じつは企業でも役立つ「インターネットの安全・安心ハンドブック」

2019年1月、内閣サイバーセキュリティセンター（NISC）が「インターネットの安全・安心ハンドブック Ver 4.00」（https://www.nisc.go.jp/security-site/handbook/index.html）を発表した。この文書は、主に自治体や学校向けにインターネットを安全に使うために役立つ情報をまとめたもの。イラストや図解をふんだんに使い、読みやすい内容になっており、また、Ver 4.00という記述が示すように、最新の動向を踏まえた実用的な内容にもなっている。

もともとは、家庭や学校などでのネットリテラシーやセキュリティ教育・指導のためのガイドブックを意識して作られているが、内容が充実しており、最近のセキュリティ動向を踏まえながらも、改訂を重ねた解説や文章はこなれている。そのため、企業のセキュリティ教育でも十分活用可能な文書でもある。

分割利用も可能なNISCのガイドブック

「インターネットの安全・安心ハンドブック Ver 4.00」（以下：ガイドブック）は、本編が全5章の構成で、まえがきとあとがきに相当するプロローグとエピローグ、そして巻末には用語集と関連サイト一覧が収録されている（以下目次参照）。

ガイドブックは、PDFで公開されており、NISCのサイトからダウンロード可能だ。印刷物の配布はないが、主だった電子書籍サービスにおいても配信されている。対応する電子書籍アプリを持っていれば、スマートフォンにダウンロードしておいて、必要なときに参照することもできる。また、章ごとのPDFも公開されており、必要な章だけ印刷して利用するといった使い方も可能だ。自治体向けには、内部資料やパンフレットと組み合わせて独自のガイドブックや文書を作ってもよいとしている。

企業向けの資料としても活用できるが、この場合、保護者や子供向けに書かれた部分は、そのままでは参考にならない。そのため記述の一部を、従業員や企業での業務に読み替える必要がある。企業利用では、そういった読み替え前提で全文配布してもよいが、章ごとの分割利用が使いやすいだろう。

標的型メール攻撃やランサムウェアへの備え

ガイドブックの1章と2章は、未成年向けに書かれていることを差し引いて読めば、一般的な企業セキュリティのリテラシー教育に利用できる。従業員が押さえるべき情報セキュリティの考え方、脆弱性についての認識とセキュリティアップデートの重要性、主だった脅威にどんなものがあるのかが理解できる。

企業の現場で、まず注意しなければならないのは、攻撃メール、フィッシングサイトや攻撃サイト、ランサムウェアだ。統計的にも、標的型メール攻撃、フィッシング、ランサムウェアはここ数年のトップ10常連と思って間違いない。

2章に、個人が注意すべき主だった攻撃・脅威についての記述がある。個人へのサイバー攻撃は、SNSや各種サービスのアカウント情報を盗み、そこからより深い個人情報、クレジットカード情報、あるいは銀行口座情報などを聞き出し、金銭を窃取することが、ひとつのパターンになっている。フィッシングサイトは、カード情報などを盗み出すためによく利用される。そして、フィッシングサイトに誘導するのは、通販や宅配便の連絡を装った攻撃メールだ。

企業においては、顧客・ユーザーの個人情報や企業秘密、特許などの知的財産の情報が標的とされるが、この攻撃にもニセメールやフィッシングサイトが多用されている。

個人に向けた攻撃メールは、スパムメールのようなバラマキ型が一般的であり、企業向けの攻撃メールは、標的型攻撃として相手を特定したもの、業者向けのサイトを攻撃サイトに改ざんする水飲み場型が多い。違いはあるものの、不審なメールへの警戒、フィッシングサイトや改ざんサイトの見極め方は、共通点が多い。重要なものを紹介しよう。

ネットの振り込め詐欺：BEC

リアル社会では、高齢者に向けた振り込め詐欺が問題になって久しい。いまだに被害はなくならず、近年では海外に拠点を持った詐欺グループが暗躍している。振り込め詐欺は、じつは企業取引でも問題になっている。

以前から、中古車取引や業務資材などの業販における「取り込み詐欺」は存在していたが、近年は、B2Bのマッチングサイトやオンライン調達サイトを利用したサイバー詐欺にシフトしている。これも問題だが、さらに手の込んだメールを使った詐欺（BEC）が国内外で広がっている。

BECは、メールの盗聴やなりすまし、メールサーバーへのハッキングによって得た情報で、ニセメールで取引や振り込みを指示する詐欺の一種だ。振り込め詐欺にも劇場型と呼ばれる手の込んだ詐欺があるように、BECも、取引先の社名、部署名、名前を正しく使い、取引手順やタイミングも把握したうえで、通常の取引と見せかけて相手を騙す。

「いつもの銀行口座が監査で使えないので今月はこちらに振り込んでくれ」といったメールで相手を騙す。もちろんいつもの担当者を装い、タイミングも通常の月例処理に合わせてくる。文面も違和感ないようにするので、BECを見抜くのは簡単ではない。社長や上司を装い「緊急の案件で、ここに送金する必要がある」といった手口もよく使われる。日ごろ、そのような処理や依頼を乱発する社長や管理職がいると、これがウソであるとすぐにわからない。

入念に準備をして行う詐欺のため、被害額も数千万から数億円規模の攻撃が珍しくない。

あまたの攻撃の突破口となりうるメール

標的型攻撃、フィッシング詐欺、BEC、ランサムウェアといった攻撃はどこからくるのか。その多くはメールが攻撃の引き金になっていたり、メールに添付されたマルウェアによって被害が引き起こされている。

ファイアウォールなどで不正なアクセスを遮断することも忘れてはならないが、最近のサイバー攻撃は、技術的なハッキングでサーバーに侵入するより、攻撃メールでフィッシングや改ざんサイトに誘導し、アカウント情報を入手することに力を注いでいる。防御技術が高まっているサーバーやイントラネットに、ハッキングを駆使して外部から侵入するより、アカウント情報を利用して侵入したり、マルウェアを実行させたほうが簡単で効果が確実だからだ。

さらに、ユーザーは、管理しなければならないパスワードが増えすぎ、同じパスワードの使いまわしや安易なパスワードに走りがちという問題がある。あるサービスのパスワードが手に入れば、他のシステムやサービスにも同じ（または少し変更した）パスワードでログインできる可能性が高い。標的型攻撃や企業に対するAPT攻撃で、相手のサーバーやシステムに侵入し、犯罪活動を展開するにも、まず利用者のアカウントを入手する必要がある。そこを突破口にサーバーにアクセスしたり、管理者アカウントを入手していくわけだ。

この視点において、攻撃メールに対する備えは、企業セキュリティの基本のひとつとなっている。ガイドラインにも解説があるが、攻撃メールに対する注意点は、以下にまとめることができる。

１：受信予定のないメール、受信に思い当たる節がないメール、返信ではないメールは原則疑う

２：取引先のメールや通販サイト、業者からの請求書メールでも送り主のメールアドレスに注意する（ドメイン名、綴りミス）

３：振込先の変更はメールで完結させない手順にしておく

４：重要な連絡、取引にはメールを使わずメッセンジャーやグループウェアを利用する

現在、ビジネスシーンにおいて必然や脈絡のないメールは、相手が知り合いだったとしてもスパムや攻撃メールである可能性は高い。不審なメールについては、メール以外の電話や書類、対面での確認を行う。

メールは知識があれば偽装、なりすましは難しくない。が、偽装である以上、どこかに本物とは違う要素や情報が含まれている。ドメイン名などメールアドレスのちょっとした違い、誤植のような1文字違いに注意することで、不審メールや偽造メールを区別できることもある。

BECは送り主を単に詐称するだけの場合もあるが、正規のメールサーバーを乗っ取って詐欺メールを送ることもある。後者の場合は、アドレスだけをみてもBECかどうかの判断はできない。

3章4章の技術情報は社会人でも押さえておくべき

ハンドブックの3章、4章は、ウェブの使い方、Wi-Fiの使い方、安全なパスワード、PCやスマートフォンのセキュリティの解説だ。技術的な情報に寄っているので、社会人でも最低限のリテラシーを確認する意味で、目を通しておくとよい。

出先でのWi-Fiの使い方、リモートログインについては、VPNを使うなど、企業ごとのポリシーや手順が定められているかもしれない。スマートフォンについても、会社支給の端末が利用できるアプリ、サイトなどが指定または強制されることがある。そのような場合は、必ずしもガイドブックに書かれた方法が正しいとは限らないが、通常のアクセスや利用にどんな脅威や攻撃が潜んでいるかが書かれている。

5章は、さらに未成年や保護者向けの内容となっているが、災害時のインターネット利用に関する情報は、社会人にも役立つ内容だ。災害時の行動も、業務マニュアルなどで規定されることがあるが、ガイドブックの帰宅マップの利用方法、ラジオ、ワンセグでの情報収集、予備バッテリーなどの解説もチェックしておくとよい。

巻末には、インシデントが発生したり、サイバー攻撃の被害を受けた場合の連絡先や相談窓口のリストがある。NISC、警察庁、IPAなどの関連サイトや連絡先の記載があるが、企業セキュリティにおいては、次の組織・機関も覚えておくとよい。

・JPCERT/CC（早期警戒情報、攻撃の届出、インシデント対応相談）：https://www.jpcert.or.jp/

・フィッシング対策協議会（フィッシング被害相談・情報収集）：https://www.antiphishing.jp/

・日本シーサート協議会（CSIRT運営、コミュニティ）：https://www.nca.gr.jp/

・業界ごとのISAC（Information Sharing and Analysis Center：情報共有分析センター。情報共有・ガイドライン・作業部会・研究会）：※ISACは業界単位で複数存在するため、URLは非掲載

企業・個人のボーダレスが進むセキュリティ

セキュリティの考え方の基本は、守るべき情報資産とそのリスクによって変わってくるものだ。したがって、企業のセキュリティと個人のセキュリティは本来ポリシーが異なってもおかしくない。

しかし、近年は情報セキュリティそのものの位置づけが、ネットワークやコンピュータなど技術的なものから、企業戦略やコンプライアンスといった経営そのものに大きく影響するようになってきている。加えて、スマートフォンやIoT、クラウドによってデバイスやサービスが、企業向け消費者向けの区別がつけにくくなってきている。一方で、中堅・中小企業の場合、フルスペックの企業向けセキュリティソリューションをすべて導入できるわけではない。

このような場合、個人向けのセキュリティでも企業に適用しうる共通項が存在する。今回とりあげたハンドブックは、本来個人向けのセキュリティ対策ガイド、啓発文書だが、ベンダーのソリューションや製品が、実際の業務への適用に違和感があるなら、個人向けのガイドブックを参考にするというアプローチもある。選択肢として検討してもよいだろう。