インターネットが企業に及ぼした影響は計り知れないものがあります。インターネットは世界を小さくしました。史上初めて、中小企業の事業の対象が近隣地域内の顧客だけに限定されない時代が来たのです。現在では、戦略的計画と周到なマーケティング活動によって、中小企業でも大企業と競争できるようになっています。顧客は、以前は入手困難だったり高価すぎたりした製品やサービスを自由に購入できるようになりました。インターネットの普及により、より多くの人が世界にアクセスできるようになりましたが、それに伴ってサイバー脅威に対するインターネットの脆弱性もまた増大しました。
このように、テクノロジーの進歩には欠点もあります。企業のオンラインプレゼンスは、その事業をサイバーセキュリティ攻撃にさらされやすくなります。統計によれば、サイバー侵害を受けたことがある企業は64%に上っています。この64%のうち43%は中小企業に対する攻撃でした。このような悪意ある行為は、さまざまな形で行われます。以下に、見過ごされがちなサイバー脅威をいくつかご紹介します。
マルウェア広告
ここ数年、オンライン広告の数が増加しています。今日、インターネットは、ブランドや企業が自社の製品を宣伝し、より広い範囲の視聴者にアピールするための手段となっています。したがって、ほとんどのオンラインユーザーにとって、どのWebページにも広告が掲載されていることが当たり前になっています。
しかし、残念なことに、ハッカーはオンライン広告を武器にして利益を得ています。現在、このようなハッカーは、あまり人気のないWebサイトに表示される広告にマルウェアを仕込んでいます。ハッカーは、このマルウェアを使って個人の情報を入手します。多くの場合、ハッカーはデバイス内のファイルを操作して、機密データへの不正アクセスを行います。 マルウェア広告は、ハッカーの大きな収入源になっています。ただし、この脅威は、たいていブロッカーやパッチシステムによって十分に最小化できます。
脆弱な暗号化方式
ほとんどの企業は、機密ファイルの暗号化に熱心に取り組んでいます。しかし、暗号化が問題なのではなく、適切な暗号化方法が問題なのです。企業の経営者は、転送中のファイルを暗号化することの重要性をよく理解しています。しかし残念ながら、保管中の機密情報を暗号化することの価値を理解している人は多くありません。攻撃はどの時点でも起こり得ます。ファイルを適切に暗号化することで、このサイバーセキュリティ対策の価値を最大限に高めることができます
また、多くの企業は暗号化キーの管理に問題を抱えています。多くの場合、企業はこの重要な情報を、暗号化の対象である同じシステム内に保存しています。同様に、暗号化キーを多くの人と共有する傾向があります。これではせっかくの暗号化が台無しになってしまいます。
悪意あるメイド攻撃と悪魔の双子攻撃
悪意あるメイド(Evil Maid)攻撃と悪魔の双子(Evil Twin)攻撃は似ていますが、同じサイバーセキュリティ上の脅威ではありません。悪魔の双子攻撃では、安全なホットスポットの脆弱性を利用しています。ハッカーは、このような「安全な」ホットスポットの範囲内に身を置くことがよくあります。ホットスポットの他のユーザーは、自分のデバイスをホットスポットにリンクさせるため、侵入されやすい状態になります。一方、悪意あるメイド攻撃はもっと原始的です。また、悪魔の双子攻撃よりも人気があります。この攻撃では、放置された脆弱なハードウェアにハッカーがアクセスします。
IoT(Internet of Things:モノのインターネット)
現在の世界的パンデミックの影響により、自宅で会社の仕事をする従業員が増えています。リモートワークという選択肢は、従業員にとっては最高です。ワークライフバランスが向上し、士気や生産性にもプラスの影響を与えます。しかし、特に複数のスマートホームデバイスを所有している従業員にとっては、サイバーセキュリティ上の深刻な問題となります。
多くの場合、ノートパソコンは、スマート冷蔵庫やホームセキュリティシステムなどのIoTデバイスと同じネットワークに接続されています。パソコンのセキュリティは万全でも、これらの家電機器は攻撃に対して脆弱です。仕事用のノートパソコンと同じネットワークを共有しているため、ハッカーは機密情報に簡単にアクセスできてしまいます。
個人所有のデバイスの使用
個人のリソースを仕事に使用することを許可すると、従業員にも雇用者にもメリットがあります。従業員は使い慣れたデバイスで仕事ができるので生産性が上がります。同様に、雇用主も従業員一人一人に会社のノートパソコンを用意する必要はありません。
しかし残念ながら、十分なセキュリティ対策が施された標準的なデバイスを持たない場合、業務がサイバー脅威にさらされることになります。確固としたセキュリティポリシーを定めていない場合、従業員が各自のデバイスを仕事に使用することを許可するかどうかは、よく考えて判断する必要があります。
不適切なパスワード作成
パスワードは、企業を犠牲にして個人的な利益を得ようとする悪意のある人物から企業を守るための最初の防衛線となります。残念ながら、すべての従業員が効果的なパスワード対策を実践している保証はありません。複数のデバイスで同じパスワードを使用している従業員もたくさんいます。たった1人の従業員から、膨大な量の機密情報が侵害される可能性があります。
パスワードマネージャーは、デジタル資産の保護に効果的なすばらしい投資です。あらゆる価格帯でさまざまなパスワードマネージャーが市販されていますが、クロスプラットフォーム機能とマルチユーザーオプションを備えたアプリケーションを選べば間違いないでしょう。
更新のダウンロードを怠る
ソフトウェアのアップデートは、デジタル資産を保護するための重要な要素です。何の変哲もない面倒な作業のように思えるかもしれませんが、更新を怠ると、会社のネットワークに簡単に侵入できる手段を悪意のある個人に与えることになります。結局のところ、ハッカーが更新されていないソフトウェアを使って脆弱なシステムへの侵入口とすることは周知の事実です。
システムの更新に関しては、従業員がアプリケーションを更新する必要はなく、継続的にアップデートが行われます。このプロセスを自動化することで、機密情報を徹底的に保護できます。
正しい情報を知らない従業員
セキュリティ侵害の95%は人為的なミスが直接の原因です。 IT部門から脆弱性がもたらされることはほとんどありません。つまり、従業員のランクに関係なく、サイバーセキュリティのベストプラクティスについてトレーニングを行うことは不可欠です。従業員がより多くの情報を得られるようになれば、ネットワークが侵害される可能性は低くなります。サイバーセキュリティのトレーニングを頻繁に行うことで、従業員は会社を守ることを念頭に置いて、より適切なセキュリティ上の判断ができるようになります。
重要なポイント
今日の職場では、サイバーセキュリティの攻撃に対して、これまでとは異なるレベルの保護が必要です。テクノロジーが進歩したことで、悪質なサイバー脅威も時代に合わせて増加しています。サイバーセキュリティは、企業の完全性を安全かつセキュアに保つために不可欠な要素です。 セキュアブレインは、GRED Web改ざんチェック、GRED Webセキュリティ診断Cloud、サイバー攻撃監査サービスなど、サイバー脅威から企業経営を守るお手伝いができます。サービスについての詳細は、以下よりお問い合わせください。
https://www.securebrain.co.jp/form/service/inquiry_input.html
本記事はセキュアブレイン英語サイトの翻訳です。
https://www.securebrain.co.jp/eng/blog/commonly-overlooked-cyberthreats/
