GW明けは不審なメールに注意 IPAが企業の情報管理者に注意喚起

ゴールデンウイークのような長期休暇明けは、多くの企業がシステム利用を再開するタイミングで、サイバー攻撃者にとって格好の標的となりやすい時期です。不審なメールを開封してしまったり、システムの脆弱性が放置されたままになっていたりする可能性があります。情報処理推進機構(IPA)は、企業の情報管理者に情報セキュリティ対策を呼び掛けています。マルウェアに感染しないよう、なるべく始業前に社員に注意を呼び掛けましょう。
ゴールデンウイークのような長期休暇明けは、多くの企業がシステム利用を再開するタイミングで、サイバー攻撃者にとって格好の標的となりやすい時期です。不審なメールを開封してしまったり、システムの脆弱性が放置されたままになっていたりする可能性があります。情報処理推進機構(IPA)は、企業の情報管理者に情報セキュリティ対策を呼び掛けています。マルウェアに感染しないよう、なるべく始業前に社員に注意を呼び掛けましょう。
目次
IPAの公式サイトは、休暇明けの対策として以下の4つに注意するよう呼び掛けています。IPAが提唱する「情報セキュリティ5か条」も踏まえつつ紹介します。
IPAは、中小企業自らが情報セキュリティ対策に取り組むことを自己宣言する制度として「SECURITY ACTION」を推進しています。「情報セキュリティ5か条」に取り組むことを宣言することで、1段階目である「一つ星」を使用することができます。これは、対外的に自社のセキュリティ対策への取り組みを示す指標となります。
OSやソフトウェアが古いまま放置されていると、セキュリティ上の問題点、いわゆる「脆弱性」が解決されないまま残り、それを悪用したウイルスに感染してしまう危険性が高まります。ソフトウェアの開発元は、これらの脆弱性に対応するための修正プログラムや最新版を提供しています。
長期休暇中にOS(オペレーティングシステム)や各種ソフトウェアの修正プログラムが適用されていない場合があります。修正プログラムの有無を確認し、必要な修正プログラムを適用してください。
修正プログラムの適用は、システム管理者から指示するようにしてください。
対策例として、以下の点が挙げられています。
• WindowsUpdate(WindowsOSの場合)やソフトウェア・アップデート(macOSの場合)など、ベンダの提供するサービスを必ず実行しましょう。これにより、既知の脆弱性が修正され、安全性が向上します。
• Adobe Readerやブラウザなど、利用中のソフトウェアを最新版に更新しましょう。OSだけでなく、日常的に利用する様々なアプリケーションも常に最新の状態に保つことが重要です。
• 利用中のソフトウェアに脆弱性が存在しないか、MyJVN バージョンチェッカで確認しましょう。
ID・パスワードを盗んだり、遠隔操作を行ったり、ファイルを勝手に暗号化するウイルスが増加しています。これらのウイルスは、システムに侵入し、情報の窃盗、システムの破壊、業務の停止など、深刻な被害を引き起こします。
こうした脅威に対抗するためには、ウイルス対策ソフトを導入し、ウイルス定義ファイル(パターンファイル)を常に最新の状態に保つことが不可欠です。ウイルス対策ソフトは、悪意のあるプログラムの侵入を防ぎ、万が一侵入されてしまった場合でもその活動を検知・駆除するための基本的な防御策です。
長期休暇中に電源を切っていたパソコンは、セキュリティソフトの定義ファイル(パターンファイル)が古い状態のままになっている場合があります。電子メールの送受信やウェブサイトの閲覧等を行う前に定義ファイルを更新し、最新の状態になっていることを確認してください。
そのほかの対策として、以下の点が推奨されています。
長期休暇中に社員が持ち出していたパソコンや、データを保存していたUSBメモリ等の外部記憶媒体にウイルスが混入していないか、組織内で利用する前にセキュリティソフトでウイルススキャンをしてください。
休暇明けのメールボックスには大量のメールが届いている場合があります。なかには、実在の企業などを騙った不審なメールも含まれています。
こういったメールの添付ファイルを開いたり、本文中のURLにアクセスしたりすると、ウイルスに感染したり、フィッシングサイトに誘導されたりしてしまう可能性があります。
不審なメールを受信していた場合、「添付ファイルは開かず」、「本文中のURLにはアクセスせず」、システム管理者に報告するよう指示してください。
長期休暇明けに社員にセキュリティ対策を呼び掛けるのをきっかけに自社の対策を見直すきっかけにしましょう。セキュリティ対策を高めるには次のようなことも大切です。
データ保管などのウェブサービスや、ネットワークに接続された複合機などの設定を間違ったために、無関係な人に情報を覗き見られるトラブルが増加しています。意図しない範囲でファイルや機器へのアクセスが許可されていると、機密情報が外部に漏洩してしまう可能性があります。
無関係な人が、ウェブサービスや機器を使うことができるような設定になっていないか、定期的に確認しましょう。
• ウェブサービス、ネットワーク接続の複合機・カメラ、ハードディスク(NAS)などの共有範囲を限定しましょう。必要な人のみにアクセス権限を与えるように設定することで、情報の機密性を保ちます。
• 従業員の異動や退職時には、速やかに共有設定を変更(削除)しましょう。組織内の人事異動や退職に伴い、不要になったアクセス権限は迅速に削除することが情報漏洩防止につながります。
• テレワークで使用するパソコン等は他者と共有しないようにしましょう。個人の端末を複数人で共有すると、セキュリティ管理が難しくなり、情報漏洩のリスクが高まります。
• 共有せざるを得ない場合は、別途ユーザーアカウントを作成しましょう。ユーザーごとにアカウントを分けることで、それぞれの利用状況やアクセス権限を管理しやすくなります。
• 外出先でフリーWi-Fiを使うときには、パソコンのファイル共有をオフにしましょう。フリーWi-Fiのような不特定多数が利用するネットワーク環境では、悪意のあるユーザーが存在する可能性があるため、自身の端末の共有設定を無効にしておくことが安全です。
近年、取引先や関係者と偽ってウイルス付のメールを送ってきたり、正規のウェブサイトに似せた偽サイトを立ち上げてID・パスワードを盗もうとしたりするなど、サイバー攻撃の手口はますます巧妙になっています。これらの手口を知らなければ、自身が被害者になるリスクが高まります。
対策には以下のものがあります。
• IPAなどのセキュリティ専門機関のウェブサイトやメールマガジンで、最新の脅威や攻撃の手口に関する情報を入手しましょう。専門機関は最新のサイバー攻撃動向や対策情報を提供しています。
• 利用中のインターネットバンキングやクラウドサービスなどが提供する注意喚起を確認しましょう。各サービスプロバイダは、自社のサービスを狙った攻撃やその対策について情報提供を行っている場合があります。
おすすめのニュース、取材余話、イベントの優先案内など「ツギノジダイ」を一層お楽しみいただける情報を定期的に配信しています。メルマガを購読したい方は、会員登録をお願いいたします。
朝日インタラクティブが運営する「ツギノジダイ」は、中小企業の経営者や後継者、後を継ごうか迷っている人たちに寄り添うメディアです。さまざまな事業承継の選択肢や必要な基礎知識を紹介します。
さらに会社を継いだ経営者のインタビューや売り上げアップ、経営改革に役立つ事例など、次の時代を勝ち抜くヒントをお届けします。企業が今ある理由は、顧客に選ばれて続けてきたからです。刻々と変化する経営環境に柔軟に対応し、それぞれの強みを生かせば、さらに成長できます。
ツギノジダイは後継者不足という社会課題の解決に向けて、みなさまと一緒に考えていきます。