「ついうっかり」でセキュリティを突破された事例
近年、サイバー攻撃はますます多様化・巧妙化しており、従来のセキュリティ対策だけでは防ぎきれないケースが増えています。ここでは、社員の不注意な操作をきっかけにセキュリティを突破され、重大なトラブルへと発展した事例を紹介します。
標的型メールの添付ファイル開封でランサムウェアに感染、業務が停止
取引先や社内担当者を装った巧妙な偽メールが届き、業務連絡だと思い込んだ社員が添付ファイルを開封。実はそのファイルにはランサムウェアが仕込まれており、PCがマルウェアに感染してしまいました。
さらに被害はこの社員のPCだけにとどまらず、社内ネットワークを通じてサーバーにも拡大。重要データが次々と暗号化され、基幹システムも停止する事態にまで発展しました。復旧まで業務は完全にストップし、顧客との取引にも大きな影響が及びました。
私物USBメモリーの持ち込みでマルウェア感染、機密情報が漏洩
繁忙期で業務が立て込む中、「自宅で作業の続きをしたい」と考えた社員が、自宅PCで使用していた私物のUSBメモリーを社内PCに接続しました。しかしそのUSBメモリーは、すでに感染していた自宅PCに刺さっていたため、マルウェアが潜んでいる状態だったのです。
その結果、USBを経由して社内PCが感染し、社内ネットワーク全体へ被害が拡大。ファイルサーバー内の機密情報が外部へ送信され、取引先にも影響が及ぶ重大な情報漏洩インシデントへと発展しました。
フリーWi-Fi(公衆無線LAN)接続で盗聴される
出張中にカフェでリモートワークを行っていた社員が、利便性を優先し、暗号化や認証が不十分なフリーWi-Fiに接続。そのまま社内システムへアクセスしました。
するとたちまち何者かに通信内容が盗聴され、不正アクセスが発生。内部情報の閲覧やデータの持ち出しが行われるなど、被害が拡大する事態へと発展しました。
パスワードの使い回しにより、不正ログインされる
業務で利用しているクラウドサービスや社内システムのパスワードを、プライベートで使っているWebサービスと同様に設定していた社員がいました。ある日、私用WebサービスからID・パスワードが漏洩。攻撃者は取得した認証情報を悪用し、業務システムへの不正ログインを行いました。
その後、本人の自覚がないまま、顧客情報や社内データが外部へ持ち出されていたことが発覚。パスワードの使い回しが重大な情報漏洩へと発展しました。
共有設定ミスでクラウド上のファイルが一般公開、情報漏洩につながる
ある社員がクラウドストレージに顧客リストや社外秘資料をアップロードしました。しかしこの時、特定メンバーのみに閲覧権限を設定したつもりが、操作を誤って「リンクを知っている全員が閲覧可能(公開)」の状態にしてしまいました。
結果として、第三者によってファイルが閲覧され、情報漏洩につながってしまいました。
更新の先延ばしで脆弱性を放置、マルウェア感染に発展
社内PCのOSやブラウザーに表示されるアップデート通知を、「業務が忙しいからあとで対応しよう」と何度も先延ばしにしていた社員がいました。更新を行わないまま使用を続けた結果、既知の脆弱性が放置された状態に。
その隙を突かれる形で、Webサイトへのアクセスをきっかけにマルウェアが侵入し、端末が乗っ取られ、社内ネットワークに影響が及ぶ事態へと発展しました。
操作ミスを防ぐために導入したい対策
こうした事例のように、セキュリティ事故は社員の「うっかり」や確認不足がきっかけで発生することがあります。つまり、「人は必ずミスをする」ということを前提にしなければ、同様のトラブルを防ぎきることはできないのです。
そこで重要になるのが、人の注意力だけに頼らず、仕組み化によってセキュリティリスクを抑えることです。ここでは、操作ミスを防ぐために導入したい四つの具体策を紹介します。
多要素認証(MFA)の徹底
多要素認証(MFA、Multi-Factor Authentication)は、ID・パスワードに加え、ワンタイムパスワードや生体認証、専用アプリによる承認など、複数の要素で本人確認を行う仕組みです。万が一ID・パスワードが漏洩した場合でも、追加認証によって不正ログインを防止し、被害の拡大を大幅に抑えられます。クラウドサービスの利用が増えている企業にとっては、必須ともいえる対策です。
しかし導入のメリットは高い一方で、利用者にとってはログイン時の手間が増えるため、セキュリティ性と使いやすさとのバランスを考慮する必要があります。
この負担を抑えるには、シングルサインオン(SSO)と組み合わせ、利便性を保ちつつセキュリティを強化する方法も有効です。社外からのアクセスが多い企業やテレワークを推進している企業に特に適しています。
Webフィルタリングの導入
Webフィルタリングは、業務に不要または危険性の高いWebサイトへのアクセスをあらかじめ制御する仕組みです。
マルウェア配布サイトやフィッシングサイト、不審な広告ページなどへの接続をブロックすることで、社員の「うっかりクリック」によるリスクを大幅に低減できます。特に、標的型攻撃やランサムウェア被害の入り口対策として有効です。
Webフィルタリングを導入するメリットは、個々人の注意力に依存せず、全社的に一定水準のセキュリティを確保できる点にあります。一方で、業務に必要なサイトまで遮断してしまわないよう、ポリシー設計や例外設定を適切に行うことが重要です。
クラウド型サービスであれば比較的短期間で導入でき、テレワーク環境を含めて一括管理したい企業にも適しています。
エンドポイント対策(EDR)の導入
エンドポイント対策(EDR、Endpoint Detection and Response)は、PCやスマートフォンなどの端末(エンドポイント)上で不審な挙動を検知し、被害の拡大を防ぐための対策です。従来のマルウェア対策ソフトが「既知の脅威を防ぐ」ことを主目的とするのに対し、EDRは「侵入後の振る舞い」を監視し、未知のマルウェアや不正操作も早期に発見できます。
万が一感染や不正アクセスが発生した場合でも、異常な通信やファイル操作を検知することで、迅速な隔離・初動対応につなげられます。導入にはログ監視体制の整備や運用ルールの策定が必要ですが、標的型攻撃やランサムウェア対策として有効です。
セキュリティインシデントの早期発見体制を強化したい企業に、特に適した施策といえるでしょう。
「最小権限の原則」によるアクセス制御
「最小権限の原則」は、業務に必要な範囲に限定してアクセス権限を付与する考え方です。すべての社員に広範な閲覧・編集権限を与えるのではなく、役割や職務に応じて必要最小限の権限のみを設定することで、万が一アカウントが侵害された場合でも被害の拡大を抑えます。
たとえば「顧客データベースへのアクセスを特定部署のみに限定する」「管理者権限を厳格に管理する」といった運用が挙げられます。導入には現状の権限棚卸しや設計の見直しが必要で、一定の工数はかかりますが、内部不正対策としても有効です。
クラウドサービスの利用が増えている企業や拠点・部門が多い企業は、優先的に取り組んでおきたい施策といえるでしょう。
まとめ
情報漏洩のきっかけは高度なサイバー攻撃だけとは限りません。日々の操作の中に潜む「うっかり」が、重大なインシデントへと発展するケースも少なくないのです。
だからこそ、「人はミスをする」ということを前提とした、個々人の注意力だけに頼らない仕組みづくりが求められます。複数の対策を重層的に講じることで、被害の発生と拡大の双方を抑えることが可能になるでしょう。
こうした対策を自社だけで整備するのが難しい場合は、外部サービスの活用も有効です。大塚商会では、「i-FILTER」をはじめとするWebフィルタリングソフトなど、多種多様なセキュリティツール・ソリューションを提供しています。自社のセキュリティ対策を見直す機会にぜひ活用をご検討ください。
i-FILTER
著者紹介:水無瀬 あずさ
現役エンジニア兼フリーランスライター。PHPで社内開発を行う傍ら、各メディアでコンテンツを執筆している。得意ジャンルはIT・転職・教育。生成AI×プログラミングでゲームを開発するための勉強にも励んでいる。(編集:株式会社となりの編プロ、ARC影山)
この記事を社内で共有し、課題解決のヒントにお役立てください
お客様マイページの「連絡ボード」機能を使って、同じ会社のメンバーと簡単にこのページを共有できます。社内で情報を共有し、組織全体の課題解決や業務効率の向上にお役立てください。
社内のメンバーに共有する(企業で共有する)
- (注)連絡ボードを利用するには企業設定が必要です。
