標的型サイバー攻撃は、従業員に送りつけられるメールが発端となる場合もあります。標的型サイバー攻撃は、特定の企業や組織が保有する個人情報や技術情報、機密情報、金銭を盗み出すことを目的とする一連の攻撃です。業務用クラウドサービスを装うフィッシングサイトに誘導して認証情報を奪ったり、従業員のパソコンにマルウェア(ウイルスなど不正プログラムの総称)を感染させて組織内ネットワークに侵入して情報を盗み出したりするのが典型的なパターンです。パソコン内の情報を暗号化して開けなくし、企業や組織を脅迫することもあります。
たとえば、実在する相手を装って「請求書」や「会議案内」など日常的にやり取りしているような内容のメールを送りつけ、受信者に不正なマクロを含むOffice文書ファイルを開かせる手口が確認されています。マクロは、WordなどのOfficeツールの標準機能で、事前に記録した操作内容や手順をまとめて実行させるものです。サイバー犯罪者はこの正規ツールを攻撃に悪用し、マルウェアに感染させようとします。ファイルを開き、メッセージバーの「コンテンツの有効化」をクリックしてしまった場合、不正なマクロが実行され、マルウェアに感染してしまうかもしれません。また、「あなたの組織へのなりすましメールを転送するので確認してほしい」などと外部からの問い合わせに見せかけたメールを送りつけ、受信者に添付ファイルの開封を促すこともあります。
図:「なりすましメール確認」偽装の例
サイバー攻撃の起点となるのはメールだけではありません。電話もその1つです。電話を受ける機会の多い一般事務やアシスタント業務従事者はヴィッシング(音声によるフィッシング詐欺)にも注意してください。これは立場や所属を偽ってもっともらしい要件を述べ、標的企業の従業員から情報を聞き出す手法です。たとえば、社内のシステム担当者になりすまして業務サービスのアカウント情報を尋ねたり、支社や海外拠点の同僚を装って連絡先を聞き出そうとしたりする例があります。転職エージェントによる引き抜き話や、投資の電話もむやみに信用しないでください。それらもあなたから組織の情報を聞き出すことが目的かもしれません。
また電話を使った手口の中には、受信者に偽の相談窓口などに電話をかけさせるリバースヴィッシングという手口もあります。実際、偽メールを介してもっともらしい名目の請求や無償期間終了などを通知し、偽のコールセンターに電話をかけさせる手口が確認されています。
オフィスワークにおいては関係者をCCやBCCに指定してメールを送信することがよくあります。たとえば、複数の顧客・取引先に対してイベントの案内やメールマガジンの配信、長期休暇の通知を行うケースを想像してみてください。すべての宛先をBCCに指定して一斉送信するべきところを誤ってTO(宛先)やCCで送ってしまった場合、すべてのメールアドレスが受信者に共有されてしまいます。
メールを利用する以上、誤送信のリスクはつきものです。宛先間違いや添付ファイルの選択ミスによる情報漏えいも起こり得ます。誤送信を防ぐツールやルールを導入している企業や組織も少なくありませんが、各自が日々意識することも重要です。
Microsoft Office(Word、Excel、PowerPoint)などで作成した文書ファイルを取引先関係者にメールで送る際は事前に文書の中身だけでなく、プロパティ情報(「作成者」「前回保存者」「タイトル」「件名」「タグ」「作成日時」などの属性情報)や非表示情報(「コメント」「変更履歴」「バージョン」「注釈」「隠し文字」など)も確認しましょう。うっかりそれらの情報が残された文書ファイルを社外に出してしまった場合、情報漏えいにつながるかもしれません。Microsoft Officeでは「ドキュメント検査」を使用することで文書ファイルに保存されている不要な情報を一括で削除できます。
アシスタント業務従事者にとって担当上司やチームメンバーのスケジュール管理は基本業務の1つです。グループウェアなどを利用し、会議室の予約や社内への予定共有を行っているのではないでしょうか。セキュリティの観点で徹底したいのは、予定表の開示範囲を必要最小限にとどめることです。予定表にはタイトルや場所だけでなく、会議の概要、Web会議用のURLや出席者など、サイバー攻撃のヒントになり得る情報が多分に含まれています。企業や組織では内部犯がサイバー攻撃に利用できる情報を探し回っている可能性もゼロではないのです。詳細情報はチーム内のみの共有にとどめるなど、開示範囲を定期的に見直しましょう。
複数の業務サービスに同一のIDとパスワードを使い回していると勤務先を情報漏えいなどの危険にさらしてしまうかもしれません。社会人は勤務先に決められた方法でアカウントを適切に管理してください。
社会人はプライベートなSNSに仕事がらみの話題や写真などをむやみに投稿しないでください。もし、本来秘密にするべき職務内容や取引関係、業務上知り得た機密情報を明かす結果になれば、投稿者はもちろん、勤務先も社会的信用を失ってしまいます。また機密情報でなくとも、ネット上で公開した情報が収集、分析され、攻撃に悪用される可能性があることも認識しておきましょう。
スマホやタブレット端末は情報の宝庫です。他人による端末の不正使用を防ぐため、ユーザの多くは画面ロックをかけていることでしょう。ただ、うっかり見落としがちなのがロック画面の通知です。メールやSMSなどのコミュニケーションツールの多くは、送信者名やメッセージ内容の一部を通知画面にプレビューする機能を備えています。これは便利な反面、機微な情報が周囲の人の目に触れてしまうリスクもはらんでいます。業務端末では各コミュニケーションツールのプレビュー表示をオフにしておきましょう。
図:監視中の不正なSMSの送信を指示する攻撃指令サーバで確認したテキスト内容から再現した偽装SMS例
図:Android OS端末でアクセスした場合に表示される偽のChromeアップデート通知と不正アプリへの誘導
図:iOS端末でアクセスした場合に表示される偽のログイン画面
オンラインゲームの人気に便乗するサイバー犯罪が後を絶ちません。ゲーム内チャットなどを悪用してユーザをだましたりマルウェアに感染させたりして、情報や金銭を奪うのが典型的な手口です。オンラインゲームを安全に利用するためのポイントを押さえましょう。
外出自粛が長引く中、オンラインゲーム(略称:オンゲー、ネットゲーム、ネトゲ)をプレイする人が増えています。オンラインゲームは、パソコンやゲーム専用機器、スマホなどからインターネットを介して複数のプレイヤーが同時に楽しむことができるゲームの総称です。
ただ、大勢のユーザを抱えるインターネットサービスはサイバー犯罪者に狙われやすいものです。オンラインゲームのユーザを取り巻く脅威にはどんなものがあるでしょうか。
代表的な脅威のひとつがフィッシング詐欺です。これは、正規サービスのログインページなどを装った偽サイト(フィッシングサイト)にネット利用者を誘導し、そこで入力されたアカウント情報(IDやパスワードなど)、個人情報、クレジットカード情報などを盗み出す手口です。サイバー犯罪者が標的のプレイヤーに近づくための主な手段はゲーム内チャットやSNSです。プレイヤーが興味を持ちそうな話題やアイテムの交換などを持ち掛け近づきます。
トレンドマイクロは、当時発売前であった人気のオープンワールドアクションRPG「サイバーパンク2077」を無償で入手できるとうたう偽サイトを確認しました。偽サイトからダウンロードした実行ファイルを開いてしまうと、同ゲームのタイトル画面のようなページが表示されます。そこでメニュー項目の「Install」をクリックするとライセンスキーの入手条件としてアンケートへの回答を求められます。しかし、この案内は全くのデタラメです。質問への回答として入力した情報はサイバー犯罪者の手に渡ってしまい、ネット詐欺などに悪用される可能性があります。もちろん、アンケートに答えてもゲームを楽しむことはできません。
図:「サイバーパンク2077」の無償ダウンロードと称し偽のファイルをダウンロードさせる
図:偽ファイルのインストールが終了するとアンケートに誘導、偽の口コミで信用を得ようとしている
図:誘導先のアンケートでは住所や生年月日などに加え、生活水準を計るような質問も含んでいた
マルウェアもパソコンゲーマーにとって見過ごせない脅威の1つです。ゲーム内チャットやSNSを使って「チートツールを入手できる」、「正規ツールのダウンロード」などと称して不正なURLリンクを案内し、プレイヤーをマルウェアの配布サイトに誘導するのが典型的なパターンです。
スマホゲーマーもゲームアプリに見せかけた偽アプリや不正アプリに注意してください。偽アプリは、正規アプリと同じタイトル名、アイコン、説明文などを使って本物を装う不正アプリです。実際、Android端末ユーザを対象にした偽アプリとして「サイバーパンク2077」を偽装するものが報告されています。配布サイトはGoogle Playに似せたデザインで、モバイル向けのベータ版を無料で入手できるとうたっていました。しかし、そこでばらまかれたのは端末内のファイルを暗号化して開けなくし、「24時間以内にBitcoinで500ドルを支払わないとデータを消去する」と脅迫するランサムウェアでした。
プレイヤー同士、ボイスチャットなどで会話しながらプレイできるのはオンラインゲームならではの魅力でしょう。しかし、実際に会ったことのない相手とのコミュニケーションがトラブルの引き金になることもあります。たとえば、「現実の通貨でアイテムの代金を支払う」というトレード話を持ちかけられ、先渡ししたアイテムを持ち逃げされるトラブルが発生しています。
ゲーム内には親しげに話しかけてきて本名やSNSのアカウントを尋ねたり、顔写真の送信を求めたりするプレイヤーもいます。しかし、こうした相手とプライベートな情報をやり取りするのは危険です。それに応じた場合、個人情報をネット掲示板や出会い系サイトなどにさらされたり、不正なメッセージを大量に送りつけられたりするかもしれません。
オンラインゲームをめぐる詐欺の手口やトラブルの事例を知ることは、自衛策の基本です。各ゲーム事業者や消費者関連団体、セキュリティ事業者などが公表する相談事例や注意喚起情報を定期的に確認しましょう。
サイバー犯罪者はメールやチャット、SNS、レビューサイトなどに耳寄りな情報とURLリンクを載せ、プレイヤーをフィッシングサイトに誘導することもあります。アカウントへのログインは、必ずブックマークに登録した公式サイトから行いましょう。パソコンやスマホにゲームをダウンロードする際も運営元の公式サイト、Steamなどのパソコンゲームプラットフォーム、Google PlayやApp Storeなどの公式アプリストアを利用してください。事前にレビューの数やその内容、提供元情報などを確認することも大切です。
アカウントの乗っ取りを防ぐため、第三者に推測されにくいパスワードを設定してください。使用可能な大小英字、数字、記号などの文字種をランダムに組み合わせ、文字列をできるだけ長くすることがポイントです。また、SNSやクラウドメール、ゲームなど、利用中のインターネットサービスごとに異なるIDとパスワードの組み合わせを使用することも重要です。ゲーム事業者から提供される二要素認証(二段階認証、多要素認証)も必ず利用してください。
ゲーム専用のパソコンやスマホにもセキュリティソフト/アプリを入れ、最新の状態で利用しましょう。そうすれば、不正サイトにアクセスしたり、不正アプリをインストールしたりするリスクを下げられます。プレイの妨げになることを懸念されている方には、プレイ中に更新ファイルの適用や自動スキャンを実行しない「サイレントモード」や「ゲームモード」を搭載するセキュリティソフトがおすすめです。
パソコンやスマホだけでなく、ゲーム機にも脆弱性対策が欠かせません。各メーカーから更新プログラムが提供された場合は速やかに適用し、OSやファームウェアの脆弱性を修正しましょう。ゲーム機の更新方法については取り扱い説明書をご確認ください。
セキュリティソフトを入れられないゲーム機をネットの脅威から守るためには、ホームネットワーク全体を保護するアプローチが有効です。不正サイトへのアクセスをブロックしたり、ネットワーク内の不審な通信を監視したりしてくれる機能を備えたホームルータ、もしくはホームネットワーク向けセキュリティ製品が市販されています。家庭での利用状況に応じて選定しましょう。
リアル・マネー・トレーディング(RMT)が禁止されているゲームでそれを行ってしまった場合、規約違反となり、アカウントを抹消されるかもしれません。他のプレイヤーとのトレードにあたっては、詐欺の温床になっている非公式のRMT専用サイトではなく、運営元の公式トレードサービスを利用してください。チートツールの使用もゲーム事業者が禁止しています。チート行為は損害賠償や刑事罰の対象となる可能性があるため絶対に手を出さないでください。
※RMTは、ゲームのデータやキャラクター、アイテムなどを、現実の通貨や物品を対価に取引する行為です。
ゲーム内には嫌がらせをしたり、罵声を浴びせたりするプレイヤーもいます。そういった相手と関わるのはトラブルの元です。個人的には取り合わず、速やかにゲーム事業者に報告してください。チャットフィルタリング機能を使用して不快な言葉が表示されないようにしたり、特定のプレイヤーの音声を消音にしたりするのも1つの手です。
成人を対象としたゲームの中には、子どもに悪影響を与える内容が含まれるものもあります。CEROレーティングマークを参考にし、保護者の管理下で子どもの年齢に適したゲームを利用させましょう。
ゲームに没頭するあまり、日常生活をおろそかにしてしまう子どもたちも少なくありません。お子さん用の端末には事前にペアレンタルコントロールを適用してください。ゲームの利用時間を制限したり、有害サイトへのアクセスを防いだりすることができます。お子さんと一緒に端末の利用ルールを決めること、年齢や成長に見合った制限をかけることを心がけましょう。
図:今回の手口で考えられる被害者の関係性概要図
図:Chromeアップデートを装う不正アプリ
図:権限の許可を求める不正アプリと、偽のアイコン表示、さらなる権限を求める不正アプリ
図:本来の機能とは異なるSNSアプリとしての設定を求める偽のChromeアプリ、設定を許可するとアプリのショートカットアイコンが消失し、自身を隠蔽
図:不正アプリからの通知で表示される偽の案内
図:dアカウントの窃取を狙うNTTドコモに偽装したフィッシングサイト
実在する企業やサービスになりすましたSNSアカウントやネット広告による被害は迷惑行為にとどまりません。たとえば、それらに騙された顧客や利用者が誘導先の不正サイトで被害に遭う可能性もあります。もし自組織がなりすましの被害に遭ったときは、できるだけ早く対処することが重要です。今回は企業や組織がなりすまし被害に遭った場合の対処法を紹介します。
企業がマーケティング活動の一環としてTwitterやFacebook、InstagramなどのSNSアカウントを取得し、さまざまな情報発信や商品の販売、顧客および潜在顧客とのコミュニケーションを行うことはいまや珍しくありません。
しかし、実在する企業のなりすましアカウント(偽アカウント)も出てきています。なりすましアカウントは公式アカウントの投稿やプロフィールを流用するだけでなく、公式アカウント名に「_(アンダーバー)」や「.(ドット)」を追加したり、「.official」の文字列を追加したりして本物を装っています。このため、利用者は誤ってなりすましアカウントをフォローしてしまう可能性や、偽アカウントからの通知を本物だと誤認する危険性があります。
なりすましアカウントを放置していると、どのようなリスクが生じるでしょうか。たとえば、不正なURLリンクを含むダイレクトメッセージをばらまかれ、フォロワーがネット詐欺などの被害に遭うかもしれません。実際、多くの企業が自社ブランドのなりすましアカウントによる被害例を公表しています。
図:公式アカウントのなりすましに関する注意喚起公表月別ブランド数
(2020年12月31日から2021年1月14日までの期間無作為に100ブランドの情報を確認した結果)
SNS事業者はこのようななりすましを防ぐため、規定や審査を設けており本物であると確認できたアカウントに対して認証バッジの付与を行っています。しかし、すべての公式アカウントが認証バッジを取得することは困難であり、バッジを取得していない公式アカウントも多数存在します。このため、利用者は認証バッジの有無だけでなく、投稿内容も確認した上で公式アカウントかどうかを判断しなければならないのが実情です。
SNSは一定の条件下でだれもが自由にアカウントを作れる仕様になっており、公式アカウントの名称や投稿内容を複製したなりすましアカウントはいつ出現するかわかりません。そのため、現時点で有効な対策は、「なりすましアカウントを作られてしまったときにできるだけ早く対処する」という受け身的なものにならざるを得ません。では、SNS上でなりすましアカウントを見つけた場合、どうすればよいでしょうか。
公式アカウントやホームページ上で利用者や顧客に対してなりすましアカウントへの注意を呼びかけてください。また、ホームページには自社が所有するSNSの公式アカウント一覧もURLリンク付きで載せておき、それ以外は偽物であることを明示しましょう。
なりすましアカウントを発見した場合は即座にSNS事業者に報告しましょう。主要なSNS事業者は、なりすましアカウントと認めたものを凍結する審査プロセスがあります。
認証バッジはSNS事業者が公式アカウントであることを認めた証です。InstagramやFacebook、Twitterでは、アカウント名の右側にあるブルーのチェックマークがそれにあたります。認証バッジの有無を確認すればアカウントが本物かどうかを見分けられるため、SNS利用者がなりすましアカウントを本物と誤認してしまうことを防げます。各SNS事業者が定める規定や条件を満たしている場合は認証バッジの取得を検討してください。
なりすましアカウントを早期に発見、対処することで被害を最小限に食い止めることができます。各種SNS上で定期的に「自社名」や「ブランド名」でのアカウント名検索を行い、なりすましアカウントが発生していないことを確認したり、SNSの監視・モニタリングツールなどを活用して自社名やブランドに関わる不審な投稿が行われていないかどうかを監視したりしましょう。
なりすましアカウントへの注意も必要ですが、そもそも公式アカウントに不正ログインされたり、第三者に乗っ取られてしまったりしては意味がありません。複数人や委託先と共同で運用している場合は、誰がどのような権限を有しているか把握し、定期的に棚卸や認証情報の更新を行いましょう。また、他のアプリやサービスと連携させる場合も、どのような権限や情報が共有されるのか確認、理解した上で行ってください。
企業はネット上のなりすまし広告にも目を光らせておかなければなりません。自社の商品やサービスの名称、ロゴなどを無許可で使用された広告が、広告プラットフォーマーによる審査をすり抜ける形で一般のWebサイトやSNS上に掲載されてしまう場合があるためです。
なりすまし広告の主な目的は、ネット利用者をフィッシングサイトや偽のショッピングサイトに誘導し、情報や金銭をだまし取ったり、粗悪品を売りつけたりすることです。もし、ネット利用者に実害が及んでしまった場合、本来なりすましの被害者であるはずの企業に問い合わせや苦情が殺到するかもしれません。
トレンドマイクロはGoogle検索結果ページのリスティング広告枠に、実在するブランドをかたるなりすまし広告が掲載された事案を確認しました。これはネット利用者をフィッシングサイトに誘導し、情報をだまし取ることを目的に出稿されたものと考えられます。
図:調査時点でのGoogleサーチ結果の表示例
企業にはネット上になりすまし広告が掲載されていないかどうかを常にモニタリングすることが求められます。では、なりすまし広告を見つけた場合、どのように対処すればよいでしょうか。
ネット利用者がなりすまし広告を経由したネット詐欺などの被害に遭わないようホームページ上に注意喚起情報を掲載してください。SNSの公式アカウントがある場合は、同様に周知してください。誘導先がフィッシングサイトと見られる場合はフィッシング対策協議会にも報告しましょう。
GoogleやYahoo!など、広告掲載先に商標権侵害の申し立てを行いましょう。主要な報告先を以下に掲載します。
巧妙に作られたなりすましアカウントや広告に対し、ユーザはどのような対策を行うべきでしょうか。
SNSアカウントの場合、まずは公式ホームページで紹介されている公式SNSのアカウントの有無を確認するようにしましょう。ホームページがない場合は、認証バッジの有無、投稿内容などから真偽を判断します。公式アカウントの情報を複製している場合、「同じ日付で過去の投稿と思われる内容が複数掲載されている」「極端に投稿数が少ない」などの特徴があります。このように少しでも不審な点が見られる場合は注意してください。
なりすまし広告については、検索した際に表示される結果が、広告かそうでないか確認してください。広告の場合、「Ad」「広告」「PR」といった表示が追加されています。初めて利用するサイトの場合はなるべくそのような検索結果のリンクではなく、公式サイトの内容を参照してください。
偽のアカウントや広告から不正サイトに誘導されてしまうことを防ぐためには、セキュリティソフトやアプリの利用が欠かせません。昨今のフィッシングサイトや偽サイトは本物をコピーして作られることが多く、見た目で判別することが困難です。セキュリティ対策製品を活用してリスクを下げておきましょう。
企業や組織は、なりすましへの対処や注意喚起を行うとともに、利用者に対しても安全なネット利用を呼びかけ、一人ひとりが対策を実践することを周知すると良いでしょう。
図:トレンドマイクロのクラウド型セキュリティ技術基盤「Trend Micro Smart Protection Network」(SPN)による「DARKSIDE」検出数推移
図:PB1により送信された偽装SMS例(JC3の発表資料より)
図:BP6により送信された偽装SMS例(JC3発表資料より)
図:BP1とBP6の関係性および、 BP1と関係がある可能性があるフィッシング詐欺グループを可視化した図
図:偽の調査依頼メッセージ例
図:偽の調査画面と当選画面
図:LINEでの共有を促し、ゲージが溜まるとさらに誘導を進める
図:国民生活センターを名乗った偽のスマホ当選画面に続き、海外への通話発信を促す
業種や規模にかかわらず、多くの企業や組織がサイバー攻撃の脅威にさらされています。サイバー攻撃によるマルウェア感染や情報漏えいなどの被害は、従業員の何気ない行動によってもたらされる場合もあります。勤務先や取引先をサイバー攻撃から守るために従業員が身につけるべきセキュリティの基礎知識を紹介します。
企業や組織を狙うサイバー攻撃の勢いは一向に衰えません。トレンドマイクロが国内の民間企業、官公庁自治体などを対象に行った調査では、約8割の組織が2019年4月から2020年3月までに何らかのセキュリティインシデントを経験したことがわかりました。内訳は「フィッシングメールの受信」が42.8%と上位。「ビジネスメール詐欺のメール受信」が29.1%、「不正サイトへのアクセス」が26.5%、「標的型攻撃」が22.2%と続きました。
法人組織のセキュリティ動向調査 2020年版を発表
https://www.trendmicro.com/ja_jp/about/press-release/2020/pr-20201002-01.html
サイバー攻撃によるマルウェア(ウイルスなど不正なプログラムの総称)感染や情報漏えいなどの事故は、経営層や従業員の不注意によって引き起こされる場合もあります。勤務先をサイバー攻撃から守るために必要なセキュリティ知識を身につけましょう。
企業や組織を狙うサイバー攻撃の多くは従業員に送りつけられるメールが起点となっています。以下に、実例を見ていきましょう。
ビジネスメール詐欺(BEC:Business E-mail Compromise)は、経営幹部や取引先などを装ったメールを従業員に送りつけ、金銭や情報をだまし取る手口です。たとえば、最高経営責任者を装う送金指示メールを経理担当者に送りつけ、サイバー犯罪者の管理下にある口座に送金させるパターンがあります。こうしたメールでは「緊急の送金依頼」「極秘」などの文言で緊急を要する機密案件である旨を伝え、早急かつ秘密裏に送金するよう圧力をかけます。また、取引先を装うメールに偽の請求書を添付し、振込先の変更を依頼する手口も確認されています。
BECでは業務メールアカウント情報の詐取も行われる場合があります。サイバー犯罪者の狙いは、業務メールアカウントを乗っ取ることでメールの内容を盗み見たり、なりすましメールを送信したりすることです。業務メールにクラウドサービスを利用する企業の従業員は、システム担当者やサービス事業者を装って「業務メールシステムへの再ログインが必要」「パスワードの有効期限が迫っている」などと呼びかけるメールに注意してください。それはフィッシングサイトに誘い込む罠かもしれません。
図:Microsoft 365を装ったフィッシングメールの例、パスワードの延長と称して偽サイトに誘導
標的型サイバー攻撃は、重要情報の窃取を目的として、特定の企業に対して長期的に行われる一連の攻撃を指します。攻撃者は、あらゆる手段・手法を駆使し、目的達成のために標的とした組織を攻撃し続けます。典型的な攻撃パターンは、従業員のパソコンに遠隔操作ツールを送り込むことで標的のネットワークに侵入し、情報を盗み出したり、標的の端末に別のマルウェアをダウンロードさせたりすることです。
標的型サイバー攻撃も従業員宛てのメールが発端となる場合があります。たとえば、実在する企業や組織、取引先担当者、社内の関係者などを装って「請求書」「賞与支払」などの件名のメールを送りつけ、Officeの文書ファイルを開かせる手口が確認されています。ファイルを開き、メッセージバーの「コンテンツの有効化」をクリックしてしまった場合、不正なマクロが実行され、マルウェアに感染してしまうかもしれません。
2019年から2021年初頭にかけて国内でも大きな被害が発生したEMOTET(エモテット)と呼ばれるマルウェアも、メールの添付ファイルが感染経路でした。EMOTET自体は収束しましたが、それによって感染させられた別のマルウェアによる脅威や、すでに漏えいしてしまった情報の悪用、同様の手口による攻撃には今後も注意が必要です。
「異なるパスワードを設定すると忘れてしまう」などの理由から、Webメールやクラウドストレージなどの複数のサービスに同一のIDとパスワードを使い回していると勤務先を危険にさらしてしまうかもしれません。
複数のサービスで同一のIDとパスワードを使用しているとしましょう。仮に、フィッシング詐欺によって1つのサービスのIDとパスワードがサイバー犯罪者の手に渡ってしまった場合どうなるでしょうか。それは複数のサービスのIDとパスワードも漏れたことを意味します。つまり、同一のIDとパスワードの使い回しは各種サービスのアカウントを芋づる式に乗っ取られるリスクを高める行為なのです。
「×××1」「×××2」のように数字だけ異なる文字列や、「qwerty」「asdfgh」などのキーボードの配列、「password」「picture」などの辞書に載っている単語を各種サービスのパスワードとして設定するのも危険です。第三者が容易に探り当てられるものでは認証をかける意味が薄れてしまいます。アルファベットの大文字、小文字、数字、記号など、使用できる文字種をランダムになるべく長く組み合わせ、第三者に推測されにくいパスワードを設定してください。パスワードの管理や作成を困難と感じる場合は、パスワード管理ツールの利用が便利です。勤務先で利用が許可されている場合は活用すると良いでしょう。
LinkedInなどのSNSがサイバー攻撃の準備段階におけるスパイ活動の場として使われていることを知っていますか。サイバー犯罪者はSNS利用者が広く公開しているプロフィール情報(勤務先名や役職、業務メールアドレスなど)や仕事がらみの投稿(職場の人間関係や内部情報、機密情報を含む写真・動画)をもとに標的企業の情報収集と攻撃対象の選別を行います。その上でもっともらしい内容のメールを仕立て、従業員をだましにかかります。
たとえ、プライベートなSNSでも、そこでの投稿や発言には責任が伴うことを自覚しましょう。SNS上に本来秘密にするべき職務内容や取引関係、業務上知り得た情報などを公開するのはもってのほか。SNSでの不適切な投稿で勤務先や取引先に損害を与えてしまった場合、懲戒の対象になるだけでなく、損害賠償を請求される可能性もあることを覚えておきましょう。SNSへの投稿がきっかけとなり、自身の進退を問われたり、社会的地位を失ったりした例も実際に起こっています。
サイバー攻撃は、規模や地域、業種を問わない脅威です。あらゆる企業や組織がターゲットであり、どの従業員が、いつ狙われるかわかりません。すべての従業員にはサイバー攻撃を回避するためのセキュリティ知識を身につけるだけでなく、サイバー犯罪者に付け入る隙を与えない行動も求められます。
図:最新版が適用されている表示例
iPhoneやAndroid端末などのスマホを安全に利用するためには、OS(基本ソフト)の脆弱性対策が欠かせません。脆弱性は、プログラムの不具合などが原因で生じるセキュリティ上の欠陥です。
スマホのOSに脆弱性があると、どのようなリスクが生じるでしょうか。たとえば、端末を不正操作されたり、端末内の連絡先情報やファイルを盗み取られたりする可能性があります。iOSではこれまで、端末にインストールされた正規アプリを不正アプリに置き換えられたり、Apple IDを流出させたりするリスクのある脆弱性が確認されています。Android OSでも過去に、端末を不正操作されたり、端末からの通信を傍受されたりしてしまうリスクのある脆弱性が見つかりました。
iPhoneやAndroid端末に存在するOSの脆弱性を解消するためには、OSのアップデートが欠かせません。iPhoneの場合、iOSの開発元であるApple社が脆弱性を発見すると、それらの脆弱性を修正したiOSの最新版を提供します。Android端末の場合、各端末メーカーや携帯電話会社が最新版をリリースするタイミングなどを判断します。ユーザは最新のOSを適用することで、脆弱性によって生じるリスクを回避できます。
ただし、機種によっては最新版のリリースが遅れたり、アップデートが公開されなかったりする場合もあるため、セキュリティアプリを最新の状態にして利用するといった対策は必須です。また、サポート切れの端末を使い続けている場合は脆弱性を放置しているも同然です。新機種への買い替えを検討してください。
通常、iPhoneやAndroid端末ではOSの最新版が提供されると、ロック画面や通知領域に更新の通知が届きます。しかし、何らかの理由で通知されなかったり、ユーザが通知を見落としたりすることがあるかもしれません。iPhoneやAndroid端末にOSの最新版が提供されているかどうかを定期的に確認する習慣をつけましょう。
端末の「設定」から「一般」へ進みます。「ソフトウェア・アップデート」をタップすると、「アップデートを確認中」と表示されるため、しばらく待ちます。利用可能なソフトウェア・アップデートがない場合、あるいは最新版を適用済みの場合は、「お使いのソフトウェアは最新です」と表示されます。iOSの最新版がある場合は、最新のiOSのバージョン名が表示されます。「今すぐインストール」をタップし、画面の指示に従って操作すれば最新のiOSにアップデートできます。
図:最新版のiOSが反映されている例
端末の「設定」から「システム(※)」、「詳細設定」に進み、「システムアップデート」を押すと、Android OSの最新版が提供されているかどうかを確認できます。利用可能なソフトウェア・アップデートがない場合、あるいは最新版を適用済みの場合は、「最新バージョンに更新されています」、「最新のソフトウェアを利用中です」、「お使いのシステムは最新の状態です」、「更新なし」などと表示されます。Android OSの最新版がリリースされている場合、「今すぐ更新」、「アップデート」、「(再起動して)インストール」などと表示されます。それをタップし、画面の指示に従って操作すれば最新のAndroid OSにアップデートできます。
※OSのバージョンや機種によっては、「システム」ではなく、「端末情報」や「端末管理」、「バージョン情報」などと表記されます。詳しくは各機種の取り扱い説明などを参照してください。
図:更新待ちのAndroid OSを最新版に更新した例
図:テレワークに関する社内規定・規則・手順等が守られていることの確認状況(IPAの公開資料より)
たびたび世間を騒がせている企業の情報漏えい。営業秘密や顧客情報の漏えいは、企業に致命的なダメージをもたらします。今回は、文書ファイルの共有時、クラウドサービス利用時、テレワーク時の3つのシーンで従業員の不注意がきっかけとなる情報漏えいパターンと防止策を紹介します。
みなさんは企業の情報漏えいと聞いたとき、サイバー攻撃による不正アクセスを真っ先に想像するのではないでしょうか。しかし、従業員の不注意や認識不足をきっかけとする情報漏えい事故も少なくありません。もし、パソコンやネット利用時のうっかりした行動で深刻な情報漏えいが生じてしまった場合、どうなるでしょうか。当事者はもちろん、勤務先の信用も失われ、業績などに悪影響が及んでしまうかもしれません。
一口に情報漏えいを引き起こす従業員の過失といってもその内容はさまざまです。今回は見落としがちなケースを「文書ファイルの共有時」「クラウドサービス利用時」「テレワーク時」の3つのシーンにおいて、情報漏えいパターンと防止策を見ていきましょう。
ビジネスシーンではMicrosoft Office(Word、Excel、PowerPoint)などで作成した文書ファイルを取引先や社外の関係者に送る機会がよくあるでしょう。その際は事前に文書の中身だけでなく、プロパティ情報(「作成者」「前回保存者」「タイトル」「件名」「タグ」「作成日時」などの属性情報)や非表示情報(「コメント」「変更履歴」「バージョン」「注釈」「隠し文字」など)もチェックしましょう。うっかりそれらの情報を残した文書ファイルを社外に出してしまった場合、情報漏えいにつながる可能性があります。
Microsoft Officeでは「ドキュメント検査」を使用することで文書ファイルに保存されている不要な情報を一括で削除できます。
また、Microsoft Officeの「名前を付けて保存」機能からPDFを生成するとOfficeファイルのプロパティ情報がそのままPDFファイルに引き継がれます。Officeファイルの不要なプロパティ情報を削除してからPDF化するか、保存の際に表示されるオプションから「印刷対象外の情報を含める」の項目のチェックを外しましょう。
図:「名前を付けて保存」機能からPDFを生成する際のオプション選択画面
利便性を重視して、個人で利用登録しているクラウドサービスを勤務先に無断で業務利用してはいけません。たとえば、クラウドストレージは取引先と大容量の業務データをやり取りするときなどに役立ちますが、クラウドサービスの利用においては情報漏えいリスクがつきものです。フリーメールサービスも同様です。業務メールを出先や私用のスマホなどで確認するためにフリーメールアドレス宛に無断で転送してはいけません。サービス事業者の人為的なミスやサイバー攻撃などが原因でクラウド上の業務データが流出してしまう事故も起こっています。勤務先の規程に反した行動で情報漏えいが生じてしまった場合、懲戒の対象になるだけでなく、損害賠償を請求される可能性もあります。
勤務先に許可されているクラウドサービスの利用にあたっても油断は禁物です。機能や仕様だけでなく、利用規約の内容(アップロードされたデータの取り扱いや、機密保持、第三者への業務委託、補償の範囲、禁止事項など)も十分に理解した上でサービスを利用しなければ、意図しない情報漏えいを招いてしまうかもしれません。過去には、あるクラウド翻訳サイトで翻訳にかけた文章が他の利用者にも閲覧できる状態になっていたケースがありました。原因は、翻訳結果をサービス事業者のサーバに保存することを許可する内容のチェックボックスをオンにしたままサービスを利用したことでした。
また、利用規約に「アップロードされたデータをサービス向上のためだけに用いる」という記載があっても、それ以外の目的に使われないという完全な保証はありません。クラウド上にアップロードした情報はユーザのコントロールが及ばなくなることに留意してサービスを利用するかどうかを判断してください。
テレワークという就業場所を問わない働き方が浸透しつつあります。一方、セキュリティが強固なオフィスとは別の場所で就労することになるため、情報漏えいリスクは高まります。
オフィス外では使い慣れた私用のパソコンを使って業務を行いたいと考えるかもしれません。しかし、勤務先の断りなく、私用の端末を業務に用いるのは危険です。通常、勤務先から支給された業務用端末にはマルウェア対策や情報漏えい対策がとられています。一方、私用端末のセキュリティレベルはユーザの知識やモラルによってまちまちです。セキュリティに不備のある私用端末を業務に利用した場合、マルウェア感染やフィッシングサイトでの情報入力などがきっかけで情報漏えいを引き起こしてしまうかもしれません。
また、自宅外でのテレワーク時は、公衆Wi-Fiを利用するケースもあるでしょう。ただ、公衆Wi-Fiスポットの中にはユーザの利便性を優先するためにあえてパスワード認証なしにつなげるようにしているものや、設定不備によって同一ネットワーク上の端末が互いに通信できる状態になっているものも存在します。そんな公衆Wi-Fiスポットを利用してしまった場合、悪意のある第三者に通信内容を盗み見られる可能性があります。どうしても公衆Wi-Fiにつながなくてはならない場合はVPNソフトを利用するなど、勤務先に指定された方法と手順をとってください。
公共の場でのパソコン作業時はのぞき見による情報漏えいも回避しなければなりません。最低限、端末画面にプライバシーフィルター(のぞき見防止フィルム)を装着し、壁を背にするなど、周囲の目線に気を配るなどの対策は必須です。また、パソコン作業中に離席する際は端末の盗難に注意するとともに、ごく短時間であっても必ずスクリーンロックをかけましょう。これはパソコン画面を専用のロック画面に切り替えることで第三者に作業内容を盗み見られたり、勝手に操作されたりすることを防ぐ仕組みです。使用を再開する場合、事前に設定したパスワード、あるいはPIN(4桁以上の暗証番号)を入力してロックを解除します。自分の名前や生年月日、規則的な数字(1234)など、簡単に推測できるパスワードや暗証番号を設定するのは避けましょう。
テレワーク時はマルウェア感染や情報漏えいなどのトラブルを回避するためにも勤務先が定めるガイドラインやポリシーに従ってください。また、在宅勤務時は家族であっても業務上は部外者であることを意識して業務にあたりましょう。
図:フィッシングメールの一例
図:偽メールから誘導していたフィッシングサイトの偽ログイン画面(スマホからアクセスした場合の表示)
図:偽メールから誘導していたフィッシングサイトの偽入力画面(パソコンからアクセスした場合の表示)背面には商品を表示させるなどし、正規サイトと誤認するような作りになっている
図:フィッシングサイトでの入力が完了すると、正規サイトにリダイレクト(転送)される
