なぜ中小企業における不正送金被害が続出しているのか 第4回「被害補償対象の条件とは」 | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.08.22(火)
コンテンツ
注目検索ワード
記事

なぜ中小企業における不正送金被害が続出しているのか 第4回「被害補償対象の条件とは」

特集 コラム

●中小企業の情報セキュリティ対策

インターネットを介した情報の流出や攻撃被害は、今後増えることはあっても減ることはないでしょう。一時的に不正送金の金額が減ったり、新聞やニュースでの掲載回数が減ることはあるかもしれません。しかしながら、インターネットが社会インフラ化している中、世界と比べて情報セキュリティに対するリテラシーが高くない日本が世界中から狙われ続けることは事実でしょう。

とりわけ、日本の中小企業は情報セキュリティ担当者がおらず、社内のパソコンにすこし詳しいだけの人が責任を負わされたり、地方のシステム会社やOA機器販売会社に丸投げだったりする傾向にあります。さらに地方のシステム会社や地域のOA機器販売会社が情報セキュリティに詳しくなく、正しい提案がなされていない事態も見受けられます。

では、日本の中小企業が安全に自社の情報資産やお金を守るために重要なのはどういったことでしょうか。これには、1,知る、2,最新化3,持ち込ませないの3つが重要になります。今回は1,知ると、2,最新化について説明します。

●1.知る 知らないことには対策の打ちようがない

前回の記事でお伝えしたように、サイバー攻撃には様々な形態があります。振り返りの意味も含め、ご覧になっていない方は、もう一度ご確認ください。

なぜ中小企業における不正送金被害が続出しているのか
第1回「全銀協の考え方」
第2回「もう「ITは苦手」は通用しない」
第3回「建設・製造・医療・介護業界の例」

例えば閲覧すると遠隔操作プログラムをダウンロードしてしまう動画サイト。また、時事問題に絡めたり、人の興味を惹いたりする精巧な詐欺サイト。不正送金被害は地方の法人が拡大しているという事実。まずはこのような事実があるという事を知ることが、情報セキュリティ対策のスタートラインです。知らないものには対策の打ちようがありません。

最近では、シリアでの法人人質事件に便乗した、悪質なスパムツイートが出回りました。興味をもってクリックをしてしまうと、自分のTwitterアカウントからスパムメールのように自分のツイート(つぶやき)として投稿されてしまいます。時事問題に興味を持ってしまうのは仕方がないことです。

このような問題も知っていれば疑わしい動画等を不用意にクリックしなくなりますが、知らないからこそ被害に遭遇する可能性が高まるのです。是非、セキュリティ問題を取り上げる新聞やニュース等の情報に関心を持ってください。

また、攻撃そのものの「可視化」も重要です。どのような攻撃を受けているのか、社員がどのサイトにアクセスしているのか。詐欺メール等が実際に社内に飛んできているのか等のログ情報や履歴を残しておくことです。

●2.最新化 XPは最新OSに変える、セキュリティの穴をふさぐ

社内にあるWidnwosXPパソコンは、最新のOS(Windows8)に変えましょう。2015年7月にはWindowsサーバ2003のサポート終了が控えています。そのまま使い続けるのは危険なので、こちらも最新版に変えることをおすすめします。

どうしても、XPパソコンや、2003サーバを使い続けなければならない場合、最もおすすめする方法は、XPパソコンをネットワークから外しインターネットに接続できない状態にすることです。

また、Windows8等の最新版を使っている場合でも、時間の経過と共にどうしても「セキュリティの穴」が見つかってしまうもの(これは「セキュリティホール」や「脆弱性」と言われるものです)。なるべく早急に最新バージョンへ更新することが効果的です。これを、セキュリティパッチを当てると言います。

これらの対策を早急に打たなくてはいけない理由は2点あります。1つはそのまま使い続けるとパソコンが乗っ取られる可能性があるという理由です。

パソコン乗っ取りの手口のひとつは以下のとおりです。まず攻撃者がインターネット閲覧ソフトウェアであるインターネットエクスプローラ(IE)の欠陥を見つけ、攻撃用プログラムを用意します。次にターゲットとするサイト閲覧者が好んで見に行くようなホームページサイトに侵入し、攻撃用のプログラムを仕掛けて待ち伏せするのです。

その後サイト閲覧者が、欠陥のあるインターネットエクスプローラ(IE)でホームページを見に行くと攻撃者への進入を許してしまう、パソコンが乗っ取られてしまうのです。さらには遠隔操作で情報を抜き取られたり、攻撃者自身の足跡を消すための踏み台として使われたり、同じ社内ネットワーク上にあるパソコンへの乗っ取りを企てられたりすることもあります。「セキュリティの穴」を放置しておくことは、鍵の壊れたドアをそのまま放置し続けるようなもので、外部からの侵入リスクが高まり危険です。すぐに最新化するようにしてください。

セキュリティパッチを当てるもうひとつの理由は、オンラインバンキングでは情報セキュリティ対策の最新化が被害補償条件の一項目として上げられている場合があることです。インターネットバンキングの利用時に不正送金被害が起きた場合の補償条件として、ほとんどの銀行が「インターネットバンキングを利用するパソコンの基本ソフト(OS)やインターネット閲覧用のソフトウェア、その他ソフトウェアを最新の状態に更新すること」「メーカーのサポート期限が切れたOSやインターネット閲覧用のソフトウェアは使わないこと」を挙げています。これは、全国銀行協会のガイドラインでも明らかになっており、各銀行もそれに倣っています。

万が一不正送金被害に遭遇した場合、セキュリティパッチを最新の状態にしていたかどうかが監査の対象の一項目として挙げられます。銀行が指定するような対策を施していない場合、補償が減額される、もしくは補償がゼロになることもありえます。インターネットバンキングで使っているパソコンは専用端末とし、ネットサーフィン等をしないことはもちろんですが、最新のセキュリティパッチが適用されているかどうかを常時チェックするのも重要です。
《船井総合研究所 経営コンサルタント 那須 慎二 / 技術監修 ウォッチガード・テクノロジー・ジャパン》

関連記事

ソース・関連リンク

Scan PREMIUM 会員限定

もっと見る

Scan PREMIUM 会員限定特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

脆弱性と脅威 記事一覧へ

Amazonを騙り、アカウントをロックすると脅すフィッシングメールを確認(フィッシング対策協議会) 画像

Amazonを騙り、アカウントをロックすると脅すフィッシングメールを確認(フィッシング対策協議会)
「サイボウズ ガルーン」にDoSや情報漏えいなど複数の脆弱性(JVN) 画像

「サイボウズ ガルーン」にDoSや情報漏えいなど複数の脆弱性(JVN)
Windows OS における SMB プロトコルの実装を悪用してサービス不能攻撃が可能となる問題 - SMBLoris(Scan Tech Report) 画像

Windows OS における SMB プロトコルの実装を悪用してサービス不能攻撃が可能となる問題 - SMBLoris(Scan Tech Report)

インシデント・事故 記事一覧へ

「fx-on」に不正アクセス、9,822件のクレジットカード情報が流出の可能性(株式会社ゴゴジャン) 画像

「fx-on」に不正アクセス、9,822件のクレジットカード情報が流出の可能性(株式会社ゴゴジャン)
小学校の養護教諭が児童の個人情報を保存したUSBメモリを紛失(千葉県柏市) 画像

小学校の養護教諭が児童の個人情報を保存したUSBメモリを紛失(千葉県柏市)
「剣と魔法のログレス」アカウントがRMTサイトに出品、開発元従業員を逮捕(Aiming、マーベラス) 画像

「剣と魔法のログレス」アカウントがRMTサイトに出品、開発元従業員を逮捕(Aiming、マーベラス)

調査・レポート・白書 記事一覧へ

Black Hat参加者が感じる自組織の課題は「OSのパッチとアップデート」(Cylance) 画像

Black Hat参加者が感じる自組織の課題は「OSのパッチとアップデート」(Cylance)
日本の従業員がサイバー攻撃を受けた経験は世界平均の約半分、意識の甘さも(A10) 画像

日本の従業員がサイバー攻撃を受けた経験は世界平均の約半分、意識の甘さも(A10)
「顔貌売人 ハッカー探偵 鹿敷堂桂馬」柳井 政和(ブックレビュー) 画像

「顔貌売人 ハッカー探偵 鹿敷堂桂馬」柳井 政和(ブックレビュー)

研修・セミナー・カンファレンス 記事一覧へ

自動車セキュリティはIoTの延長でよいのか? 最新動向セミナー開催 画像

自動車セキュリティはIoTの延長でよいのか? 最新動向セミナー開催
開発者などに向けたアプリケーションセキュリティトレーニングを無償開催(The OWASP Foundation) 画像

開発者などに向けたアプリケーションセキュリティトレーニングを無償開催(The OWASP Foundation)
コネクテッドカーが持つ潜在的なリスクとセキュリティ対策のための3つの柱 画像

コネクテッドカーが持つ潜在的なリスクとセキュリティ対策のための3つの柱

特集 カテゴリの人気記事 MONTHLY ランキング

  1. [セキュリティ ホットトピック] 起動領域を破壊し PC を完全にロックするランサムウェア「Petya亜種」

    [セキュリティ ホットトピック] 起動領域を破壊し PC を完全にロックするランサムウェア「Petya亜種」

  2. [セキュリティホットトピック] サイバー攻撃に対して備えるべき機能・組織・文書など、総務省が「防御モデル」として策定

    [セキュリティホットトピック] サイバー攻撃に対して備えるべき機能・組織・文書など、総務省が「防御モデル」として策定

  3. ISMS認証とは何か■第1回■

    ISMS認証とは何か■第1回■

  4. ここが変だよ日本のセキュリティ 第29回「大事な人。忘れちゃダメな人。忘れたくなかった人。誰、誰……君の名前は……セキュリティ人材!」

  5. 工藤伸治のセキュリティ事件簿 シーズン6 「誤算」 第1回「プロローグ:七月十日 夕方 犯人」

  6. クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

  7. スマホが標的のフィッシング詐欺「スミッシング」とは、現状と対策(アンラボ)

  8. 工藤伸治のセキュリティ事件簿シーズン6 誤算 第4回「不在証明」

  9. [数字でわかるサイバーセキュリティ] 低年齢層のネット利用 8 割超え、サイバー犯罪カジュアル化も

  10. シンクライアントを本当にわかっていますか 〜意外に知られていないシンクライアントの真価

全カテゴリランキング

特集

ベストオブブリード

なぜ中小企業における不正送金被害が続出しているのか

Page Top
★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。
×