ゼロから始めるEmotet対策 3つの“基本のき”できていますか？：半径300メートルのIT

サイバー攻撃はもはや情報システム部門だけではなく、従業員一人一人が当事者意識を持って対処すべき深刻な経営リスクです。今回は「こんなの当たり前だよ」と思っていることでも意外とできていないセキュリティのポイントを3つ紹介します。

[宮田健，ITmedia]

　マルウェア「Emotet」が猛威を振っています。メール侵害によって宛先やメール本文が奪われた結果、多くの企業で「情報漏えい」インシデントが報告されています。詳細は不明ながらサイバー攻撃によるシステムダウンの報告も目立つようになりました。Emotetだけでなく、不安定な社会情勢に付け込んだサイバー攻撃など、これまで体験したことのない状況がインターネット上に訪れているという印象を受けます。

　Emotetは主に「Windows」を標的にするため、これ以外のOSを利用すれば対策できるようにも思えます。また、「Office アプリケーション」のマクロが悪用されるわけですから、これもクラウドサービスとしてWebブラウザ経由で利用すればいいでしょう。メール経由の脅威を防ぎたいなら、連絡手段をチャットのみに絞れば解決です。しかし、これら全ての対策は現状では非現実的だといえます。個人的にこの状況を解決できる手法を模索してはいますが、なかなか現実的な案は思い浮かびません。

　であれば、現状の仕組みを利用しながら脅威を回避するしかありません。しかし単体のソリューションで脅威から完璧に身を守る方法は、どうも存在していないように思えます。

併せて読みたい関連記事

• まだまだ足りない「Emotet」対策　決定打がないからこそ必要なことは？
• 「サプライチェーン攻撃」に「Emotet」　悲壮感漂う今こそ必要な心構えとは？
• 加速する“脱PPAP”の動きに乗り遅れないために　（少しだけならば）変化を受け入れよう

人任せにしないEmotet対策はあるか？

　筆者が単なる従業員の立場であれば「情報システム部門は何をしているんだ」と思うかもしれませんが、今やサイバー攻撃は情報システム部門だけの問題ではなくなっており、1部門で対処できる範囲を大きく超えています。

　それでも何とか対処する必要があるのなら、これはもう個人ができる範囲でカバーするしかありません。サイバー攻撃の対策を怠れば自組織がサプライチェーンから外されるリスクもあります。組織の一員として当事者意識を強く持つ必要があるでしょう。

　本連載ではこれまでも、基本的なセキュリティ対策の重要性を訴えてきましたが、今回はEmotetに限らない「サイバー攻撃対策」の“基本のき”を紹介します。いま一度、“第0歩”の対策が万全かどうかを見直してみてください。

自分の持ち物であっても、画面のロック／スマホのロックを確実に