“ゾンビルーター問題”は企業にとっても無関係の話ではない 対処方法はあるか？：半径300メートルのIT（2/2 ページ）

ルーターをはじめとしたIoT機器を乗っ取り、“ゾンビルーター”としてDDoS攻撃などに利用する手口が問題となっています。この“ゾンビルーター問題”、個人向けの脅威と思われがちですが、組織にだって無関係ではないのです。

[宮田健，ITmedia]

セキュリティに個人も組織も関係ない

　ここまでは全て、家庭で起き得る「個人」のサイバー脅威に関するお話でしたが、読者の中には「組織には何の関係もないのでは？」と思う方がいるかもしれません。

　確かに従業員レベルではこれらはセキュリティ担当者に任せるものなので、その認識は間違ってはいません。しかし筆者としては、セキュリティは個人と組織の境目を設けるべきではない、と考えています。

　かつて、ランサムウェアは個人を対象としたサイバー攻撃でしたが、今ではそのほとんどが組織を対象としており、家庭でランサムウェアに引っ掛かったというニュースは聞かなくなりました。

　個人を狙ったサイバー攻撃は近年、サポート詐欺や広告詐欺など、人の脆弱性を突く「詐欺」にシフトしています。振り込め詐欺などは昔は高齢者をターゲットとしていましたが、今では手法がアップデートされて、若者を含めた“個人全体”を標的にしています。

　サポート詐欺については前回も取り上げましたが、その後、この攻撃が組織に対して仕掛けられたという報道がありました。高齢・障害・求職者雇用支援機構（JEED）に属する方がサポート詐欺に遭い、外部に情報が漏えいした可能性があるそうです。もはや組織はサポート詐欺についても対策を講じる必要に迫られています。

　個人の集合体が組織である以上、個人を狙った脅威を無視してはいけないというのは当たり前の話です。もちろんゾンビルーターなどについても、組織が考えなくてはならない問題です。

　ファームウェアを更新することの重要性や、意図しない機器がネットワークに存在しないかどうかを確かめなければ、組織全体で安全を確保することは困難です。NOTICEと同様のことを、組織で実施することが重要なのです。加えて、組織の中にいる個人がこの重要性を把握していれば、勝手に機器を接続したり、面倒だからとアップデートをサボったりすることもなくなるはずです。

　個人を狙った脅威であれば従業員も“ジブンゴト”として意識できるはずで啓発しやすいかもしれません。「情報セキュリティ10大脅威 2024」などの資料を活用し、個人の脅威を入口としてセキュリティ対策を考えるきっかけを作り出すことが、強靭な組織を作る一つの方法となるはずです。

　セキュリティを高めるポイントは、“ジブンゴト”として考えられるかどうかです。それは個人や組織でも変わりはないと、筆者は信じています。

「情報セキュリティ10大脅威」にはスライド形式の説明資料も無料公開されている（出典：情報セキュリティ10大脅威 2024 [個人編]）

著者紹介：宮田健（みやた・たけし）

元＠ITの編集者としてセキュリティ分野を担当。現在はフリーライターとして、ITやエンターテインメント情報を追いかけている。自分の生活を変える新しいデジタルガジェットを求め、趣味と仕事を公私混同しつつ日々試行錯誤中。

2019年2月1日に2冊目の本『Q＆Aで考えるセキュリティ入門　「木曜日のフルット」と学ぼう！〈漫画キャラで学ぶ大人のビジネス教養シリーズ〉』（エムディエヌコーポレーション）が発売。スマートフォンやPCにある大切なデータや個人情報を、インターネット上の「悪意ある攻撃」などから守るための基本知識をQ＆Aのクイズ形式で楽しく学べる。