真面目な従業員が知らずにネットワークセキュリティを脅かす5つのパターン：個人のWebメールが危険（1/2 ページ）

大企業であれ中小企業であれ、適切な管理ポリシーとトレーニングが欠如していると、セキュリティ面で混乱を招きかねない。Untangleのダーク・モリスCTO（最高技術責任者）は、予想される問題とそれを避ける方法についてアドバイスする。

[Dirk Morris，eWEEK]

　「ウチは中小企業だ。わざわざ当社のネットワークをハッキングしようとする者などいない」

　これは間違いだ。

　事実、Small Business Technology Instituteが調査した中小企業の56％が、過去12カ月の間に少なくとも1件のセキュリティインシデントを経験している。最近では、大企業を狙うよりも中小企業を攻撃するサイバー犯罪者が増えている。大企業に比べると、中小企業は一般にシステムが脆弱で、総合的なセキュリティソリューションに投資する時間的・経済的な余裕がない場合が多いからだ。

　加えて、ハッカーたちは絶えず手口を変え、ネットワークセキュリティ分野における最近の進歩に適応するため、中小企業は常に進化する外部の脅威に直面することになる。スパム、ファーミング、フィッシング、ウイルス、アドウェア、キーロガー、rootkit……数えればきりがない。しかもこれらの企業は、不注意による内部からの脅威にも直面している。セキュリティリスクの高いネットワーク操作を無意識に行う従業員が多いからだ。

　従業員が無意識にセキュリティの火に油を注ぐケースで最もよくある5つのパターンを以下に紹介する。

フィッシング／スパムメールに返事する

　フィッシング詐欺と電子メール詐欺は、人々が思っている以上に高度化しており、いたるところでセキュリティ問題となっている。これらは単なる迷惑で済むならまだしも、最悪の場合には機密データの流出という現実的な脅威をもたらす。フィッシャーやスパマーたちは、紛らわしいURL（例えば「www.vvellsfargo.com」では2つの「v」で「w」を表し、「www.disneywor1d.com」では「L」で数字の「1」を表そうとする）を使用する。これらのURLは、一見するとまともそうに見えるが、実際には、個人情報を盗んだり悪質なコードをインストールすることを目的とした悪質なサイトにユーザーを導くのである。

　この種の詐欺は意外と成功することが多い。2007年には、偽装されたBetter Business Bureauの電子メールがさまざまな企業に送られた。このメールには、その企業に対する苦情がRTF（Rich Text Format）で書かれているとされるファイルが添付されていた。

　ユーザーが添付ファイルを開くと、知らない間に実行可能ファイルが実行され、キーロガープログラム（正規のファイルのように見せかけるために「.pdf」の拡張子が付いている）がインストールされた。このキーロガーは、盗んだデータをマレーシアにあるサーバにアップロードした。

　ポイントは、従業員は自分がどんな電子メールを開こうとしているのか、そしてどんなリンクをクリックしようとしているのかに注意を払う必要があるということだ。怪しそうに見えるものは、たぶん実際に怪しいものであり、近づかないのが無難だ。

仕事中に個人用Webメールをチェックする

　企業が自社専用の電子メールサーバを保有している場合、サーバへのすべてのインバウンド（着信）電子メールをスキャンしてウイルスが含まれていないかチェックするウイルス防止機能がサーバに組み込まれているのが普通だ。一般に、こういったウイルス防止機能は、メールサーバで使用するSMTPトラフィックだけをチェックし、HTTPなどのプロトコルは素通りできる。

　このため、従業員がHTTPを使用してWebブラウザ経由で自分の個人電子メールアカウントをチェックしたとき、このネットワークトラフィックは会社の電子メールサーバに組み込まれたウイルススキャン機能をバイパスする。FTPによるダウンロードでも同じような状況が起きる可能性がある。こういった問題に対処するには、プロトコルにかかわらず、ネットワーク上のすべてのインバウンドトラフィックをスキャンしてマルウェアをチェックする方策を考えなければならない。