ご存知ですか？中小企業を狙った【踏み台攻撃】在宅勤務・テレワーク時のサイバーセキュリティリスク対策

こんにちは。
キキ・コンサルティングの石田です。

今回の新型コロナウイルス感染により亡くなられた方々にお悔やみ申し上げると共に、罹患された皆さまの一日も早い回復と、感染の早期終息を心よりお祈り申しあげます。

最近、ドコモ口座の不正出金被害が明らかになり、話題になっていますね。
在宅勤務・テレワーク（リモートワーク）が増えて来ると、どうしてもセキュリティ面が心配になります。
本日は、弊社でもお客さまからのお問合せが増えて来ました、サイバーセキュリティリスク、特に「踏み台攻撃」について記事を書きたいと思います。

■　テレワークとセキュリティリスク

テレワークは利便性が高い反面、インターネットを活用して業務を行うことになります。データの漏洩等を防ぐことも含め、サイバーセキュリティの観点から様々な点に留意する必要があります。新型コロナウイルスに乗じたフィッシングメールやなりすましメールの存在が確認されており、業務関係情報を狙ったサイバー攻撃も増えています。

総務省は「テレワークセキュリティガイドライン（第4版）」をリリースしており、その中で
「経営者が実施すべき対策」「システム管理者が実施すべき対策」「テレワーク勤務者が実施すべき対策」
が詳細に記載されています。
ただし、いずれの場合も十分なサイバー対策を施したとしても事故を100％防止することは不可能であることを前提として、事故発生後の迅速な対応と、それに備えた訓練の実施を求めています。

総務省HP「テレワークセキュリティガイドライン（第4版）」（案）に対する意見募集の結果及び当該ガイドラインの公表
https://www.soumu.go.jp/menu_news/s-news/01ryutsu02_02000200.html

■　中小企業を踏み台に、大企業を狙う「踏み台攻撃」

踏み台攻撃とは、第三者のコンピュータやサーバーを乗っ取り、正規の利用者の意に反した動作をさせ、サイバー攻撃や迷惑メールの発信源に利用することを言います。
特にセキュリティの甘い中小企業を狙って大企業へ攻撃を仕掛けることを指す場合が多く、サプライチェーン攻撃とも言います。

踏み台攻撃のイメージ.jpg

具体的な事例を見て行きましょう。

2017年、日本のスポーツ法人顧客情報流出事件。
スポーツ法人のWEBサイトの制作・運営を孫請けした企業が、脆弱なセキュリティ対策でWEBサイトを運営していたために発生。
15万5千件分もの顧客情報が流出し、最終的に379件のクレジットカード情報が不正利用され、総額約880万円の被害に。

企業としての社会的信用は失墜し、被害額以上のダメージをこうむりました。

このように、中小企業だから関係ないのではなく、むしろセキュリティが甘い中小企業が狙われている実態があります。

この場合、元請け企業からの取引中止や損害賠償請求をされる可能性もあります。

■　サイバー攻撃の疑いがある場合

万全のセキュリティ対策をしておくことはもちろんですが、万が一にもサイバー攻撃に遭ってしまった、ひょっとしたら被害に遭っているのではないか？という場合には、どうしたら良いのでしょうか？

まずは、慌てず騒がず状況をいち早く専門家に相談し、原因究明および対策をすることが必要です。

なお、感染したウイルスの調査・除去費用（デジタル・フォレンジック調査費用）は
パソコン1台100万円、サーバ1台200～300万円とも言われています。

そして、初期対応後に公表するかどうか？も含めて、検討してゆく必要があります。

■　セキュリティリスク対策・保険ができるとこ

サイバー保険や、特約により、セキュリティ・コンサルティング会社をご案内し、デジタル・フォレンジックなど初期対応を支援することが可能です。
また、前出のような調査に要した費用をカバーすることができます。

次のような場合に、保険として対応することが可能です。
①業務委託先のセキュリティ会社が不正ログを発見し、不正アクセスの可能性があると報告を受けた
②業務委託していないセキュリティ会社から、不正アクセスの可能性があるとの通報を受けた
③クレジットカード会社より、不正アクセスの可能性があるとの通報を受けた
④自社のシステム担当者が不正アクセスがあった痕跡を発見し、ホームページで調査することを公表した
（※詳細は各保険会社によって違いますのでお問合せください。）