会社・組織に襲い掛かるサイバー攻撃は多岐にわたる。担当者の尽力によって防御できる場合もあるが、社員一人ひとりが注意をしなければ、わずかの隙を破って攻め込まれる場合もある。以下では、一般社員がしっかりと押さえておきたい攻撃手法と防御法をまとめてみた。
この記事は、ESETが運営するマルウェアやセキュリティに関する情報サイト「Welivesecurity」の記事を翻訳したものである。
ランサムウェア、スピアフィッシング、エクスプロイトキット、これらは会社・組織のサイバーセキュリティ体制の中で最も脆弱な箇所すなわち不注意な人物を標的とする攻撃の代表例である。もちろん、セキュリティ対策ソフトやツールはこのリスクを減ずる手立てとなりうる。だがそれ以上に重要なのは、スタッフ全員がセキュリティの基本を理解していることであり、それなくしては、全ての落とし穴を避けることは難しい。
ヨーロッパでは2016年10月に「サイバーセキュリティ月間」が実施され、不正行為をする者を追い詰めるための実践的な提案を行っている。以下の、ほんの幾つかの簡単な決まりを守ることで、サイバーセキュリティのリスクを軽減できる、というものだ。
1 ランサムウェア
データを暗号化し金銭をゆすり取ろうとするマルウェアから身を守る最善の方法は、自分の重要情報全てを定期的にバックアップして、デバイスを幾重もの層で保護する総合的な対策ソフトを定期的にアップデートして使用することである。
しかしながらランサムウェアを用いる攻撃者はしばしば創意工夫を凝らし、感染した実行ファイルをクリックするようユーザーを仕向け、防御策を回避しようとする。詐欺の目論見を達成するために、彼らはFedExのような配送業者からの追跡通知や銀行からのメール、あるいは「魅惑的なメッセージ」を装ったメールを送ってくることがある。
ユーザーに、こうした罠に注意するよう自覚を促せば、見ず知らずの疑わしいメールの添付書類(例えば「.PDF.EXE」といった二重拡張子を持つもの)やリンク、そしてファイルを開いてしまう危険性を和らげることができる。たったこれだけのことで感染のリスクは軽減できるのである。
ネットワーク上の共有フォルダーを多用すると、ランサムウェアの感染の拡散に一役かってしまう。共有ドライブを利用することでデータ共有の利便性は増すが、その利用をしっかりと制限しなければ、このドライブはマルウェアが同じネットワークに接続している他のデバイスをターゲットにするための恰好の場となり、マルウェアはデバイスの中のコンテンツを暗号化してしまう。ネットワーク参加者の権限を制限する一方で、こういったスペースを重要な、価値ある、かけがえのないファイルを保管するのに利用しないよう、スタッフにしっかりと伝えておくべきである。
2 フィッシング
最も一般的なフィッシングのシナリオは、次のようなものだ。自分の銀行やPayPalのロゴがページの先頭につけられたメールを受け取る。その手紙は、自分のアカウントの設定を見直すよう丁寧に依頼してくる。そして貼りつけられたリンクを経由して、個人情報や機密情報を提供するよう要請してくる。しかしこの情報を受け取るのは自分が利用している銀行ではなく、この攻撃の背後にいるサイバー犯罪者なのである。
ロンドン市警当局は5~6分ごとにこの手の攻撃についての報告を受け取っている。換算してみると、驚くべきことにEUの中のたった一つの国に対して毎年96,000件の攻撃が試みられていることになる。このフィッシングという手法は、被害者がデバイスで使用しているOSやプラットフォームの種類にかかわらず効果的に機能するということを忘れてはならない。サイバー犯罪者は被害者とコンタクトを取るために、ただ受信トレイがあればいいのだ。
サイバー犯罪に対する知識や経験がある程度なければ、多くの人がこの詐欺に引っかかるおそれがある。しかし、どのような仕組みでフィッシングが行われるかについて知っていれば、親友や上司、あるいは銀行が送ってきた怪しいメールは全て確かめる、という手を打つことができる。そして、実に世界の人口の約2/3がスマートフォンを持っている時代にあっては、ただ電話を一本入れるかSMSメッセージを送りさえすれば、そうしたメールの真偽をチェックすることができる。
3 エクスプロイトキット
サイバー空間におけるマルウェア感染は、ほんのワンクリックで起こってしまうこともある。なかには、デバイスをスキャンして脆弱性を見つけ出そうとするように設計されたエクスプロイトキットを含む不正なWebサイトもあるからだ。エクスプロイトキットは脆弱性を発見すると、その一点を突いて不正なコードをパソコンやスマートフォンにアップロードする。そして時に破壊的な結果をもたらす。
役に立つ簡単な原則を1つ挙げておけば、クリックする前にしっかりと確認をすること、これに尽きる。もしもうますぎる話を受け取ったなら、それは恐らく詐欺である。また愉快で面白そうなコンテンツの全てがクリックする価値がある訳ではない。ブラウザが次にどのサイトに連れていくのか、自分で確実に把握できているようにする。そして知りもしない疑わしいサイトは近づかないようにする。
以上、こうした3つのアプローチはとても簡単で良いのだが、これだけではまだ十分ではない。やはり、危険なWebサイトをそれと判断してブロックしたり、クリックしたその先に危険なサイトがないようにナビゲートするといった機能をも併せ持つような、信頼のおける総合的なウイルス対策ソフトが導入されていてはじめて安心できるレベルに達する。もちろんウイルス対策ソフトはただインストールしておけばいいというものではない。常にアップデートを怠ってはならないのである。
