マイナンバーから考える内部不正防止のコツ

年金機構のレポートからマイナンバー対策を学ぶ--標的型攻撃への処方せん - (page 3)

髙岡隆佳

2015-09-04 05:00

 下記の通り、IPAの報告書によると、標的型のフィッシングメールは、単にマルウェア付きや不正なリンクを入れたメールを送信してくるのではない。標的から「信頼」を得るための一工夫をした上で、標的が安心して添付を開く、リンクを開くといった、よりマルウェア感染の確度を上げるための策を講じている。


 人的な安全管理措置で対応すれば、標的となる社員がこれらメールに対して警戒心を持って対応できる可能性はある。成りすましをした攻撃者と何度もメールをやりとりし、あるレベルの信頼を持ってしまった状態であれば、警戒心は自ずと下がり、メールに含まれる地雷を踏んでしまいかねない。

 また、筆者が所属するブルーコートシステムズの調査によると、調査期間中(2014年12月~2月の90日間)、6億6000万あるインターネット上のサーバ、ホスト、URLのうち、70%が24時間以内に消滅するテンポラリのサイトだった。かつ攻撃者が足の付かないサーバとしてマルウェア、スパム、攻撃指令などが22%占めている。このようなテンポラリでしか存在しない悪意あるサイトのURLは、当然ながらブラックリストのような静的フィルタリングでは対応できずにユーザーの手元に届いてしまう。


 人的安全管理措置はあくまで補助的な対策であって、できることならばメールフィルタが未知の怪しい添付ファイルや地雷サイトへのURLリンクを検知、除去できることが望ましい。しかしながら、そのための施策はガイドラインにも記載はない。また下記の通り、今回の日本年金機構の報告書にある「今後の対策」でも方向性のみが記されているだけである。


(出典:日本年金機構
「不正アクセスによる情報流出事案に関する調査結果報告」から抜粋)

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    Pマーク改訂で何が変わり、何をすればいいのか?まずは改訂の概要と企業に求められる対応を理解しよう

  2. セキュリティ

    従来型のセキュリティでは太刀打ちできない「生成AIによるサイバー攻撃」撃退法のススメ

  3. セキュリティ

    クラウド資産を守るための最新の施策、クラウドストライクが提示するチェックリスト

  4. セキュリティ

    最も警戒すべきセキュリティ脅威「ランサムウェア」対策として知っておくべきこと

  5. セキュリティ

    AIサイバー攻撃の増加でフォーティネットが提言、高いセキュリティ意識を実現するトレーニングの重要性

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]