自治体や公的機関を取り巻くサイバー攻撃の脅威は、年々巧妙化しています。
本連載では、全15回にわたり、現場の職員が今日から実践できる情報セキュリティの基礎知識を解説します。
本連載について
本連載は、現在STORESで販売中の『自治体・公的機関向け 情報セキュリティ研修動画パッケージ』の講義内容を全編書き起こしたものです。
研修の導入をご検討中の担当者様は、内容の確認用としてご活用ください。
講義6:メール・標的型攻撃の巧妙な手口
皆さん、こんにちは。
ここからは、皆さんのデスクで今日この後すぐに起こるかもしれない、具体的なリスクについてお話しします。
まずは「メール」です。
講義2でも少し触れましたが、今のサイバー攻撃メールは、皆さんが想像しているより100倍巧妙です。
昔は、日本語がどこか不自然だったり、身に覚えのない海外からの高額当選通知だったりと、少し注意すれば見抜けるものが主流でした。
しかし今は、「あなたが昨日、実際にやり取りしたメールの続き」を装って届きます。
【具体例】エモテット(Emotet)などの恐怖
想像してみてください。
いつもやり取りしている取引先の担当者、Aさんからメールが届きます。
件名には「Re: 来週のお打ち合わせについて」
本文には「先ほどの資料、一部数字が漏れておりました。こちらの修正版をご確認ください」とあり、ファイルが添付されています。
これ、疑わずに開いてしまいますよね?
何しろ「Re:」がついていて、話の流れも繋がっているからです。
でも、実はAさんのパソコンが以前からウイルスに乗っ取られていて、過去のメールのやり取りをすべて犯人に盗み見られていたとしたら……。
犯人はその文脈を利用して、一番クリックされやすいタイミング、一番疑わない件名で偽メールを送ってくるのです。
ここで、一つ皆さんに問いかけたいことがあります。
「もし、いつもPDFで送ってくるAさんが、今回だけなぜか『パスワード付きのZipファイル』で送ってきたら、あなたはどうしますか?」
【見抜くコツ】違和感にブレーキをかける
「あ、いつもと違うな」という小さな違和感。
これが最大の武器です。
最近は「パスワード付きZipファイル(いわゆるPPAP)」はセキュリティ上、廃止する企業が増えています。
にもかかわらず、急にその形式で届いたり、あるいは「ファイルを開くために、この設定を有効にしてください」といった指示が出たら、それはもう100%ウイルスです。
もし少しでも「おや?」と思ったら、そのメールに返信してはいけません。
犯人に「気づかれましたよ」と教えるようなものです。
電話や、組織で導入している公式チャットなど、メールとは別のルートで「Aさん、今メール送りました?」と直接聞いてみてください。
この数十秒の手間が、組織の全システムが止まるという大惨事を防ぐ、唯一のブレーキになります。
⇒講義7:パスワード管理と多要素認証(MFA)
今回の記事(第6回)の内容を含め、全15回の講義を収録した「研修用動画パッケージ」を販売しています。
・資料作成や登壇の準備をゼロにしたい
・専門家による正確な情報を職員に届けたい
・研修の配布用スライドPDFも手に入れたい
そんな方は、ぜひ以下の販売ページをご確認ください。
また、クラウド認証ドットコムでは、 個別の情報セキュリティ研修(オンライン・対面) での教育支援を行っています。
「自庁の独自ルールを盛り込みたい」「職員の理解度を直接確認したい」といったご要望にお応えします。
専門講師が貴組織の課題に合わせたカリキュラムで登壇いたします。
■ 自治体職員向けセキュリティ研修:連載一覧(全15回)
- 講義1:オリエンテーションと本コースのゴール
- 講義2:自治体・企業を狙う最新の脅威
- 講義3:「信頼できるサービス」を見分ける重要性
- 講義4:CIA(機密性・完全性・可用性)を簡単に理解する
- 講義5:職員一人ひとりが「最大の防御壁」であり「最大の弱点」
- 講義6:メール・標的型攻撃の巧妙な手口
- 講義7:パスワード管理と多要素認証(MFA)
- 講義8:SNS利用と情報漏洩の落とし穴
- 講義9:クラウドサービス(SaaS)利用時の注意点
- 講義10:公共のWi-Fiと持ち出しPCのセキュリティ
- 講義11:【ステップアップ】政府や自治体が認めるクラウドの基準とは?
- 講義12:違和感に気づいたら?初動対応の鉄則
- 講義13:報告ルートの確認と演習
- 講義14:本コースの振り返り
- 講義15:これだけは守ってほしい「5つの約束」
