サイバー攻撃を受け｢大打撃の企業と軽傷で済む企業｣の違いとは？ 攻撃の｢100%防御｣が不可能な今､被害を最小限に抑えるための"鉄則"

従来のシステムとの兼ね合いで穴がないか、自社の環境に合った対策の徹底ができているかの確認が求められます。

だます手口が巧妙化、今すぐ行うべき「人」への対策

――「人」をだますソーシャルエンジニアリングの脅威について、最近の動向や事例を教えてください。

ソーシャルエンジニアリングは人をだますテクニック全般を指し、フィッシングなど幅広くあります。とくに注意すべきは、AI技術を使った手口の巧妙化です。昨年頃から、ディープフェイクを使ったビデオ通話や音声通話による詐欺が確認されています。実在する担当者の声をディープフェイクで作成し、それで装った電話にだまされる事例が海外で発生しています。

新しい手口として、「クリックフィックス（ClickFix）」と呼ばれる、ユーザー自身に不正なコードをコピー＆ペーストさせる手口がはやっています。画面に「問題が発生したので直ちに対処してください」などと表示し、助けるふりをして不正コードを実行させます。

これは技術的に難しいことをしておらず、ユーザーの操作を介するため検知が難しいという厄介な特徴があります。

――従業員教育や訓練の面で、今すぐ取り組むべきことはありますか。

ソーシャルエンジニアリング対策は、従業員の誰か1人でもだまされると侵入を許してしまうため、人への対策は重要です。

企業は、最新の手口や事例を社内で共有し、「誰もがだまされる可能性がある」との危機感を共有すべきです。

重要なのは、「だまされた人を責める文化を作らないこと」です。不審なことがあっても、「ささいなことだから」と自己判断したり、怒られることを恐れて隠したりせず、「ささいなことでもどんどん報告しよう」という文化を組織に醸成することが、初動対応スピードに大きく影響します。

インシデント対応の訓練も不可欠です。ランサムウェア対策では、バックアップからの復旧訓練を怠ったため、システムを戻せなかった事例が報告されています。訓練は、標的型メール訓練だけでなく、フィッシングサイトへの対応、偽の電話への対応訓練など、実践的なものを行うべきです。

インシデント対応の手順や窓口を整備し、初動対応をいかに素早く確実に行えるか、繰り返し訓練を通じ身につけることが被害最小化の鍵となります。

――最後に、現代のサイバーセキュリティ対策を進める上で、企業は何からアプローチすべきでしょうか。

最新の動向をキャッチアップしつつ、重要なシステムを守るための基本的な対策の徹底に立ち返ることです。ゼロトラストや新しい技術に惑わされず、土台からしっかりと対策を固めるべきです。

自社にとって何が大事な情報で、守るべきものは何か、優先順位はどうかを改めて考え、リスク管理の基本に立ち返ることが重要です。他社の動向や流行に流されず、自社の環境や業務に合った対策の徹底ができているかを継続的に見直します。

高度な対策を導入しても、基本的なパスワード管理や権限管理、訓練の徹底などがおろそかになっていたため被害が拡大するケースは少なくありません。当たり前のことこそ、継続してやり続ける。それが、企業をサイバーリスクから守る最も重要な戦略です。

東洋経済Tech×サイバーセキュリティでは、サイバー攻撃、セキュリティーの最新動向、事業継続を可能にするために必要な情報をお届けしています。

著者フォローすると、谷川 耕一さんの最新記事をメールでお知らせします。