column

2018.08.07

たったひとつのメールのクリックで、中小企業は危険にさらされる

みなさんこんにちは。いつもセキュリティニュースを読んでいただきありがとうございます。
今回のセキュリティニューステーマは「たったひとつのメールのクリックで、中小企業は危険にさらされる」です。


さて、みなさんは「ビジネスメール詐欺」というものをご存知でしょうか。
これはあたかも業務や仕事に関連しているかのように見せかけた、サイバー攻撃のひとつの手法です。
日本の特に中小企業では、サイバー攻撃であることに気が付きにくいことから、数年前から被害が目立っています。
もし被害に遭ってしまうと、「ランサムウェア」というデータを暗号化し開けなくするウィルスの感染や、業務で使用する情報資産への不正アクセスや情報漏えいに繋がってしまうなど、深刻な被害を被ってしまうケースが多いです。


2018年4月10日、アメリカのセキュリティ会社ベライゾンは、「2018年版データ漏えい/侵害調査報告書」発表しました。
報告書によると、次の点が述べられています。
(1)サイバー攻撃の主な手口は、フィッシングメールなどで従業員を騙す手法(ソーシャルエンジニアリング)で、こうした攻撃のうち96%はメール経由である 
(2)不正プログラムが絡んだ攻撃のうち、39%がランサムウェアを利用したもので、前年から倍増している
(3)サイバー攻撃によるデータ漏えい侵害の被害に遭っているのは、58%が中小企業である


(1)の「フィッシング」という言葉は広く知られているでしょう。よくある例として、ネットバンキングを装ったり、有名なECサイトを騙ったりしてフィッシングメールを送り付け、ログインIDやパスワードを盗み取る手法です。しかし、近年のフィッシングの手法の恐ろしさはそれだけではありません。「ビジネスメール詐欺」言われる近年のフィッシングメールは、一見してサイバー攻撃の手法である点が大変見破りにくいという特徴があります。なぜなら、本物のビジネスメールに見せかけるために宛先の名前を実在の人物の氏名にしたり、過去のメールのやり取りを覗き見ることで専門用語や文章のクセをマネしてあたかも本当にやり取りされているかのように見せかけたりなどの工夫が施されているからです。従業員を騙す「ソーシャルエンジニアリング」という手法がありますが、このうち96%がメール経由となっており、(2)で述べるような被害に繋がってしまいます。


(2)のランサムウェアとは、パソコンやサーバやスマホに感染するとデータを暗号化して開けなくした上で、「データを返してほしければ身代金を支払え」と要求するウィルスです。暗号化されるデータはMicrosoftのワード、エクセル、パワーポイントや、画像、動画、PDFなどあらゆるデータに加え、基幹業務システムなど業務の中枢的なシステムにも及びます。データが暗号化されることで、「通常業務が停止する」という重大な被害に遭ってしまいます。中には、ランサムウェアへの感染をきっかけとして倒産に至る企業もあるほどです。ランサムウェアの拡散とその被害は2018年も前年に比べて増加しているので、充分に注意しなければなりません。


(3)のサイバー攻撃によるデータ漏えい・侵害の被害は、58%が中小企業である点にも、留意しなければなりません。特に日本ではサイバー攻撃によるデータ漏えい・侵害の被害は、大企業で起きる話だと思われてしまいがちです。しかし近年の実態はそうではなく、むしろセキュリティ意識や対策レベルが低い中小企業こそが狙われているのです。「ウチの会社には狙われて困るような情報はない」とよく言われますが、それは思い込みであることがほとんどです。実際は顧客の情報や、従業員の個人情報など、よく見てみると守らなければならない情報はたくさんあります。サイバー犯罪者は、そうした情報を狙ってサイバー攻撃を仕掛けるのです。


以上のことから、中小企業においてもビジネスメールによる詐欺が発生する可能性が十分にあり、従業員ひとりひとりが日々注意しなければならないことがお分かりいただけたかと思います。
また、特に中小企業における情報セキュリティ対策の必要性は言うまでもありません。こうした詐欺メールや、不正なアクセスがされないような仕組みづくりは必須です。
今一度、みなさんの会社の対策状況を振り返ってみてください。


(参考:ベライゾン「2017年版データ漏洩/侵害調査報告書」)


近年の「ビジネスメール詐欺」は、実際にやり取りしているメールの内容から構成されているケースがほとんどです。そのため、注意していても気付けるかどうか非常に怪しくなってきています。実際にメールを送ってきた先方に確認をとることができれば、詐欺メールかどうかの判断はすぐできます。しかし、本当に確認を取る方はほとんどいません。そのため、添付されたファイルを開いてランサムウェアに感染してしまい、PCデータが開けなくなる、フィッシングサイトにログイン情報(ID、パスワード、クレジット情報など)を入力して情報漏えいにつながってしまうなどのケースが多発しています。


このような被害に遭わないためにも、記載されたURLをクリックする前に正しいURLかどうかの確認や、ファイルを安易に開かないようにする必要があります。しかし、全てを確認していたら大変な労力をかけることになるため、事前に防ぐ対策が必要となってきます。


「ビジネスメール詐欺」対策として、ウィルス対策ソフトとUTM(統合脅威管理)導入をお勧めしております。一度、こちらの迷惑メール対策ページをご覧ください。