ニューノーマル処方箋(第64回)
ランサムウエアがビジネス化。「RaaS」の脅威
関西でアパレルショップを展開する小売業のU社。開店時間を迎えるころ、U社の店舗スタッフから販売部門に1本の電話がかかってきた。「ショップのSNSを更新しようとしたところ、アクセスできなくなりました。どうすればいいでしょうか」。電話を受けた販売部門の責任者は直ちにIT担当者に連絡。IT担当者は該当するSNSにアクセスを試みたがブロックされており、第三者に乗っ取られたことを疑った。そして、SNSアカウントの利用停止をSNS運営者に連絡するとともに、インシデントを上長に報告した。
不適切な使い方でビジネスリスクになるSNS
U社は駅ビルなどの商業施設に複数のアパレルショップを展開する他、オンライン販売にも力を入れ、リアルとWebを融合した戦略で売り上げを伸ばしてきた。各種のSNSを活用したマーケティング活動を行い、顧客と接する店舗スタッフが最新のお勧め商品やファッションのトレンドなどを紹介している。
SNSの使い方にも留意し、業務にかかわる情報発信は公式アカウントのみとし、管理が及ばないスタッフの私的なアカウントでの投稿は禁じてきた。SNSは簡単に情報を発信できるものの、使い方を誤ると企業にとって大きなリスクになる懸念があるからだ。
これまでも従業員が私的なSNSに不適切な投稿を行い、拡散、炎上したり、風評被害によって企業が経済的な損失を被ったり、謝罪に追い込まれたりする例もある。また、従業員が何気なく投稿したオフィスや工場の写真に企業の重要情報が映り込んでいたりするリスクもある。投稿者が誤りに気が付き、SNS運営者に削除を依頼しても、一度公開、拡散された情報は完全には消すことができないのが実情だ。
第三者にSNSのアカウントが乗っ取られるリスクもある。攻撃者が不正に入手した従業員のID、パスワードを使ってSNSアカウントにログインし、偽情報を発信したり、悪意のあるサイトに誘導して顧客の個人情報を入力させたりする手口もある。さらに、攻撃者がSNSアカウントの乗っ取りに成功すれば、同じ認証情報を悪用してWebサイトなど他のシステムに不正アクセスを試みることも考えられる。
SNSアカウントの不正利用に限ったことではないが、サイバー攻撃を防ぐには類推されやすいパスワードは止める、他のシステムとのパスワードの使い回しはしない、パスワードは定期的に変更するといった対策の他、多要素認証を組み合わせる対策が有効だ。
スタッフの認証情報が盗まれ不正アクセス
U社のIT担当者は、同社のITをサポートする事業者の協力を得ながら、どのように店舗スタッフがSNSアカウントを乗っ取られたのかインシデントの原因究明を開始した。SNSの認証情報はスタッフで共用され、販売部門の担当者の他、ファッションに詳しい店舗スタッフもアクセスできるようにしてきた。
IT担当者はショップのSNSアカウントで情報を発信したことのあるスタッフに連絡を取り、不審なメールの受信やURLにアクセスしたなど思い当たることはないか尋ねた。すると、あるスタッフがアパレル関連企業を名乗る会社から届いた「新製品のご案内」と題するメールを開き、Webカタログをダウンロードするために自身の名前や所属先、メールアドレス、認証情報などを入力したという。
IT担当者はこのスタッフの認証情報が攻撃者に悪用され、SNSアカウントが乗っ取られた可能性があると考えた。ただ、SNSアカウントと社内システムの認証情報は異なるため、他のシステムへの不正アクセスの可能性は低いと判断した。そして、U社ではWebサイトやメッセージ、メールを介してSNSのフォロワーや顧客にインシデントを報告するとともに、U社をかたった不審なメールやリンクを受信した場合、開かずに本社まで連絡をくれるように依頼した。
セキュリティ対策とインシデント対応を強化
IT担当者は役員および従業員にSNSアカウントが乗っ取られたインシデントの経緯を説明し、販売部門や店舗のスタッフに対しSNSの運用や投稿、アカウント管理などのルールを徹底するように指示した。そして、改めてパスワード管理の徹底や、安易にメールの添付ファイルを開いたり、メールやSNSのメッセージに記載されたリンクをクリックしたりしないことを通達した。
これらの対策はSNSに限ったことではない。企業の感染被害が続くランサムウエアの攻撃手法として、メールの添付ファイルやメール本文に記載されたリンクをクリックさせて感染させる手口は依然としてある。標的型攻撃も同様の手口が使われる。
ビジネスでIT活用が不可欠になる一方、攻撃者の手口は複雑化し、脅威も進化している。今回のインシデントを教訓に、リアルとネットを融合したビジネスを展開するU社では、本社・店舗のセキュリティ対策を強化する方針を打ち出した。例えばランサムウエアの侵入や標的型攻撃など外部からの脅威を検知、防御するためにゲートウェイセキュリティを強化する。また、パソコンやタブレット端末などのウイルス感染を防ぐエンドポイントセキュリティなど多層的な防御策の他、認証情報を保護するため多要素認証を導入する計画だ。さらに経営層の意向を受け、インシデント対応方針の見直しを行った。インシデントの兆候や発生を検知した場合、IT担当者と管理部門に報告することや、状況に応じてネットワークの遮断、パソコン・サーバーの隔離、システムの一時停止といった対応策を検討する。
インシデント対応では、原因の調査、修正プログラムの適用、設定変更、データの復元などが必要になる場合もある。システムの復旧、再発防止策の検討などを含め、知見のあるIT事業者と相談しながら、セキュリティ対策とインシデント対応の強化を図っていく。
執筆=山崎 俊明
【TP】
あわせて読みたい記事
連載バックナンバー
事例で学ぶセキュリティインシデント
- 第21回 SNSの認証情報を保護し不正利用を防ぐ 2025.05.09
- 第20回 インシデントは思いがけないところから。偽メールに要注意 2025.01.14
- 第19回 セキュリティパッチ適用を怠りインシデント発生 2024.12.16
- 第18回 情報漏えいにつながるルール違反のUSBの利用 2024.11.14
- 第17回 暗号ファイルとパスワードを別メールで送るPPAPのリスク 2024.10.15
- 第16回 端末の盗難・紛失リスクに備える 2024.09.12
- 第15回 安心な端末利用を支援する「エンドポイントセキュリティ」 2024.08.15
- 第14回 管理の目が届きにくいIoTデバイスが狙われる 2024.07.16
- 第13回 対策が脆弱な業務委託先が狙われるサプライチェーン攻撃 2024.06.17
- 第12回 使い回しのID、パスワードが盗まれて不正アクセスの被害に 2024.05.21
- 第11回 感染被害が後を絶たないランサムウエアの脅威 2024.04.22
- 第10回 社内ネットワークにつながる複合機のセキュリティリスク 2024.03.12
- 第9回 対策の不備が信用問題になりかねないWebサイトの改ざん 2024.02.15
- 第8回 情報漏えい事故の引き金となるメール誤送信を防ぐ 2024.01.18
- 第7回 対策が手薄になりがちなリモート拠点が狙われる 2023.12.14
- 第6回 危うく引っかかるところだったビジネスメール詐欺 2023.11.16
- 第5回 うっかりパソコンを置き忘れ。ハイブリッドワークの落とし穴 2023.10.17
- 第4回 メール攻撃を防ぐための原則は「不審な添付ファイルは開かない」 2023.09.19
- 第3回 取引停止の恐れもあるサプライチェーン攻撃 2023.08.18
- 第2回 取引先に送ったメールの添付ファイルがウイルス感染 2023.07.21
- 第1回 端末の隔離など的確な対応でランサムウエア感染拡大を防ぐ 2023.06.27