名和 利男が説く「最新サイバーセキュリティ動向と経営者への提言」2018年5月号

解説

4月は人事異動や転職、新規事業の開始などで人の動きが激しい時期です。そのタイミングで、メールアドレスを不正に取得しようとするインシデントが多く発生しました。クラウドなどのWebサービスではIDとしてメールアドレスを使うことが多くあるため、メールアドレスは攻撃者が欲しがる情報のひとつです。もしメールアドレスが盗み取られ、パスワードが推測されると、クラウドやシステムに侵入し、重要な情報を盗み取るようなインシデントの発生が想定されます。

提言

年度の変わり目には、個人情報を取得しようとする攻撃に対する警戒が必要です。メールアドレスを盗み取る行為の背景には、クラウドの利用が急増していることがあげられます。異なるクラウドサービスでも同じメールアドレスとパスワードを使い回していることが多いため、ひとつのメールアドレスの流出によって、複数のクラウドを乗っ取られる可能性が考えられます。メールアドレスの流出を防ぐのはもちろんですが、利用するサービスの重要度ごとに異なるパスワードを利用するような指示を徹底させるなど、これまで以上に留意した情報漏えいを防ぐ取り組みを進めてください。

解説

スマートフォンやタブレットの脆弱性やパッチに関する報道が流れました。このAndroid端末の記事の他に、4月25日に「AppleがiOS等の脆弱性を修正」と報じられています。携帯電話の販売が、旧式のものからスマートフォンに変わり、これまで個人利用が主だったスマートフォンやタブレットを業務で利用するケースが増えています。スマートフォンやタブレットの旧機種へのパッチの配布を見送るメーカーも出ており、メーカーや機種によってセキュリティへの取り組みにばらつきが発生しています。パッチが未適応だと脆弱性が残ったままになり、そこからシステムに侵入される危険性があることを認識する必要があります。またPCとは違って、スマートフォンやタブレットは電源を落とすことも少なく、利用者が寝ている間にもネットワークにつながっているので、不正プログラムに感染していると、気が付かないうちにデータが流出することもありえます。業務利用のデバイスには価値のある企業の重要なデータや個人情報などが蓄積されているので、その情報を攻撃者は狙ってきます。

提言

業務で利用しているスマートフォンやタブレットは、PCと同等のセキュリティ管理を行うことが重要です。利用者が気付かずに悪意のあるアプリをインストールしてしまい、そこから業務システムへの攻撃や社内の重要システムへの侵入を許してしまうことも考えられます。業務で利用している端末のセキュリティは、より徹底した管理が必要です。

解説

4月20日にも「Schneider ElectricのTriconex Triconに深刻な脆弱性、「HatMan」が悪用」（脆弱性情報）、という情報が報じられました。OT（Operational Technology）などの運用・制御システムは、ITシステムがベースとなっている部分も多くなってきており、ITシステムに搭載されているソフトウェアと同じ脆弱性が存在します。そのため、脆弱な部分を狙ったサイバー攻撃を受ける可能性が考えられるのです。

提言

OTシステムは専用システムでネットワークに接続されていないので「サイバー攻撃を受けないから安全」と考えている人が多いようです。最近は通信ネットワーク経由でITシステムと接続されているものもあります。そのため、OTシステムに存在した脆弱性が悪用されたインシデントは、これまでいくつも発生しています。もしサイバー攻撃でOTシステムにインシデントが発生すると、生産ラインの停止や不良品の発生など、莫大な経営損失が発生しかねません。OTシステムへのサイバー攻撃は、大きなビジネスリスクになることを認識し、強い警戒心を持って、適切なセキュリティ対策を講じなければなりません。