is702はトレンドマイクロが提供するインターネットを安全に楽しむためのセキュリティ情報サイトです。
あなたの軽率な行動がサイバー攻撃の被害を招く?!会社でやってはいけない5つのこと
2015/3/26
企業や組織から、機密情報や顧客情報を盗み出そうとする標的型攻撃が相次いでいます。勤務先でのあなたの軽はずみな行動が、ウイルス感染や情報漏えいを招いてしまうかもしれません。今回は、仕事中に取ってしまいがちなセキュリティ上の不注意な行動について考えてみましょう。
勤務先を無意識に危険にさらしていませんか?
会社では、パソコンやネット利用時の不注意が個人だけの責任ではすまなくなることがあります。仮に、社内ルールを軽視した行動でウイルス感染や情報漏えいを招いてしまった場合、きっかけを作った本人だけでなく、勤務先も責任を問われます。
会社では、社員一人ひとりが標的型攻撃の足がかりを作らないよう慎重に行動することが求められます。ここからは、次の4つのシーン別に社員がとってしまいがちな行動を見ていきましょう。
メールをチェックするとき
1.メールに添付されたファイルを何気なく開いてしまった
標的型攻撃では、組織内部に侵入するために社員にメールを送りつけ、そこに添付した不正ファイルを開かせることでパソコンへのウイルス感染を試みます。問い合わせ窓口を尋ねるなどの無害なメールのやり取りで社員を油断させてから、不正ファイルを送りつける手口もあります。
- メールの添付ファイルを安易に開かない
ファイルが添付されたメールには要注意です。不審な点が少しでもあれば、添付ファイルを開く前に送信者に電話などで直接確認すると同時に、セキュリティ担当者に相談しましょう。 - OSやソフトを更新する
OSやソフトの脆弱性を突いてウイルスに感染させる「脆弱性攻撃」への対策は必須です。勤務先のルールに従って開発元が提供する更新プログラムを適用し、脆弱性を修正してください。
SNSに投稿をするとき
2.勤務先内部でしか知りえない情報を投稿してしまった
標的型攻撃では、組織内部に侵入するために事前のスパイ活動を行い、標的とする社員と関係ある実在の人物を装ったメールを送るなど、巧妙な侵入手口を編み出します。広範囲を対象に公開しているSNSで仕事での出来事を書き込むと、犯罪者に攻撃のヒントを与えかねません。
- SNSの利用時には、適切な公開範囲の設定を行いましょう。またSNSには、それが機密事項ではなくとも、勤務先の内部情報を書き込まないでください。攻撃者にとってはすべてがヒントになります。
スマホを仕事に使うとき
3.出所のわからないアプリを入れてしまった
メールなどで仕事に使えそうな便利アプリを紹介し、不正アプリ(ウイルス)をインストールさせる手口に注意してください。不正アプリの中には、インストールすると、スマホ内に保存した取引先の連絡先データや会議の録音データ、資料の写真データなどを盗み出すものがあります。
- 業務端末を貸与されている場合
勤務先のルールに従い、未許可アプリの勝手なインストールは行わないでください。 - 個人端末を仕事に利用する場合
アプリのダウンロードは、GooglePlayやAppStoreなどの公式ストアやキャリアの提供する信頼できるマーケットからのみ行いましょう。不正アプリチェックに加え、不正サイト対策や、盗難・紛失による情報漏えい対策を備えたセキュリティソフトを使用してください。
仕事を自宅に持ち帰るとき
4.自前のUSBメモリに業務データをコピーして持ち帰ってしまった
自宅のパソコンを介してUSBメモリにウイルスが混入する可能性があります。万一、ウイルス感染したUSBメモリを勤務先のパソコンにさし込むと、組織全体がウイルスの脅威にさらされ、大規模な情報漏えいを招く恐れがあります。
- 勤務先のルールに則って、許可された安全なUSBメモリを使用しましょう。
5.個人利用のオンラインストレージに業務データを保存し、自宅のパソコンで作業してしまった
ログイン用のID/パスワードが漏れた場合、オンラインストレージに不正アクセスされることで業務データが漏えいしてしまう可能性が懸念されます。万一問題が生じた場合、個人の利用であれば後から調査を行うことも困難です。
- 勤務先が許可するオンラインストレージを使いましょう。そもそも利用を許可されていない可能性も含め、事前に勤務先のルールを確認してください。利用が許可されている場合も、他のサービスと同じパスワードを使いまわさないこと、第三者に推測されにくいID/パスワードを設定すること、使い終えたらログアウトすることを徹底してください。
注目のまとめ
