新入社員が知っておくべき サイバーセキュリティの世界①

はじめに

本ブログでは、新入社員をはじめとした従業員に向けて、業務上必要となるサイバーセキュリティの知識を習得いただく内容をお伝えします。インターネットを利用する上で遭遇する恐れがある脅威について実例を用いて解説します。
※本稿は、2023年4月に開催されたBlue Planet-works主催のオンラインセミナー「新入社員が知っておくべき サイバーセキュリティの世界 2023」の一部をブログ化したものです。

なぜセキュリティ知識が必要なのか

一般的な企業では、入社時又は定期的にセキュリティ教育を実施する場合が多いかと思います。ではなぜ、セキュリティの知識が必要なのでしょうか。
昨今、テレビやメディアを通じてセキュリティ事故に遭った企業の情報を見かけることが多くなりました。JCICのセキュリティ事故に遭遇したことのある企業への聞き取り調査によると、被害を受ける前年度と比べて純利益が約21%減少することがわかりました。これはサイバー攻撃の被害に遭うことで、事故の対応や再発防止、機会損失、ブランドイメージの低下といった、企業にとって様々なマイナスが発生するためです。もちろん、各企業の情報システム部門では、このような被害に遭わないために、端末やメール、Web、ネットワークのセキュリティ、ID・パスワードの管理など、あらゆる対策に取り組んでいます。しかしながら、どれだけセキュリティの壁を高くしたとしても、これらはあくまでツールでしかないため、実際に使用される従業員が誤った操作や設定をした場合には、この壁は簡単に崩れてしまいます。実際に、国内だけではなく海外も含めて、こうしたサイバー攻撃が成立する決定要因の多くは、”人”であると言われています。今やセキュリティ事故は、組織の健全な経営を揺るがす大きなリスクとして認識されており、これらの危険をできるだけ取り払うためには、組織に属する1人1人のセキュリティ意識の向上とリスク回避が必要となっています。

サイバー攻撃とは

ではまず「サイバー攻撃」の定義について簡単にご紹介します。サイバー攻撃とは、皆さんが使われている情報端末やネットワーク機器などに対して、システムの破壊やサービスの妨害、データ窃取や改ざんなどを目的とした攻撃行為全般を指します。

このサイバー攻撃が起きると、システムや公開しているサービスの使用ができなくなったり、もしくは情報窃取や改ざんなど様々な被害が起こります。例として、職場で業務システムがやパソコンが使えず、インターネットに繋げることができなくなった場合、会社の生産性が著しく下がります。また、業務データそのものが使えなくなるため、アナログでの作業が発生するなど個人の作業負荷が増大します。制限された環境下で通常業務を遂行せざるを得なくなるため、当然効率性が低下します。業務の効率性が下がるということは、顧客や取引先への提供に遅延が発生するので、現在の状況を説明したうえで理解を求めることになります。そして、こうした事故が第三者によって明るみになりますと、対外的な信用を失い組織パニックに繋がります。つまり、サイバー攻撃の被害に遭うということは、経営困難に直結する危険があるのです。

しかし、サイバー空間は目に見えない領域のため、知識としてある程度知っていたとしても、具体的にそれが何か、どういう行動をすればいいのか、というイメージできる人は限られているのではないでしょうか。
現実の世界における脅威というと、例えば戦争や自然災害、直近ではコロナウイルスのような感染症などが想像できるかと思います。これらに関しては、日々メディアで見かけることはもちろん、実際に体験された方も多く、この現実世界で起こり得るという危機感を持ちやすいため、それを避けるための準備や対策を行いやすいです。
一方、サイバー空間では例えばハッカー、マルウェア、ランサムウェア、不正アクセスなど、言葉は聞いたことがあっても実際に目に見える被害も少なく、感覚で捉えにくい脅威が多いです。そのため、自身が被害に遭う想像ができず、実際にこれらの対策を行うまでにいたらない場合が多いのです。

Webサイトに潜む脅威

ここからは、サイバー空間で実際に利用されている攻撃手法とその対策を解説していきます。
はじめに、WEBサイトに潜む脅威として昨今日本でも多くの被害が出ている脅威を2つ紹介してまいります。
1つ目はブラウザの通知設定を悪用した脅威です。
この種の不正サイトは特に、世界的なスポーツイベントが開催される期間に出現することが多いです。
今回は、2023年のWBC(世界Baseball Classic)開催時に横行していた手口を例に挙げていきたいと思います。

日本対アメリカの決勝戦のライブ配信を無料で視聴できるという偽りの告知を使い、ユーザーを不正サイトへ誘導するものです。実際にGoogleで「WBC決勝無料観戦」などのキーワードで検索をすると、このような不正サイト が上位に表示されていました。サイトへのアクセスをおこない、動画の再生リンクがありクリックするとGoogleが提供するキャプチャーの画面が表示 され、同時に左上に通知許可を求めるポップアップが出てきます。ここでユーザーが通知許可のボタンを押してしまうと、この悪質なコンテンツを提供している事業者から一方的なデータ転送が可能になってしまいます。許可後は、画面上に「パソコンがウイルス感染した」「危険なファイルが見つかった」など不安を煽る偽のセキュリティアラートがたくさん表示されます。こちらは、ブラウザを再起動したとしてもポップアップがしつこく表示されてしまいます。
また、こちらの不正サイトには、2つの攻撃手口が仕掛けられています。
1つ目は、ブラウザ画面の中央に表示されている 「異常が発生しているので、この電話番号に連絡するように」といった文言が書かれたポップアップです。こちらはマイクロソフトの名前が記載されていますが、もちろん偽物です。もしこの電話番号に連絡してしまうと、詐欺グループのコールセンターに繋がり、巧みな言葉で料金の支払いを要求されます。
2つ目は、右下に表示されているウイルス対策ソフトを偽装したポップアップ です。クリックをすると、あたかもウイルススキャンをしているかのようなアニメーションが流れ「パソコンからウイルスが検出された」という表示が出ます。続けて「使用中のウイルス対策ソフトの有効期限が切れているため、新しいものを購入するように」と購入サイトへ誘導されます。実はこの購入先は本物の正規サイトになっております。この手口では、アフィリエイト広告*を経由して購入させることで、不正サイト運営者に収益が入る仕組みになっています。

※アフィリエイト広告とは、自分のウェブサイトやブログ等から他社の商品やサービスを宣伝し、その広告から発生した売上の一部を報酬として受け取れる一般的な広告手法です。

 

今すぐできる対策
① バナー画像に何を警告されても無視
セキュリティソフト等のアラートが出ても、落ち着いてページ又はブラウザを閉じてください。閉じられない場合はブラウザのサービス強制停止か端末の強制再起動を行いましょう。

② バナー画像には極力触らない
不安を煽るバナー画像内に「✕」「No」「いいえ」「キャンセル」等の、拒否ができる選択肢があったとしても、まともに機能する保証はないので基本的には触らないのが最善です。①と同じように対策しましょう。

③ 画面が遷移してしまっても慌てない
何かの拍子でページが遷移してしまい「契約が成立した」「ユーザー情報を取得した」等の脅迫メッセージが表示されていたとしても、無視をして①と同じように対策しましょう。

④ ブラウザの通知許可設定は不用意に許可しない
ブラウザの通知許可を有効化すると、ユーザーの意思と関係なく脅迫コンテンツ等を送りつけることが継続的に可能に待ってしまうため、通知許可設定を不用意に許可しないようにしましょう。

 

2つ目は、身近な脅威になりうる「フィッシング詐欺」をご紹介します。
フィッシング詐欺で最近多く見かけるのは、実在する金融機関や配送会社、インターネットショッピングサイトからのメールを模して送られてくるものです。
メールには、リンクとそのリンクへ誘導するような文言、例えば「支払いが失敗したので確認してください」といったものが記載されています。実際にクリックしてしまうと、その企業サイトそっくりに作成された偽のWebサイトへアクセス誘導されます。ここでログインのために口座情報やパスワードを入れると、攻撃者に入力情報が取られてしまいます。
こういった偽物のWebサイトは、本物のサイトデータを悪用して作成されるため、見た目で判断することは非常に困難です。

 

今すぐできる対策
① 重要なウェブサイトは「お気に入り」に登録
メール本文に記載されたリンクはフィッシングサイトへ誘導する最も多い手口です。個人情報や機密情報を入力するサイトは「お気に入り」に登録して、そこからのみアクセスすることをおすすめします。

② 登録内容の変更要求は事前に確認
登録情報の入力や変更を求められた場合、要求元のウェブサイト*で公開されている注意喚起情報等を確認します。
本物かどうかの判断ができない 場合は、変更要求が書かれたページではなく正規の窓口*に問い合わせてみましょう。
※メ―ルに記載されたリンクのウェブサイトではなく、①の様に「お気に入り」登録をしたウェブサイトなどから確認をしてください。

③ メール送信者とメールアドレス整合性を確認する
本文中に名乗っている企業や人物と、メールアドレスの＠よりうしろのドメイン部分が合っているかを確認しましょう。＠前は正しいメールアドレスに見えても、ドメインが意味のない文字列や社名と少しでも異なる場合は警戒が必要です。
【例】
差出人：株式会社Blue Planet-works坂井の場合
＜sakai.mail@zxqprtlfmv.com＞＜sakai.mail@blueplamet.com＞など

④ アドレスバーに表示されるURLの確認
こちらもメールアドレスのドメインと同様に、見た目上は普段見慣れたウェブサイトであってもアドレスバーに表示されるURL がアクセス先のドメイン名等を持ったものであるか確認してください。判断ができない場合、①のように「お気に入り」登録からウェブサイトへ訪問しましょう。
【例】株式会社Blue Planet-works<blueplanet-works.com>の場合
＜blueplanet-works.jp/bnhj/cykd/wgu_ioa＞など

 

さて、今回はサイバー攻撃の定義とWeb上の脅威について解説いたしました。
次回はメールとスマートフォンに潜む脅威について解説してまいります。

 

2023年4月27日

株式会社Blue Planet-works

 

AppGuardで感染対策を！