ATAC会員ブログ-No.3


ATACでは月に2回研究会を実施しており、会員はジャンルを限定せず、順番に日頃の考えをプレゼンしています。

そのプレゼンから会員投票で興味ある内容(エッセンスのみ)を毎月、掲載しています。

       「情報セキュリティの基礎の基礎

 

        投稿者ATAC会員 大崎 拓司    投稿日:2025年2月27日 

本編は「情報セキュリティが大切なことは理解しているけれども、社内外の専門家に任せていたので実は詳細がよくわかっていない」とおっしゃる方へのまとめとなっています。ぜひ、ご自身と会社のセキュリティレベルのご確認にお役だてください。

 

1.情報セキュリティの重要性

普段使用しているPCに保存されている情報を防衛する。

オンライン銀行口座、各種インターネットでのサービスに使用しているIDやパスワード(以下、「PW」)、会社の秘密情報、個人情報、お客さまや取引先の情報の漏洩を防ぎましょう。

典型的な被害は、自分のオンライン銀行口座からの見知らぬ第三者への送金(盗難)、クレジットカードの不正利用によるネット通販での購入や、事業上保有している秘密情報・社員を含む個人情報・お客さまや取引先を含む第三者の情報のダークウェブへの流出やSNSでの悪意ある公開、関係先の競合への提供(産業スパイ)などです。

また、ランサムウェアというものに狙われると、ビットコインなどで対価を支払わねば自分や会社のPC全てがブロックされて使えなくなるという状態に陥ります(ランサムは「身代金」の意味です)。

 

悪意ある活動の踏み台にならない。

コンピューターウィルス(以下、「ウィルス」)に感染すると、悪意ある人や集団のなりすまし活動の起点とされる可能性があります。これは、関係先の方々に多大な迷惑をかけ、また、自社の信用を失うことにもつながりかねません。

※ 影響を受ける人:メールやSNS(英語ではsocial media)でつながっている全ての人、企業、団体、関係先(クライアント、取引先、知人・友人、家族)など多数。

自分のPCがウィルスに感染すると、PCの基本ソフトや保存しているファイルにも蔓延し、自分が社内外に送付したファイルも感染していることでさらに被害が拡散します。また、自分の名前を騙って成り済ました悪意ある者からほかの人に送り付けられた添付ファイルを介して、さらに被害が広がります。

自分の名前が使われて、メールやSNSでつながっている全ての人に対して誹謗中傷メールが送られたり、とんでもない投稿がなされたりする場合も起きえます

一方、自分のPCが感染しても表立って何も変わらない場合もあります。しかしながら、裏側ではハッキングした悪意ある者が(ハッキングを受けた自分が)PCを使っている様子や入力しているPWを見たり記録していたり、あるいは、ハードディスクやクラウドと言われる会社外にあるデータ保存装置からデータを盗んだりと、やりたい放題に活動している可能性があります。

さらには、他の犯罪への加担と誘導をしたりしているなど、知らないうちに自分が犯罪の片棒を担いでいる状態になっていることもあり得ます。

 

2.典型的なアプローチ(罠)

なりすましメールによるIDPW盗用

見た目に信頼できそうなメールですが、実は偽サイトに誘導してIDPW・その他情報を搾取する目的のものです。

「クレジットカード情報流出警告」、「各種アカウント凍結確認(携帯各社、ネット通販大手・・・)」、「宅配不在連絡(SMS;ショートメッセージが多い)」、「ネットでの閲覧やサービスの費用未払い通知」などがその典型的な入り口です。

文面も末尾にある問い合わせ先も本物そっくりの(一部は本物をコピーして作っている)ものもあり、うっかり文中に挿入されている問い合わせ先や確認用・修正用としてついているURLのリンクをクリックするとそのまま偽サイトに誘導され、焦っている自分にとってはなんとか早く解決したいということもあって「内容的に信じられる」という判断になって言われるままに情報を入力させられる危険性があります。

 

セキュリティ警告による陽動

ウェブサイトを見ているときに、急にMicrosoftなどを語る偽セキュリティ警告をだして「対策費用」と称してクレジットカード情報を搾取するタイプや、偽サイトや電話連絡先に誘導して「即時の対応が必要」と称して各種情報を入力させるという手口などがあります。

また、対策という触れ込みで偽のウィルス対策ソフトをPCにインストール(導入)させ、自分の使っている画面では全く見えない状態のままで、裏側で自分のPCを遠隔で自由に操作し情報を盗むという手法もあります。

偽のセキュリティソフトを導入させられて料金を支払い、そのことに気づかずにずっとPCが乗っ取られたままになるという二重被害のケースもあります

 

性的脅迫(セクストーション)

「あなたのPCを乗っ取った。しばらく様子を見ていたが、その期間中にアダルトサイトを見ているあなたを録画した。」という警告とともに、ビットコインで支払いをしないとそのビデオを広く公開するというタイプの詐欺メールです

 

  IPA(独立行政法人情報処理推進機構)は情報セキュリティ10大脅威(2024年個人)としてその種類を掲載しています。

https://www.ipa.go.jp/security/10threats/10threats2024.html

クリックで拡大します
クリックで拡大します

<3.docxlsppt の危険性>

日頃使っているファイルで、名前の最後(拡張子)がdocxlspptとなっている形式のまだ残っていませんか?

これらはMicrosoft 97-2003Officeソフトの古い版(以下、「バージョン」)のもので、マクロ機能という仕組みを利用したマルウェアというウィルスの一種に感染している可能性があることから、セキュリティ視点より使用禁止が常識化しています。

この古いファイル形式のものをお客さまや取引先にメールで送っていると、情報セキュリティ意識が低い企業として自ら宣伝しているような悪影響にもなりかねません。

※「Emotet(エモテット)」で検索すると関連情報が多くヒットします。

もしもエクスプローラーでファイル名を見てもdocxlsなどの拡張子が見えない状態になっている場合は、まずはその表示が対策の第一歩です。

※ ヒューレットパッカード社の解説ページに拡張子の表示方法が掲載されています。

https://support.hp.com/jp-ja/document/c01967336

クリックで拡大します
クリックで拡大します
クリックで拡大します
クリックで拡大します

<4.zipファイルにPW付けは危険>

ファイルの容量を下げたり多数のファイルを一括して送付したりする際に大変便利なzipファイルですが、セキュリティを上げようとzipファイルそのものにPWを付けると危険とみなされます。

 

その理由は、メールに添付して送付した際に、受信者側がセキュリティソフトでzipファイル内のウィルスチェックができないからです。お客さまや関係先にzipPWの組み合わせでメールにてファイル送付すると、これも自社のセキュリティ意識を疑われてしまうことにもなりかねません。

 

逆に、見知らぬ相手からそのようなファイルを受け取った場合は、リスクが高いと認識すべきものです。さらには知っている人や信用できる人からの受信であっても、添付のzip内のファイルがウィルスに感染していないことをウィルス対策ソフトでのチェック無しで安全と断言することは難しいのが現実との理解です。

 

<5.セキュリティレベル向上の基礎>

よく言われている内容ですが、おさらい的に以下にまとめてみまし

た。

①【メール】

・知らない相手からのメールや、既知のひとからのものでも、いつもと

   違う何かの不自然さを感じる場合には決して不用意にメール内記載の

   リンクや添付文書を開かない

・クレジットカードや会員サービスの連絡の場合は、添付のあるリンク

   を使用せずに正式なログイン画面からのみアクセスする

・どうしても文面のリンクからアクセスする場合は、クリックする前に

   リンク先のURLを必ず確認する。

マウスをリンクの上に合わせると画面下やカーソルの場所にURL

    表示されます(誤ってクリックしないように注意)。

zip化されていた添付ファイルはいったん別に保存し、セキュリティ

 ソフトでチェック後に開くことを励行する。

・文面内で差出人名や宛先の自分の名前が未記載のメールは特に注意。

 

②【SNSやショートメッセージ】

・そもそもなぜショートメッセージを送ってきている相手が自分の電話

   番号知っているのかを疑う(ランダム送付の可能性)。

ショートメッセージについているリンクは基本的にクリックしない

・突然来た知り合いらしき相手からのコンタクトには、相手と自分しか

   知らない内容をさりげなく質問して、回答で偽物でないかどうかを

   確認することも価値あり。

日頃から個人情報をむやみに公開・提供しない(氏名、電話番号、

   生年月日、メールアドレス、住所、顔写真)。

応募やアンケート専用のアドレス(必要に応じて破棄できるもの)

    があると心強い。

・知り合いがハッキングされている可能性をいつも意識する(注意深い

   人であってもハッキングされることが多発)。

・何かの依頼があった場合は、念のためにそれが本人かどうか別ルート

   で確認する。

生成AIの使用によってより巧妙化が進行中(変な日本語という判断基

   準は昔の話)。

 

③【PW、ソフトウェアアップデート】

PWについて、社内・関係者間での共有(使いまわし)を一切しな

   い。

・個々のサービスごとに異なるPWを使う

PWを記録したメモなどは厳重に保管する(記憶しなくてよいが、

   メモを持ち歩いたり机の引き出しに入れていたりすると盗難時に

   総てが漏洩してしまう)。

・しかるべき許可がある場合はブラウザの記憶機能(オートコンプリー

   ト)を使用する(あるレベルのリスクを許容 ⇒ PCの乗っ取りにあっ

   た場合は漏洩となる可能性大)。

Windowsなどの使用しているソフトウェアのバージョンを最新版に

   維持する(古いPCはそれだけリスクが高いことを意識)。

・セキュリティソフトを必ず入れる(最新版に維持することも必須条

   件)。

PWの定期的変更の是非には諸説があり。

 

④【ネットワーク】

無料のWi-Fiは信用ある機関や会社が推奨しているものだけを使う

・「セキュリティレベルが低い」とスマホで表示されているネットワー

      クは使用しない。

※ ただほど高いものはないとの格言重視。

 

⑤【自社のウェブサイト】

・通信のセキュリティレベルアップのために、https」を採用(セキュ

   リティ的に問題があるといわれている「http」のままでは、自社の

   見識を疑われる場合もあり)。

せっかくhttpsにした場合は、名刺にもそれをすぐに反映(httpのままではその重要性を知らない企業としての宣伝になっている可能性あり 

※ 意外と散見される状況にあります。

 

<6.参考情報>

各種の有用な情報が、独立行政法人 情報処理推進機構(IPA)のウェブサイトに掲載されています。

https://www.ipa.go.jp/

 

 ・【手口検証動画】偽のセキュリティ警告

https://www.youtube.com/watch?v=SP00wbawM1k&list=PLi57U_f9scIJRkSigtIyOIZ7dRQGXkeZw&index=6

 

 ・あなたの会社のセキュリティドクター ~中小企業向け情報セキュリティ対策の基本~

https://www.youtube.com/watch?v=OP7O12w6KnQ

 

・デモで知る!標的型攻撃によるパソコン乗っ取りの脅威と対策

https://www.youtube.com/watch?v=dSWrKh5FHKA

 

・ウイルスはあなたのビジネスもプライベートも狙っている!

https://www.youtube.com/watch?v=2ekO_-VCHhQ

 

・その警告メッセージ、信じて大丈夫? ブラウザの偽警告にご用心!

https://www.youtube.com/watch?v=sm1UMc97zRc

 

妻からのメッセージ 〜 テレワークのセキュリティ 〜

https://www.youtube.com/watch?v=zDs88SLymwo

 

<映像で知る情報セキュリティ一覧> 

https://www.ipa.go.jp/security/videos/index.html

 

<7.あとがき>

どのような対策を取っても完ぺきということはありません。しかしながら、より安全・安心な状態はあるとの認識です。本編が皆さまの情報を守り、関係する方々に迷惑をかけないための一助になれば幸いです。