大型連休の時期に増えるスパムや攻撃

大型連休が近づくと、サイバー攻撃への警戒が必要です。一見すると特殊な被害のように思われますが、基本的な対策を怠ることで被害に遭うケースが多いのが現状です。特に、パスワードの変更を怠ったり、自己管理する際にリスクを十分に理解せず運用することで、予期せぬトラブルにつながることがあります。

また、大型連休中はサイバー攻撃が発覚しにくく、対応が遅れる可能性が高まります。今年のように仕事納めが12月27日(金)に設定される企業が多い場合、長期間の休暇中に問題が発生すると、被害が拡大するリスクが懸念されます。そのため、特に慎重な対策が必要な時期と言えるでしょう。

弊社ウェブドアでは、ISO27001情報セキュリティ認証を取得し、徹底した管理体制を整えています。今回のブログでは、大切なWEB資産を守るための基本的な情報セキュリティ対策と、被害の原因について詳しく解説していきます。

不確実な管理部分に漏洩のリスクがある

ここでは、「内部からの情報漏洩」「外部攻撃によるデータ漏洩」「紛失や盗難による情報漏洩」を紹介します。対策は人の管理、機器の管理、社内ルールの策定にあります。

  • 内部からの情報漏洩については、従業員や関係者による意図的、または過失による情報漏洩が挙げられます。例えば、退職者が業務上知り得た情報を外部に持ち出すケースや、ミスで顧客データを誤送信してしまう場合があります。この種の漏洩は、従業員教育やアクセス制御の強化が求められます。
  • サイバー攻撃(例:フィッシング詐欺やランサムウェア攻撃)によって情報が盗まれるケースです。攻撃者が脆弱なシステムを狙い、機密情報や個人情報を盗み出します。特に顧客データベースが狙われることが多く、被害が甚大化する傾向があります。
  • 紛失や盗難による情報漏洩ノートパソコン、USBメモリ、スマートフォンなどの端末を紛失・盗難されることで、内部データが流出するケースです。端末には機密データが含まれていることが多く、暗号化の欠如が被害を拡大させることがあります。

国際情報規格であるISO27001認証の選定根拠となるISMSルールには、情報アセスメントと言って、企業が保有する情報資産に対しリスクアセスメントを実施し段階に分けて管理するところから始まります。自社の漏洩してはいけない情報資産を精査、分類するところからスタートすると良いと思います。

基本対策だけど効果も大きいパスワードの随時変更

サイバー攻撃の原因として、簡単なパスワードや「admin」など推測されやすい管理画面のURLを使用しているケースが非常に多いです。現代のWEB環境では、クラウド化が進み、ほとんどすべてのシステムでパスワードが必要とされています。しかし、そのパスワードが誰にでも推測されるような単純なものであれば、どれだけ内部的なセキュリティ対策を行っていても、意味をなさなくなってしまいます。

ブルートフォース攻撃(総当たり攻撃)に対する脆弱性

簡易なパスワード(例:123456、password)は、攻撃者がプログラムを使って試行錯誤する総当たり攻撃に非常に弱いです。短くて単純なパスワードは、ほんの数秒で破られる可能性があります。

辞書攻撃のリスク

攻撃者は一般的に使用される単語やフレーズを含む「辞書」を用意し、それを元にパスワードを推測します。例えば、「qwerty」や「letmein」など簡単に思いつくパスワードはこの攻撃に対して脆弱です。

リスト型アカウント攻撃の被害拡大

過去に漏洩したパスワードリストをもとに、他のアカウントで同じパスワードを試す「リスト型攻撃」が行われます。簡易なパスワードは多くの人が使い回すため、複数のアカウントが一気に侵害されるリスクがあります。

パスワードを設定する際は、手元の検索で「パスワード生成」などと検査していただきランダムに生成されたパスワードを設定することをお勧めします。意外とこういう方法を取らずに自力で設定される際に辞書攻撃の対象となるようなミスを起こしがちです。是非、ご検討ください。

実際の被害に遭った場合はどうするか

フィッシングメールによるパスワード入力の誘導は非常に危険です。以前は、日本語がおかしかったり、見た目が明らかに怪しいメールが多く、「こんなの誰が引っかかるの?」と思えるような内容でした。しかし、最近では「支払いが確認できません」など、一見すると正規の通知のように思える件名や内容が増えています。

例えば、「登録中のクレジットカードの引き落とし確認が取れませんでした」といったメールを受け取ると、つい焦って確認してしまいそうになることも。。。特に自分の状況に合致する内容だと、冷静な判断が難しくなります。こうしたメールを受け取った際には、必ず送信元を確認し、直接公式サイトからログインするなどして真偽を確かめることが大切です。
このような注意を徹底することで、被害を未然に防ぐことができます。

最後にまとめ

ウェブドアでは、サーバー情報の漏洩を最も深刻な被害と考えご契約中のお客様のアカウント情報の共有はご遠慮頂いております。メールなどでサーバーのログイン情報が求められても入力する必要はありません。(そもそもその情報をお渡ししておりません)

従いまして、「支払いが出来ていない」「対応が必要」などのメールが届いたとしても完全無視でOKです。ご不安なことがありましたらいつでも弊社の担当者までご連絡ください。

保守サポートも是非ご検討ください。