なぜ中小企業における不正送金被害が続出しているのか 第4回「被害補償対象の条件とは」 | ScanNetSecurity
2021.09.18(土)
コンテンツ
注目検索ワード
ホーム 特集 コラム 記事

なぜ中小企業における不正送金被害が続出しているのか 第4回「被害補償対象の条件とは」

万が一不正送金被害に遭遇した場合、セキュリティパッチを最新の状態にしていたかどうかが監査の対象の一項目として挙げられます。銀行が指定するような対策を施していない場合、補償が減額される、もしくは補償がゼロになることもありえます。

特集 コラム
●中小企業の情報セキュリティ対策

インターネットを介した情報の流出や攻撃被害は、今後増えることはあっても減ることはないでしょう。一時的に不正送金の金額が減ったり、新聞やニュースでの掲載回数が減ることはあるかもしれません。しかしながら、インターネットが社会インフラ化している中、世界と比べて情報セキュリティに対するリテラシーが高くない日本が世界中から狙われ続けることは事実でしょう。

とりわけ、日本の中小企業は情報セキュリティ担当者がおらず、社内のパソコンにすこし詳しいだけの人が責任を負わされたり、地方のシステム会社やOA機器販売会社に丸投げだったりする傾向にあります。さらに地方のシステム会社や地域のOA機器販売会社が情報セキュリティに詳しくなく、正しい提案がなされていない事態も見受けられます。

では、日本の中小企業が安全に自社の情報資産やお金を守るために重要なのはどういったことでしょうか。これには、1,知る、2,最新化3,持ち込ませないの3つが重要になります。今回は1,知ると、2,最新化について説明します。

●1.知る 知らないことには対策の打ちようがない

前回の記事でお伝えしたように、サイバー攻撃には様々な形態があります。振り返りの意味も含め、ご覧になっていない方は、もう一度ご確認ください。

なぜ中小企業における不正送金被害が続出しているのか
第1回「全銀協の考え方」
第2回「もう「ITは苦手」は通用しない」
第3回「建設・製造・医療・介護業界の例」

例えば閲覧すると遠隔操作プログラムをダウンロードしてしまう動画サイト。また、時事問題に絡めたり、人の興味を惹いたりする精巧な詐欺サイト。不正送金被害は地方の法人が拡大しているという事実。まずはこのような事実があるという事を知ることが、情報セキュリティ対策のスタートラインです。知らないものには対策の打ちようがありません。

最近では、シリアでの法人人質事件に便乗した、悪質なスパムツイートが出回りました。興味をもってクリックをしてしまうと、自分のTwitterアカウントからスパムメールのように自分のツイート(つぶやき)として投稿されてしまいます。時事問題に興味を持ってしまうのは仕方がないことです。

このような問題も知っていれば疑わしい動画等を不用意にクリックしなくなりますが、知らないからこそ被害に遭遇する可能性が高まるのです。是非、セキュリティ問題を取り上げる新聞やニュース等の情報に関心を持ってください。

また、攻撃そのものの「可視化」も重要です。どのような攻撃を受けているのか、社員がどのサイトにアクセスしているのか。詐欺メール等が実際に社内に飛んできているのか等のログ情報や履歴を残しておくことです。

●2.最新化 XPは最新OSに変える、セキュリティの穴をふさぐ

社内にあるWidnwosXPパソコンは、最新のOS(Windows8)に変えましょう。2015年7月にはWindowsサーバ2003のサポート終了が控えています。そのまま使い続けるのは危険なので、こちらも最新版に変えることをおすすめします。

どうしても、XPパソコンや、2003サーバを使い続けなければならない場合、最もおすすめする方法は、XPパソコンをネットワークから外しインターネットに接続できない状態にすることです。

また、Windows8等の最新版を使っている場合でも、時間の経過と共にどうしても「セキュリティの穴」が見つかってしまうもの(これは「セキュリティホール」や「脆弱性」と言われるものです)。なるべく早急に最新バージョンへ更新することが効果的です。これを、セキュリティパッチを当てると言います。

これらの対策を早急に打たなくてはいけない理由は2点あります。1つはそのまま使い続けるとパソコンが乗っ取られる可能性があるという理由です。

パソコン乗っ取りの手口のひとつは以下のとおりです。まず攻撃者がインターネット閲覧ソフトウェアであるインターネットエクスプローラ(IE)の欠陥を見つけ、攻撃用プログラムを用意します。次にターゲットとするサイト閲覧者が好んで見に行くようなホームページサイトに侵入し、攻撃用のプログラムを仕掛けて待ち伏せするのです。

その後サイト閲覧者が、欠陥のあるインターネットエクスプローラ(IE)でホームページを見に行くと攻撃者への進入を許してしまう、パソコンが乗っ取られてしまうのです。さらには遠隔操作で情報を抜き取られたり、攻撃者自身の足跡を消すための踏み台として使われたり、同じ社内ネットワーク上にあるパソコンへの乗っ取りを企てられたりすることもあります。「セキュリティの穴」を放置しておくことは、鍵の壊れたドアをそのまま放置し続けるようなもので、外部からの侵入リスクが高まり危険です。すぐに最新化するようにしてください。

セキュリティパッチを当てるもうひとつの理由は、オンラインバンキングでは情報セキュリティ対策の最新化が被害補償条件の一項目として上げられている場合があることです。インターネットバンキングの利用時に不正送金被害が起きた場合の補償条件として、ほとんどの銀行が「インターネットバンキングを利用するパソコンの基本ソフト(OS)やインターネット閲覧用のソフトウェア、その他ソフトウェアを最新の状態に更新すること」「メーカーのサポート期限が切れたOSやインターネット閲覧用のソフトウェアは使わないこと」を挙げています。これは、全国銀行協会のガイドラインでも明らかになっており、各銀行もそれに倣っています。

万が一不正送金被害に遭遇した場合、セキュリティパッチを最新の状態にしていたかどうかが監査の対象の一項目として挙げられます。銀行が指定するような対策を施していない場合、補償が減額される、もしくは補償がゼロになることもありえます。インターネットバンキングで使っているパソコンは専用端末とし、ネットサーフィン等をしないことはもちろんですが、最新のセキュリティパッチが適用されているかどうかを常時チェックするのも重要です。
《船井総合研究所 経営コンサルタント 那須 慎二 / 技術監修 ウォッチガード・テクノロジー・ジャパン》

ソース・関連リンク

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

脆弱性と脅威 記事一覧へ

Adobe Acrobat および Readerに過去に攻撃リスクが高いとされた脆弱性 画像

Adobe Acrobat および Readerに過去に攻撃リスクが高いとされた脆弱性
マイクロソフトが9月のセキュリティ情報公開、悪用の事実確認済脆弱性が1件 画像

マイクロソフトが9月のセキュリティ情報公開、悪用の事実確認済脆弱性が1件
三菱電機製 MELSEC iQ-R シリーズにリソース枯渇の脆弱性 画像

三菱電機製 MELSEC iQ-R シリーズにリソース枯渇の脆弱性
Appleが複数のソフトウェアに関するセキュリティアドバイザリ公開 画像

Appleが複数のソフトウェアに関するセキュリティアドバイザリ公開
Ghostscriptに任意のコマンド実行が可能な脆弱性 画像

Ghostscriptに任意のコマンド実行が可能な脆弱性
EC-CUBE 用プラグイン「一覧画面(受注管理)項目変更プラグイン」にXSSの脆弱性 画像

EC-CUBE 用プラグイン「一覧画面(受注管理)項目変更プラグイン」にXSSの脆弱性

インシデント・事故 記事一覧へ

海産珍味取扱い「伊勢せきやオンラインショップ」に不正アクセス、カード情報が流出 画像

海産珍味取扱い「伊勢せきやオンラインショップ」に不正アクセス、カード情報が流出
苗字でメール送信 社内システムで見た下の名前で誤送信気づく、1時間以内に対応完了 画像

苗字でメール送信 社内システムで見た下の名前で誤送信気づく、1時間以内に対応完了
新型コロナ検査結果を委託先の株式会社ナチュラリが二度誤通知、堺市は契約内容を検討 画像

新型コロナ検査結果を委託先の株式会社ナチュラリが二度誤通知、堺市は契約内容を検討
「TASKクラウド住基システム」に障害発生、システム更新時のプログラムファイルの破損が原因 画像

「TASKクラウド住基システム」に障害発生、システム更新時のプログラムファイルの破損が原因
ラネクシーPrizmDocのプロダクトサイトが改ざん被害、アクセスすると海外サイトへ移動 画像

ラネクシーPrizmDocのプロダクトサイトが改ざん被害、アクセスすると海外サイトへ移動
オリンパスのヨーロッパ、中東、アフリカ地域のITシステムに不正アクセス 画像

オリンパスのヨーロッパ、中東、アフリカ地域のITシステムに不正アクセス

調査・レポート・白書 記事一覧へ

JNSA 資料公開~「身代金支払」「インテリジェンスは合法か」セキュリティの法的議論 国際動向 画像

JNSA 資料公開~「身代金支払」「インテリジェンスは合法か」セキュリティの法的議論 国際動向
「Firebase」についての調査結果を公表、約1割にアプリ開発者の誤設定を確認 画像

「Firebase」についての調査結果を公表、約1割にアプリ開発者の誤設定を確認
警察庁が2021年上半期のランサムウェア被害状況を調査、感染経路はVPN機器からの侵入が最多 画像

警察庁が2021年上半期のランサムウェア被害状況を調査、感染経路はVPN機器からの侵入が最多
ランサムウェア攻撃で悪用される正規ツールについてトレンドマイクロが解説 画像

ランサムウェア攻撃で悪用される正規ツールについてトレンドマイクロが解説
誤送付の原因、ヒューマンエラーが大半を占める 画像

誤送付の原因、ヒューマンエラーが大半を占める
Deep Instinct「2021年上半期 脅威レポート」公開、マルウェアは2019年と比較し800%増加 画像

Deep Instinct「2021年上半期 脅威レポート」公開、マルウェアは2019年と比較し800%増加

研修・セミナー・カンファレンス 記事一覧へ

「ここだけは絶対に守る そんな領域を作ろう」セキュリティベンダとしての日本HPの提案 画像

「ここだけは絶対に守る そんな領域を作ろう」セキュリティベンダとしての日本HPの提案
VIPならぬ「VAP」とは? 内部脅威の最も暗い影に光をあてたProofpoint 画像

VIPならぬ「VAP」とは? 内部脅威の最も暗い影に光をあてたProofpoint
ドメイン名ハイジャック対応、日本企業のベストプラクティス事例 画像

ドメイン名ハイジャック対応、日本企業のベストプラクティス事例
中高生の保護者や教員を対象にSNS安全利用Webシンポジウム開催 画像

中高生の保護者や教員を対象にSNS安全利用Webシンポジウム開催
破綻したモグラたたき ~ サイバーリーズンが考える攻撃可視化の重要性 画像

破綻したモグラたたき ~ サイバーリーズンが考える攻撃可視化の重要性
LogStareとセキュアヴェイル、セキュリティリスクを分析する実践型のログ分析ウェビナーを開催 画像

LogStareとセキュアヴェイル、セキュリティリスクを分析する実践型のログ分析ウェビナーを開催

製品・サービス・業界動向 記事一覧へ

LINEセキュリティチーム vs フィッシング詐欺、ゼロからの戦い 画像

LINEセキュリティチーム vs フィッシング詐欺、ゼロからの戦い
理経、災害時に避難者を瞬時に確認できる「顔認証を利用した安否確認システム」販売 画像

理経、災害時に避難者を瞬時に確認できる「顔認証を利用した安否確認システム」販売
大手キャリアが「SOC1 Type1報告書」「SOC2 Type1報告書」同時取得 画像

大手キャリアが「SOC1 Type1報告書」「SOC2 Type1報告書」同時取得
クロスポイントとサイバーリーズン協業「X-SOC for Cybereason」提供 画像

クロスポイントとサイバーリーズン協業「X-SOC for Cybereason」提供
理経、RADIUS認証など複数の認証方法をサポートした米国Nomadix社「EG1000」販売開始 画像

理経、RADIUS認証など複数の認証方法をサポートした米国Nomadix社「EG1000」販売開始
我が社の SOC は大丈夫? SOC 選びサバイバルガイド 画像

我が社の SOC は大丈夫? SOC 選びサバイバルガイド

おしらせ 記事一覧へ

セキュリティ業界最強の「ヤバイTシャツ屋」でも売っていないもの ~ 2021年 CrowdStrike カレンダー読者プレゼント 画像

セキュリティ業界最強の「ヤバイTシャツ屋」でも売っていないもの ~ 2021年 CrowdStrike カレンダー読者プレゼント
ScanNetSecurity システム更新のお知らせ 画像

ScanNetSecurity システム更新のお知らせ
特典ノベルティ写真公開、Scan PREMIUM 創刊22周年記念キャンペーン11月末迄 画像

特典ノベルティ写真公開、Scan PREMIUM 創刊22周年記念キャンペーン11月末迄
ScanNetSecurity 創刊22周年御礼の辞(上野宣) 画像

ScanNetSecurity 創刊22周年御礼の辞(上野宣)
上野編集長就任10周年記念オンライン飲み会 7月17日開催(ScanNetSecurity) 画像

上野編集長就任10周年記念オンライン飲み会 7月17日開催(ScanNetSecurity)
上野宣 編集長就任10周年記念オンライン飲み会、Scan PREMIUM「宣ベロ」ライセンスキャンペーン実施(イード) 画像

上野宣 編集長就任10周年記念オンライン飲み会、Scan PREMIUM「宣ベロ」ライセンスキャンペーン実施(イード)
Page Top
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)
×