コロナ禍の影響もあり、テレワークの導入が進んでいると思いますが、
導入とともに対策しなければならないことがあります。
その1つが「サーバーやセキュリティ対策」です。
「何となく怖いもの」というイメージはあるけれど
具体的にどんな対策をしたら良いのか迷っている方はいませんか?
今回の記事では
前半は、どんな被害が起こりうるのか?事例と対策方法
後半は、最大1,500万円、経費の1/2を補助してくれる補助金
「サイバーセキュリティ対策促進助成金」
についてご紹介します。
今は大丈夫だけど今後の対策としてもちょっと知っておきたいな…!
気になる人はぜひ最後までご覧ください。
サイバー攻撃とは?サイバー攻撃などで会社が被る損害
サイバー攻撃ってなに?
サイバー攻撃とは、
サーバやパソコンなどのコンピューターシステムに対し、
ネットワークを通じて破壊活動やデータの窃取、改ざんなどを行うことです。
特定の組織や企業、個人を標的にする場合や、
不特定多数を無差別に攻撃する場合があり、
その目的も様々で、
金銭目的のものもあれば、ただの愉快犯的な犯行も多くあります。
サイバー攻撃による被害総額・件数
警察庁の発表では、
金融機関に関する攻撃の2015年の被害総額は30億7300万円を超え
過去最高になったことが明らかにされました。
最新情報が2015年(平成27年)ですが、
ECサイトの普及などから
令和3年現在で被害総額が減っていることは考えにくいでしょう。
プライベートでもネットで気軽に買い物する機会がたしかに増えたな。
その分、公私ともに被害は増え続けているんだね…!
令和3年中のサイバー犯罪の検挙件数が12,209件と過去最多を記録しました。
ランサムウェアによる被害が拡大するとともに、
不正アクセスによる情報流出や、
国家を背景に持つサイバー攻撃集団によるサイバー攻撃が明らかになるなど、
サイバー空間をめぐる脅威は、極めて深刻な情勢が続いています。
【2022年最新】サイバー攻撃の目的・損害実例
かつてのサイバー攻撃は、
嫌がらせやスキルの誇示といった「愉快犯的な犯行」が多くを占めていました。
しかし、
IT技術の発達や情報資産の価値向上により、
最近のサイバー攻撃 は「金銭目的」の犯行が増加しています。
出典:総務省トップ > 政策 > 白書 > 令和3年版 > テレワークの実施状況
テレワークの普及によりPCを使用して仕事する会社・従業員は爆増しました。
被害にあうのはIT業界の会社(情報通信業)だけではありません!
【被害】過去の企業事例
- 大手食品製造会社でオンラインショッピングに不正アクセスが行われ、クレジットカード情報が1万件近く流出
- 大手旅行会社が航空会社を装ったメールによりウイルスに感染し、多くの顧客情報を流出
- 内部不正のケースでは、ある機関では職員が情報を持ち出して加入者情報が流出
顧客の個人情報の流出などは、企業の信頼も失う大きな損失となります。
サイバー攻撃の”企業”での実例3選!~傾向&対策~
企業がよく遭うサイバー攻撃の種類を3つご紹介します。
【被害事例①】復旧に2ヶ月もかかる?!ランサムウェア
警察庁の発表によると、2021年度はランサムウェアによる被害が拡大しました。
参考:ランサムウェアってなに?
ランサムウェアってなに?💸
ランサムウェアとは、企業のデータを不正に暗号化し、データを元に戻す代わりに身代金を要求する攻撃です。
もう少し詳しく書くと・・・
従来のランサムウェアは、
不特定多数の利用者を狙って電子メールを送信する
といった手口が一般的でした。
会社のメールだけでなく、プライベートでも届いた経験がある方は多いのではないでしょうか?
現在では、VPN機器をはじめとする企業のネットワーク等の
インフラのぜい弱性を狙って侵入するなど、
特定の個人や企業・団体等を標的とした手口に変化しています。
また、最近の事例では、データの暗号化のみならず、
データを窃取したうえで、企業等に対し
「対価を支払わなければ当該データを公開する」などと
金銭を要求する二重恐喝(ダブルエクストーション)
という手口が多くを占めています。
ランサムウェアの被害件数が爆増!
2021年度の被害件数は、146件に上りました。
2021年上半期と前年同期を比較すると、約3倍に増加しています。
大企業だけが襲われるわけではない!中小企業の方が…
被害件数(146件)の内訳を被害企業・団体等の規模別*3 にみると、
大企業は49件、中小企業は79件であり、
その規模を問わず、被害が発生していることがわかります。
復旧にかかった期間・費用総額
復旧に要した期間について質問したところ
108件の有効な回答があり、このうち、
1週間以内に復旧したものが32件と最も多かったが、
復旧に2か月以上要したものもあった。
また、
ランサムウェア被害に関連して要した
調査・復旧費用の総額について質問したところ
97件の有効な回答があり、このうち、
1,000万円以上の費用を要したものが42件で43%を占めている。
解決方法:ランサムウェア対策に欠かすことのできない3箇条
具体的にどのような対策を取れば良いのだろう?
補助金を有効活用して取り入れてみましょう!
1. セキュリティ教育
まず必要なのは、社員へのセキュリティ教育です。
メールやWebサイトの閲覧を通じて感染する場合が多いため、
不審なメールやWebサイトを開かないようにという注意喚起と、
感染が起きてしまった場合の事後対応手順を策定・周知が必須です。
ランサムウェアは人間の恐怖につけ込み、
パニック状態に追い込んで冷静な思考能力を奪うことで、
金銭詐取や混乱の拡大を狙います。
だからこそ、被害を最小化するためには
実際に起きた場合を想定して事前に訓練を行うことが有効です。
2. システム的な感染防止策
システムの感染を防ぐ根本的な対策も必要です。
具体的には、以下の対策が必要となります。
- ウイルス対策ソフトウェアでメールやWebサイト、PC内のマルウェアを検知・駆除
- Webフィルタリングで危険なWebサイトへの接続を防ぐ
- OSやアプリケーションの脆弱性に常に気を配り、アップデートを最新に保つこと
3. データのバックアップ
上記の対策をしても、なお感染してしまった場合に備えて大事なのが、
データのバックアップです。
ただし、
バックアップがランサムウェアからアクセスできる場所に取られていると、
それも暗号化されてしまう恐れがあります。
また、バックアップを世代管理ではなく上書き方式で取っていると、
暗号化されたファイルでバックアップを上書きしてしまう場合もあります。
バックアップの手順は注意深く設計しなければなりません。
【被害事例②】個人情報を盗み出される!? フィッシング詐欺
参考:フィッシング詐欺ってなに?
フィッシング詐欺ってなに?🐟
フィッシング詐欺とは、送信者を詐称した電子メールを送りつけたり、偽の電子メールから偽のホームページに接続させたりするなどの方法です。
クレジットカード番号、アカウント情報(ユーザID、パスワードなど)といった重要な個人情報を盗み出す行為のことを言います。
なお、フィッシングはphishingという綴りで、魚釣り(fishing)と洗練(sophisticated)から作られた造語であると言われています。
出典:総務省公式HP ホーム > 一般利用者の対策 > 基本的な対策 > フィッシング詐欺に注意
①電子メールでフィッシングサイトに誘導
典型的な手口としては、
クレジットカード会社や銀行からのお知らせと称したメールなどで、
巧みにリンクをクリックさせ、
あらかじめ用意した本物のサイトにそっくりな偽サイトに利用者を誘導します。
そこでクレジットカード番号や口座番号などを入力するよう促し、
入力された情報を盗み取ります。
②電子掲示板などの情報でフィッシングサイトに誘導
電子メールだけではなく、
電子掲示板やSNSの投稿サイトに、URLを記載してアクセスさせ誘導する手口です。
③表示されているURLを本物のURLに見せかけてアクセスさせる手口
実在するURLに見間違えるような表示にすることで誘導する手口です。
例えば、
アルファベットの一文字の(オー)o を数字の 0 にしたり、
アルファベットの大文字の(アイ) I を小文字の(エル)lにしたりして、
閲覧者が見間違えたり、信用させたりする手口もあります。
対策方法: 今すぐできるフィッシング対策3箇条
・あやしいメールの見分け方
・正しい URL にアクセスする
・パソコンを安全に保つための方法
・スマートフォンの正しいアプリのインストール方法
・ひょっとして重要情報を盗まれたかもしれないと感じたときの事後対策
などの、フィッシング対策を解説します。
対策① 正しい URL にアクセスする
■正しいドメイン名を確認し、ブックマークに登録する
オンラインサービス初回利用時にはそのドメイン名を利用者カード/請求書などで確認し、直接入力してください。
初回利用時にブラウザーのブックマークに登録などすることで、以後入力を省くことが可能です。
偽のバナー広告や検索結果からフィッシングサイトに誘導される事例の対策予防にもなります◎
< 特にフィッシング詐欺被害が金銭面に及ぶ可能性の高いもの >
- クレジットカード会社
- 銀行
- ショッピングサイト などは活用するとよい
■電子メール中のリンクはクリックしない
電子メール中のリンクはクリックすると危ないサイトに行く可能性があるため、安易にクリックしないでください。
<やむを得ず、案内メールの本文中の URL リンクを利用する場合>
左クリックなどによる直接のアクセスではなく
(1)URL リンクを右クリック
(2)ハイパーリンクをコピー
(3)Web ブラウザーのアドレスバーにペースト
(4)文字列としてフィッシング詐欺で無いことを確認してからアクセス
するように心がけてください。
対策② なりすましメールに注意しましょう
メールの差出人情報などは簡単に詐称ができ、
差出人情報などを頼りにメールの真偽を見抜くことは不可能です。
銀行やショッピングサイトなどからどのようなタイミングで、
どのようなメールが届くかを事前に理解し、
それに当てはまらないものはすべて怪しいと考えることが大切です。
電子メールだけでなく、SNS(Social Networking Service)や SMS(ShortMessage Service)による連絡においても同様です。
対策③ パソコンやモバイル端末を安全に保ちましょう
■ソフトウェアを最新の状態にする
パソコンやスマートフォンのようなモバイル端末に
セキュリティ上の脆弱性があると、利用者が気付くことなく
マルウェアへの感染や脆弱性を利用した攻撃を受けることになります。
最新の OS やアプリケーションには
自動的に最新のセキュリティパッチを適用する機能が備えられていることが多いので、
できるだけその機能を有効にし、
最新のセキュリティパッチが確実に適用された状態でパソコンやモバイル端末を利用することが重要です。
また、セキュリティのサポートがされなくなった古いパソコンの基本ソフト(OS)(例:Windows XP など)の使用はやめて、新しい基本ソフト(OS)を使いましょう。
■パスワードのしっかりとした管理
不正アクセス行為、ウイルス感染などの原因で
Web サイトからユーザーのパスワードが漏えいする事件が発生しています。
ユーザー側の努力だけでは
ID・パスワードが漏れてしまうリスクをゼロにすることはできないことから、
一つのサイトからの漏えい被害が他のサイトのアカウントに影響を及ぼさないよう、
利用する Web サイトごとに ID・パスワードを別々にしておくべきです。
同じパスワードを SNS とインターネットバンキングで使いまわしていると、SNS からパスワードが漏れた場合、インターネットバンキング
のアカウントも危険にさらされることになります。
例)
- 「1234」「1111」といった安易なパスワード
- 個人情報から類推されやすいパスワード
などを設定しないということも重要です。
特に安易なパスワードは未だ多くの方が設定されている傾向にあり、パスワードが奪われずとも数回のログイン試行により突破されてしまう可能性があります。
【被害事例③】社員の1人でも開けば致命的!?標的型メール攻撃
参考:標的型メール攻撃ってなに?
標的型メール攻撃ってなに?
最近、特定の企業や組織を狙った標的型攻撃メールにより、重要な情報が盗まれる事件が頻発しています。
標的型攻撃メールとは、不特定多数の対象にばらまかれる通常の迷惑メールとは異なり、対象の組織から重要な情報を盗むことなどを目的として、組織の担当者が業務に関係するメールだと信じて開封してしまうように巧妙に作り込まれたウイルス付きのメールのことです。
従来は府省庁や大手企業が中心に狙われてきましたが、最近では地方公共団体や中小企業もそのターゲットとなっています。
出典:総務省公式HP ホーム > 一般利用者の対策 > 基本的な対策 > フィッシング詐欺に注意
対策方法:標的型攻撃への対策3箇条
対策① 入口対策(攻撃の侵入を防ぐ対策)
標的型攻撃に利用されるウイルスには、
実行形式(拡張子が.exe)のものや、
組織でよく利用されるソフトウェアの脆弱性を突くものが多いとされています。
「実行形式の添付ファイルは開かない」などの
ルールを組織全体で徹底することや、
組織で利用するソフトウェアを常に最新の状態にしておくことが重要です。
対策② 出口対策(侵入後に被害の発生を防ぐ対策)
入口段階で攻撃を防げず、組織にウイルスが侵入してしまった場合にも、
組織内から重要な情報が外部に送信される段階で
被害を食い止める対策(出口対策)を行うことが重要です。
<主な出口対策>
- ウイルス感染による外部への不審な通信を見つけて遮断する、サーバやWebアプリケーションなどのログを日常的に取得し、異常な通信を見つけるために定期的にチェックするといった対策が有効です。
侵入の早期発見と迅速な対応のために有効です。
※特にログの取得は、侵入の発覚後に被害内容の特定や原因の追及をするために重要な情報源となります。
- 万が一データが流出してしまっても、情報にアクセスできないようデータを暗号化しておく
対策③ 社員・職員への教育
標的型攻撃による被害を防止するためには、
メールを受信する社員・従業員への教育が欠かせません。
実際に想定される標的型攻撃のメール文を見せながら、
典型的な手口や、開封してしまった場合の対応などを啓発するような教育が効果的です。
「標的型メール訓練」というものが存在し、補助金適応ができます!
補助金の概要
【目的】
中小企業者等が自社の企業秘密や個人情報等を保護する観点から構築したサイバーセキュリティ対策を実施するための設備等の導入を支援します。
情報セキュリティ基本方針策定支援専門家派遣を令和4年5月9日(月)より開始いたします。
助成対象経費
サイバーセキュリティ対策を実施するために必要となる下記の機器等の導入、
およびクラウド利用に係る経費
(1)統合型アプライアンス(UTM等)
(2)ネットワーク脅威対策製品(FW、VPN、不正侵入検知システム等)
(3)コンテンツセキュリティ対策製品(ウィルス対策、スパム対策等)
(4)アクセス管理製品(シングル・サイン・オン、本人認証等)
(5)システムセキュリティ管理製品(アクセスログ管理等)
(6)暗号化製品(ファイルの暗号化等)
(7)サーバー(最新のOS塔載かつセキュリティ対策が施されたものに限る)
(8)標的型メール訓練
助成率
助成対象経費の1/2以内
上限額
1,500万円(下限額 30万円)
※標的型メール訓練に関しては別途規定
申請スケジュール
そして、以下は必要な方のみお読みください。
サイバーセキュリティ対策促進助成金の
申請要件の一つである宣言に必要な情報セキュリティ基本方針の策定支援を行っています。
利用希望者は下記の「専門家派遣募集要項」をご覧ください。
※助成金を申し込むにあたり、本支援は必須ではございません(二つ星の宣言は必須)
(2022.04.27更新)
(2022.04.27更新)
申請方法
※申請の際は、お電話にて申請日時の事前予約が必要です。
※申請書類一式をご準備の上、予約受付期間内にお電話にてご予約ください。
(平日 9:00~12:00、13:00~17:00)
問い合わせ先(送付先)
■申請・問い合わせ先
企画管理部 設備支援課
〒101-0025 東京都千代田区神田佐久間町1-9 東京都産業労働局秋葉原庁舎
TEL:03-3251-7889
まとめ
今回の記事では
前半は、どんな被害が起こりうるのか?事例と対策方法
後半は、最大1,500万円、経費の1/2を補助してくれる補助金
「サイバーセキュリティ対策促進助成金」
についてご紹介しました。
実際の被害の例から、「どんな対策をするべきなのか?」をご紹介しました。
まだ自社に取り入れていない人は、ぜひ補助金も上手く活用しながら取り入れて
会社をサイバー攻撃から守りましょう。
攻撃を受けてから会社の資産や信頼を失う前に、取り組んでおきたい事柄になると思います。
わからないことがあればお気軽に、補助金コンシェルジュをご活用ください。
せっかく申請するなら助成金を受け取りたいですよね!
申請したいけど、申請の仕方がわからない…
書類の書き方が不安…
自分が該当しているのか自信がない…
少しでも不安がある方は、ぜひご相談ください!
最後までお読みいただきありがとうございました!