中小を襲った“不正アクセス” その被害と対策法 従業員規模1桁でもターゲットになるワケ(3/3 ページ)
情報セキュリティ対策が甘くなりがちな非IT系中小企業。情報セキュリティ担当がいないこともあるような企業における、不正アクセスの被害事例と対策情報の集め方をIPAに聞いた。
被害ケース3 身代金を要求される
不正アクセスが原因で身代金を要求されることもある。攻撃者は、情報セキュリティ対策が甘い企業を狙って不正アクセスを仕掛け、社内の情報を盗んだり、PCなどを使えない状態にしたりして「復旧させたければ身代金を支払え」と要求してくる。
いわゆる「ランサムウェア」による被害だ。以前はメールにコンピュータウイルスが添付されており、開くとランサムウェアに感染するという手口がよく見られた。しかし、近年は人間が直接不正アクセスして攻撃を仕掛ける手口が広がっている。
大企業のほうが多額の身代金を要求できそうだが、江島さんによれば、攻撃者は侵入しやすいシステムを探して攻撃するため、従業員数が少なくてもターゲットにはなるという。
不正アクセス被害に遭わないためには?
では、これらの被害に遭わないためにはどのような対策が必要なのか。
「IPAの『安全なWebサイトの作り方』を読んで、まずは安全な通販サイトを作りましょう」(江島さん)
同資料では、11種類の脆弱性(情報セキュリティ上の欠陥)を紹介。それぞれに考えられる問題や解決策などを掲載している。難しそうなら、専門機関などに頼るのも手だ。
IPAは参考資料などを案内する「情報セキュリティ安心相談窓口」を設置している。情報セキュリティ専門機関「JPCERT/CC」も相談窓口を用意しており、問題発生時の対応についての問い合わせを受け付けている。また、未整備ではあるが自治体が情報セキュリティの相談窓口を設置している場合もある。
「中小企業では(情報セキュリティ担当として)人がアサインされていないケースも非常に多いです。経営層には人材採用も検討してほしいです」(江島さん)
関連記事
「クレカ情報流出=データを保存していた」とは限らない スイパラ情報漏えいから学ぶ決済の安全性
「スイパラ」利用者のクレジットクレカ情報が漏えいした可能性がある件を巡り、SNSなどで「クレカ情報を保存していたのか?」という反応が上がった。IPAによると、一般論として漏えいしたからといって情報を保存していたとは限らないという。
クラウドからの情報漏えい、責任は誰に? SaaSやPaaSの大前提「責任共有モデル」とは 総務省が解説
クラウドの管理ミスで情報漏えいした――こんなセキュリティ事故の責任は誰にあるのか。クラウドサービスの利用企業が把握すべき大前提「責任共有モデル」を総務省の担当者に聞いた。
21年に漏えいした日本のパスワード、2位は「password」 1位は? ソリトンシステムズ調査
ソリトンシステムズが日本人が利用するパスワードランキングを発表した。2021年に発見された情報漏えい事件から分析したところ、1位は「123456」だった。
中小企業の情報セキュリティ対策、駆け込み寺は「商工会議所」? 専門家が解説
ランサム攻撃の被害件数は大企業より中小企業の方が多く、特に対策が必要だ。一方、知識不足により情報セキュリティ上の問題を放置してしまうことがある。初心者が知っておくべき情報源と、困ったときの相談先についてIIJに聞いた。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.