[画像のクリックで拡大表示]
特定の企業や組織などを狙って、メールに添付したウイルスなどを使い重要な情報を盗み出す標的型攻撃は、企業が最も警戒しなければならない情報セキュリティの脅威の1つです。攻撃を許してひとたび顧客情報や取引情報などが社外に流出してしまうと、社会的な信用を失いかねません。
被害による影響が深刻になりうることもあって、情報セキュリティ対策の普及に取り組む情報処理推進機構(IPA)も標的型攻撃への対策を重視しています。2018年4月に発表した「情報セキュリティ10大脅威」のなかで、標的型攻撃は企業や組織にとって最大の脅威であると位置づけています。
標的型攻撃を読者の皆さんはどの程度知っているのか、尋ねてみました。その結果、全体の9割近くが「知っている」と回答しました。内訳をみると「具体的な手口まで知っている」が28%、「言葉の意味、概要は知っている」が61%。大手企業が標的型攻撃を受けたといった報道を通して、関心度は高まっているようです。
それでは標的型攻撃を防ぐために必要なものは何でしょう。合わせて聞いたところ、最も多かったのは「従業員の教育や啓蒙」で、「ウイルス対策ソフト」「URLフィルタリングソフト」「サーバーなどのログ監視」といった技術的対策を上回りました。
標的型攻撃に使われるメールは、取引先や他部署の担当者からの業務連絡を装うような文面で、添付ファイルをクリックさせてウイルスに感染させる巧妙な手口を使います。自由回答でも、社員へのセキュリティ教育が重要であるという指摘が少なくありませんでした。不審なメールについては、開かない、URLはクリックしない、添付ファイルは開かない。この3点を徹底したいものです。
