メニューを開く  メニューを閉じる
2017/03/01 日比谷ステーション法律事務所の弁護士名を騙った詐欺にご注意ください
Google+
ブログブログ

所内セミナー:セキュリティインシデントを避けるために何をすべきか

2014.10.20

先週の金曜日に ,「セキュリティインシデントを避けるために何をすべきか」と題する所内セミナーに参加しました。
講師の先生は,当事務所のIT関係(システム管理,HPの作成・管理その他諸々)を一手に担う情報セキュリティスペシャリストの方です。

セキュリティインシデントと弁護士

そもそもセキュリティインシデントとは何でしょうか。恥ずかしながら私にもわかりませんでした。ネットで調べてみると,情報漏洩や不正アクセス,ウィルス感染に代表される,情報管理やシステム運用に関して保安上脅威となる現象や事案を指すようです。
「ウィルス感染」はよくニュースなどで耳にする言葉ですよね。

ここで1つ注意点なのが,「ウィルス」という言葉の意味・使い方です。

コンピュータウィルスとは,コンピュータに被害をもたらすプログラム=「マルウェア」の一種であり,自律せず,動的には活動せず,プログラムファイルかからプログラムファイルへと静的に感染するものをいいます。これに対してマルウェアは,ウィルスやスパイウェア全てを指す呼称です。

不正指令電磁的記録に関する罪は,通称「ウィルス罪」と呼ばれますが,ここでいう「ウィルス」とは「マルウェア」全体を指しており,「ウィルス」という言葉の誤用なのです。正確にいうとすれば,不正指令電磁的記録に関する罪は,「マルウェア罪」になるということです。

・・・ということを私は所内セミナーで初めて知りました。

何はともあれ,弁護士の業務は,多くの依頼者の方の個人情報を扱う仕事であり,当然に守秘義務も負っています。弁護士の使用するシステムにセキュリティインシデントがあった場合,依頼者の方に多大なご迷惑をかけてしまうことになりかねません。そのため,法律事務所は,セキュリティインシデントを避けるためにしっかり予防策を練る必要があります。
また,依頼者の方がセキュリティインシデントにあってしまった場合や,不正アクセス防止法違反の容疑をかけられてしまった場合等には,弁護士として何らかの依頼を受けることもあります。
このように,弁護士として,セキュリティインシデントについては色々と知っておかなければならなさそうです。

そんなこうなで所内セミナーに参加したのですが,自分のセキュリティインシデントに対する意識の低さに愕然としました。私は今まで家のドアに鍵をかけない状態で外出しているのと同じようなものでした。

今回のブログでは,法律とは少し離れ,学びたてホヤホヤのセキュリティインシデントのおそろしさ及びその対策について印象的だったものをご紹介したいと思います。

 写真 1

 

標的型攻撃

最近流行の攻撃の一つに「標的型攻撃」があります。従来の攻撃は万人を狙ったものですが,標的型攻撃は,「○○省に勤務している人」「○○会社の特許部に勤める人」といった一部の標的を狙った攻撃です。

例えば,クラッカーが,一部の標的に対して,その標的が一見普通の業務関連メールと勘違いしてしまうような,URLや添付ファイルのついたメールを送ります。実はこれに記載されたURLは偽装されていて,標的が勘違いしてWebを閲覧しても(Web誘導感染型),添付ファイルを開いても(メール添付感染型)感染させる仕組みとなっているわけです。

これに対する対策としては,アンチウィルスソフトを入れることがまず基本だそうです。皆様のウィルスソフトは期限切れになっていませんか?私はなっていました。これに加えて,迷惑メールフィルタを活用したり,メールに書いてあるURLにはクリックしないように気をつけたりして,標的型攻撃から身を守りましょう。

スマホに対する攻撃

スマホは本当に便利ですよね。かくいう私もヘビーなスマホユーザーの一人で,手持ちぶさたなときはついついスマホのアプリでゲームをしたり,新しいアプリをダウンロードしてみたりしています。
そんな便利なスマホ及びアプリですが,実はとっても危険が潜んでいると言うことを皆さんは知っていますか。
今日のセミナーによれば,アプリを適当にダウンロードするのはとっても危険とのことでした。
アプリをダウンロードして利用しただけなのに,連絡帳を抜き取られてどこかに送られてしまう,なんていうこともあるとか。恐ろしい話です。
ではどうやったらこれを防げるのか?という話ですが,アプリのダウンロードないし実行時にそのアプリの権限を確認したり,ダウンロード前にそのアプリについて調べたりすることが有用だそうです。
皆さんは,このような対策を経ずにアプリをダウンロードしていませんか?私はしていましたので,今日から改めようと思います。

SNSを狙う攻撃

SNSはとっても楽しいですよね。私もFacebookで友人の近況を見たり,自分の近況をアップして自己満足を得たりするのが大好きです。
ただ,皆さんは,いつの間にかイイネを押したわけじゃないはずの記事が自分のタイムラインに出ていたり,自分がこっそり閲覧していたサイトにいつの間にかイイネをおしたことになっていたりしたことはありませんか。想像しただけで恥ずかしいですね。
これは基本的にユーザーの不注意によるものですが,中には,話題性のあるネタでクリックを誘い,連携アプリの認証を狙うサイトがあるようです。対策としては,ブラウザを使い分ける,認証画面に気をつけるなどがあるそうです。なるほどですね。


パスワードリスト攻撃

もし自分があるサイトに使っているパスワードが知られてしまったら,他のサイトでも同じパスワードなので,芋づる式に他のサイトにもログインできてしまう・・・ということはありませんか。私もその一人でした。
悪意を持つ第三者が,何らかの方法であらかじめ入手しリスト化したID・パスワードを利用し,他のWebサイトにアクセスを試み,結果として利用者のアカウントで不正にログインされてしまうという超危険な攻撃,それがパスワードリスト攻撃だそうです。この対策としては,パスワードを全て変えること,パスワードを複雑なものにすることということでした。このセミナー後,私がパスワードをせっせと変更したことはいうまでもありません。

まとめ

いかがでしたでしょうか。
セミナーでは上記以外にもセキュリティインシデントに関するたくさんの奥深い知識を学ぶことができました。
インターネットは便利ですが,同時に大変な危険もはらんでいるようです。しっかりと知識を身につけ,悲しい被害を受けないよう,気をつけて楽しくインターネットを利用していきたいものですね。
講師の先生,ありがとうございました。