新入社員が知っておくべき サイバーセキュリティの世界②
セキュリティ
はじめに
本ブログでは、新入社員をはじめとした従業員に向けて、業務上必要となるサイバーセキュリティの知識を習得いただく内容をお伝えします。
「新入社員が知っておくべき サイバーセキュリティの世界①」に引き続き、今回はメールとスマートフォンに潜む脅威について解説してまいります。
※本稿は、2023年4月に開催されたBlue Planet-works主催のオンラインセミナー「新入社員が知っておくべき サイバーセキュリティの世界 2023」の一部をブログ化したものです。
メールに潜む脅威
続いてはメールに潜む脅威として「ビジネスメール詐欺(BEC)」をご紹介します。
いわゆる「なりすましメール」と呼ばれる手口と同様のものですが、ビジネスメールという呼び名の通り、ビジネス上やり取りする可能性があるメール内容や添付ファイルを模して詐欺行為を働きます。
こういったビジネスメール詐欺は、取引先や社内の人物を装ったものが多く、送信元のメールアドレスも本物にそっくりな「カズンドメイン」が使われることがあります。カズンドメイン とは、一見正当なメールアドレスに見える、詐欺目的で登録された実在する企業やサービス名にそっくりなドメインです。部分的に変更されているため、メールの受信者が本物と誤認し、気づかず開封してしまう危険があります。
また、メールに添付されている実行ファイルは、あたかも実行ファイルでないかのように見える仕組みとなっています。例えば、二重拡張子という仕組みを使い、実行ファイルの拡張子である「.exe」の手前に「.PDF」などの正規のファイル拡張子を置くことで、メール受信者の誤認を与えます。さらに、「.PDF」と本来の拡張子である「.exe」の間に、大量のスペースを入れることで「.exe」が表立って表示されないようにするなどの方法もあります。いずれも中身はウイルス感染を誘発する仕組みになっており、実行すると外部にあるウイルスがダウンロードされて端末が感染してしまいます。
今すぐできる対策
① 差出人のメールアドレスは必ず確認
本文中で名乗っている人物と差出人のメールアドレスの整合性が取れていることを確認します。特に「@」より後ろの部分が「カズンドメイン」になっていないかを必ず確かめましょう。
② 本文の内容を確認
差出人が自身と関係のある人物や組織であったとしても本文に記載された内容が自身に関係のある内容であるか確認をしてください。特に、「確認してください」等の短文で脈絡のない内容であれば疑った方が良いでしょう。
③ 本文の文脈や文法間違いの確認
フィッシングメールの多くは機械翻訳を利用する場合が多いため、使用する単語や全体の文脈に違和感を覚えるポイントが多くみられます。不自然さを感じたら疑いましょう。
④ 添付ファイルは実行する前に拡張子を確認
悪意ある添付ファイルは一般的な業務では利用しないファイル形式(例:.exe、.iso、.js、.lnk等)であることが多いため、起動する前に必ず確認しましょう。また、二重拡張子(例:PDFファイルと思わせたい実行ファイルはこのように記載される場合があります「.pdf.exe」)を用いられることも多いので、最後の文字までしっかり見ておくことが必要です。
⑤ 外部サイトへのリンクを不用意に押さない
フィッシングメールでは送信先のメールアドレスが使用されているかどうか確認するために本文内の送信先を一意に特定するための識別子をリンクに付けることがあるので、不用意に押さないようにしましょう。
⑥ 外部サイトへのリンク先を確認
本文内にあるリンクをクリックするように誘導している場合、フィッシングサイトへ遷移させられる可能性があるのでマウスのカーソルを合わせて(この時クリックは行わない)リンクを確認しましょう。
スマートフォンに潜む脅威
最後にスマートフォンに潜む脅威として、Wi-Fi接続サービスと偽った攻撃を紹介します。
iPhoneユーザーの皆さんは、「構成プロファイル」をご存知ですか?通信設定やアプリケーションがパッケージングされており、iPhoneの各種設定を一括して行うことができるファイルになっています。
この構成プロファイルを悪用した攻撃が、昨今アジア圏や中南米で多く見られます。
海外旅行では、現地ホテルの無料Wi-Fiを使われる方が多いかと思います。例えば、このWi-Fiに繋げようとすると「Wi-Fiを利用するには設定をしてください」のような文言と共にボタンやリンクがPOPアップで出てきます。これを正規のホテルサービスと思いアクセスすると、構成プロファイルをインストールするよう指示がでます。そのままインストールしてしまうと、iPhoneを通じてやり取りするデータが全て盗聴されてしまいます。
新型コロナが5類感染症に移行し、海外への出張や旅行の機会も増えてきています。特にアジア圏へ行かれる際には是非気を付けていただきたい攻撃です。
宿泊先ホテルのグレードを上げたり、日本からモバイルルーターを持っていくなどして、公衆Wi-Fiに繋がないのが一番安全です。もし海外への渡航予定がありましたら、注意いただきたいと思います。
今すぐできる対策
① 不必要なアプリケーションや構成プロファイルはインストールしない
「Apple Store」「Google Play」上であってもスパイウェア等の危険なアプリケーションが存在することを認識し、必要のないアプリケーションのインストールは控えてください。
② 公衆Wi-Fi環境を利用する場合のVPN接続の利用
Wi-Fiの提供元が不確かであったり、業務に関する情報を公衆Wi-Fi経由でやり取りする場合、可能な限りVPN接続等の通信を暗号化する仕組みを利用するなどして盗聴対策を施しましょう。
③ OSとアプリケーションは常に最新の状態を維持
OSやアプリケーションの脆弱性(ソフトウェアの欠陥)を悪用してユーザーに気付かれずに攻撃を展開する手法も存在しているため、常に最新の状態を維持するように心がけてください。
最後に
日常で遭遇し得るサイバー攻撃について一例を簡単にご紹介させていただきました。
今回取り上げたWeb、メール、スマートフォンは特にセキュリティ事故が起きやすい領域なので、「こういった脅威が潜んでいる可能性がある」という認識を持って、業務や生活にお役立ていただけたらと思います。
最後に、こうした事故の引き金を引かないためにはどうすれば良いのか、日ごろからできる対策をお伝えします。
◆会社・組織の行動規範を理解して遵守しましょう
何のためにルールがあるのかを踏まえた上でしっかり読み込みましょう。
◆セキュリティ知識の継続的な向上に努めましょう
セキュリティの領域は変化が激しいので、定期的に情報をアップデートしましょう。
◆パスワードを設定する場合は複雑なものを使い、使いまわしはやめましょう
1個漏れるとすべてのサイトやアプリにログインされてしまう危険があります。
◆データはバックアップしましょう
サイバー攻撃だけでなく、端末の突発的な故障時も想定して定期的に行うことをお勧めします。
◆SNSの使用は慎重に行いましょう
特に会社・組織に関わる情報を不必要に発信することは控えましょう。
◆もし攻撃のトリガーを引いてしまったら、責任者に報告しましょう又はその他会社のルールに従いましょう
とにかく隠さないことが大切です。攻撃に引っかかってしまうのは仕方がないので、いち早く解決するために行動しましょう。
サイバーセキュリティは日頃から意識し、小さなベストプラクティスを積み方重ねることが大切です。
例えば、大きな地震が起きても甚大な被害に繋がらないように、私たちは小さいときから訓練をしています。また、大きな震災を経て、どのような準備が必要だったのかを都度学び、どこかで地震があれば、次はどこで起こり得るのか、どんな対策が必要だったのかという情報収集をします。
日頃から皆さんが危険を意識し、個々であらゆる対策をとっているからこそ、世界的に見ても日本は地震に対する被害が少ないのです。
サイバーセキュリティの世界も、これらと同じです。
1人1人が日々危険を意識して取り組むことによって、組織や自身を守ることに繋がります。
是非この内容を頭の片隅に置いて、日々の業務や生活をお送りいただけますと幸いです。
2023年4月28日
株式会社Blue Planet-works
AppGuardで感染対策を!
