保険代理店のための情報セキュリティ知識と対策34
脅威のトップはフィッシング詐欺
安易にURLをクリックしない
情報セキュリティの脅威は隣り合わせの存在に
もう知らないでは済まない時代に
今年もIPAから「情報セキュリティ10大脅威2022」が公開されました。昨年の2021年に発生した社会的に影響が大きかったと考えられる情報セキュリティにおけるトピックから、決定されたものです。個人別と組織別のランキング形式で10位まであり、昨年順位との比較ができるようになっています。
まず、個人の順位では、順位の変動はあるものの、脅威の内容は昨年、一昨年と全て同じでした。2019年から2年連続2位にランクインしていた「フィッシングによる個人情報等の詐取」が今回初めて1位になりました。
フィッシング詐欺は、実在する公的機関や有名企業を騙ったメールやショートメッセージサービス(SMS)等を送信し、正規のウェブサイトを模倣したフィッシングサイトへ誘導することで、個人情報や認証情報等を入力させる詐欺です。例年同様、大手ECサイトや金融機関などを騙った手口が多く確認されましたので、安易にURLをクリック・タップしない、サービスを利用する際は自身のブックマークや公式アプリからアクセスするなど、利用者は日ごろから注意が必要です。
次に、組織の順位では、10個の脅威のうち9個が昨年と同じでした。昨年8位だった「インターネット上のサービスへの不正ログイン」に替わって、「修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃)」が初登場で7位となりました。
ゼロデイ攻撃は、修正プログラムが提供される前の脆弱性を悪用した攻撃です。ゼロデイ攻撃の場合、修正プログラムが提供された時点ですでに攻撃が行われているため、脆弱性対策に加え、外部からの侵入を検知・防御する機器を導入するなどの備えが重要です。
そんな組織の1位は、昨年に引き続き「ランサムウェアによる被害」でした。2021年も国内の企業や、このコラムでも取り上げた病院などのランサムウェア被害が報道され、大きな話題となりました。近年のランサムウェア攻撃は、標的型攻撃と同様の手法で企業・組織のネットワークに侵入したり、データを暗号化するだけでなく窃取して公開すると脅したりして、身代金を支払わざるを得ないような状況をつくり出します。
標的型攻撃と同等の技術が駆使されるため、この攻撃への対策は、例えば、ウイルス対策、不正アクセス対策、脆弱性対策など、基本的な対策を、確実かつ多層的に適用することが重要です。また、どの組織でも被害に遭う可能性があることを念頭において、バックアップの取得や復旧計画を策定するなど、事前の準備が重要です。
今や個人(生活)においても、組織(仕事)においても、情報セキュリティの脅威は隣り合わせです。知らないでは済まされないので、情報セキュリティ知識と対策は徹底しておきましょう。
▼エムアイシーは保険代理店システムの開発会社として、保険業界の最先端企業を目指し、関わる人々の未来を護ります。
https://www.viewsystem.info/
第3203号(週刊) 新日本保険新聞[生保版]2022年3月14日
