新日本保険新聞 コラム

保険代理店のための情報セキュリティ知識と対策24

保険代理店のための情報セキュリティ知識と対策24

情報セキュリティ10大脅威2021
個人はスマホ決済の不正利用が1位

テレワークソフトの脆弱性を攻撃
手口は数年来の古典的な手法目立つ

今年もIPAから「情報セキュリティ10大脅威2021」が公開されました。これは2020年に発生した社会的に影響が大きかったと考えられる情報セキュリティにおける事案から、決定されたものです。個人(家庭等でスマートフォンや PC を利用する人)別と組織(企業、政府機関、公共団体等の組織およびその組織に所属している人)別のランキング形式で10位まであり、昨年順位との比較ができるようになっています。

まず、個人別の1位「スマホ決済の不正利用」は、昨年の初登場1位に続いて2年連続1位のランクインです。スマホ決済を狙った攻撃は引き続き発生していますが、主な攻撃がパスワードリスト攻撃であることから、まだまだ基本的な対策を怠っている人が少ないことが要因でしょう。パスワードの使い回しは絶対にしてはならないので改めて要注意です。

続いて組織別を3位までピックアップしていきます。1位は「ランサムウェアによる被害」で、保険業界人ならもう誰もが知っているEmotetが有名ですね。データの暗号化によって保存データを利用不可状態や、画面ロックによって端末が利用不可状態にされ、復旧と引き換えに身代金を要求される攻撃です。

2位は「標的型攻撃による機密情報の搾取」です。新型コロナウイルスの感染拡大による社会の変化や、それに伴うテレワークへの移行という過渡期に便乗し、状況に応じた巧みな手口で金銭や機密情報を搾取されます。攻撃手口はメールの添付ファイルやリンク、ウェブサイトの改ざん、不正アクセス等さまざまです。

3位は「テレワーク等のニューノーマルな働き方を狙った攻撃」です。昨年はテレワークが推奨され、組織のテレワークへの移行に伴いウェブ会議サービスやVPN等の本格的な活用が始まった中、それらを狙った攻撃が多かったです。攻撃手口および発生要因としては、テレワーク用ソフトウェアの脆弱性の悪用、急なテレワーク移行による管理体制の不備、私物PCや自宅ネットワークの利用が考えられます。

ランク内外問わず多数の脅威が存在していますが、攻撃の糸口はここ数年似通っていて、脆弱性を突く、ウイルスを使う、ソーシャルエンジニアリングを使う等の古典的な手口が使われています。情報セキュリティ対策の基本5項目(①ソフトウェアの更新、②セキュリティソフトの利用、③パスワードの管理・認証の強化、④設定の見直し、⑤脅威・手口を知る)による効果が期待できるので、これらを意識して継続的に対策を行うことで、被害に遭う可能性を低減できると考えられています。少なからず組織での対策は最低限怠らないよう体制整備をしておきましょう。

▼エムアイシーは、保険代理店専用の業務管理システム提供の他、代理店のシステム部門としてITサポートやITコンサルティングの提供をします。
https://www.viewsystem.info/

第3163号(週刊) 新日本保険新聞[生保版]2021年5月10日

TOP