今朝の日経新聞社会面に身代金要求型のコンピュータウィルス、通称「ランサムウェア」の脅威に関する記事が出ていました。
ランサムウェアに感染したコンピュータは、全てのファイルが暗号化され、画面上に暗号解除のための金銭を要求するような表示を出すと言われています。実際には金銭を支払っても暗号が解除されるケースは極めて少なく復旧も非常に難しいそうです。
ランサムウェアは、セキュリティの欠陥をついて主として海外からの不正アクセスで感染するケースが多く、大手セキュリティ会社によると、2017年には国内で4万7千台ものパソコンでランサムウェアが検出されたそうです。また最近では企業を狙った攻撃が増えているとのこと。
こうした脅威に対して中小企業が取るべき選択肢として、最も確実なのはパソコンを使わない、またはネットに繋がないことだと思います。しかし、現実問題として、現代の仕事、特に事務や管理業務においては、パソコンやネットを使わないデメリットは計り知れません。そのため、こうした脅威が現実化するリスクと、パソコンやネットを使わないことのデメリットを比較する必要があると思います。
脅威に晒されるリスクは、企業側の対策によってかなり軽減されます。対策の第一歩は、リスクを正しく認識することだと思います。例えば、ランサムウェアに感染するパターンは大別すると3つあるといわれています。
②改ざんされたホームページを閲覧する
③Windows等の基本ソフト(OS)の欠陥(脆弱性)を悪用した不正アクセスを受ける
・PCに統合セキュリティ対策ソフトをインストールし常に最新の状態に更新する
・最悪感染されてもファイルを元の状態に戻せるように、定期的かつこまめなバックアップを取っておく
・定期的な情報セキュリティに対する社員教育を行う
企業が業務に使用するパソコンには、ほぼ確実に何らかのセキュリティ対策ソフトがインストールされているかと思いますが、標的型攻撃メールのように、送られて来たメールにセキュリティ対策ソフトのウィルス定義にもないようなものが仕込まれていると阻止できない場合もあります。
そのため、「添付ファイル付きのメールは不用意に開かない」とか、「実行ファイル形式(拡張子が.exeとなっているもの)の添付ファイルを見たら即座に危ない!と感じる」というようなセキュリティに対する基本的な社員教育が重要になるかと思います。
とはいえ、こうした脅威は年々巧妙になってきています。そもそもメールは不特定多数の送信者から送られてくることや、通信経路が暗号化されていない場合もあり、何かとセキュリティ的に欠陥の多い通信手段だと思います。そのため、私は業務連絡にはchatworkを利用しています。chatworkは実行ファイル形式の添付ファイルは、そもそも送信自体ができない仕組みとなっています。やりとりの相手も特定できますし、通信経路は暗号化されています。こうしたことから、私の顧問先にはchatworkのご利用を推奨しています。
(参考:独立行政法人情報処理推進機構)
中小企業の情報セキュリティ対策ガイドライン
コメントを残す
コメントを投稿するにはログインしてください。