本物のコンサルティングをより身近に。

オフィス文書ファイルはマルウェア感染のリスクを抱えてやってくる!

SPECIAL

顧客接点強化による成長型IT導入コンサルタント

ベルケンシステムズ株式会社

代表取締役 

顧客接点の強化を軸に、業績に直結するIT導入を指導するスペシャリスト。世に無駄なIT投資が横行するのと一線を画し、顧客の利便性向上、新規取引先、深耕開拓、利用促進…などを主眼に置いた、実益のIT活用と投資戦略を、各会社ごとに組み立てることで定評。

IT化による利便性向上や業務改革推進の可能性とともに、これらとクルマの両輪となっているのが情報セキュリティ上のリスクであることは、このコラムでも折に触れて説明しています。今日少しショックを受けた情報を入手したので、今回はセキュリティに関する話題を提供しようと思います。

仮想プライベートネットワーク(VPNと呼びます)のサービスを提供している米国のAtlas VPN社の調査によると、インターネットからダウンロードされたマルウェアの43%が各種オフィス文書ファイル内に仕込まれたものだったとのことです。

https://atlasvpn.com/blog/43-of-all-malware-downloads-are-malicious-office-documents

ここで言う「オフィス文書ファイル」とはマイクロソフトオフィスの各文書やGoogle Docs、PDF等のことを指しています。更に、2020年の第三四半期に急増していることから、同社は「リモートワークの増加により、サイバー攻撃者はオフィス文書ファイルを使う手段が有効であると認識した」と述べています。

新型コロナ禍によるリモートワークの急激な普及は、図らずも日本のデジタル化を大きく進展させる材料となり、企業の規模に関係無く様々な試行錯誤が始まりました。その中の第一優先に非対面事業を実現するためのリモートワーク化施策が含まれていたわけですが、「セキュリティ面での脇が甘い状態でリモートワークを強いられた結果、犯罪者に狙われることとなった」と言えます。

未だに、「マルウェア(≒ウィルス)は、ウィルスチェックソフトを導入すれば大丈夫ですよね?」と質問されるケースが多いのですが、ウィルスチェックソフトは万能ではないことをまず意識するべきです。このコラムを書いている現時点でも身代金要求型のウィルスであるランサムウェアの被害は後を絶ちませんし、減る傾向も見えていません。これらのマルウェアは犯人がいわゆるカスタムメイドをすることが多く、それが新種のマルウェアに相当するため、従来型の「マルウェアを指紋のようなパターンでマルウェアと認識する」というタイプのウィルス検出ソフトでは検出できずに通過してしまうことが多いからです。

これを解決する為には、情報システム担当の社員がいる会社であっても、社長の強力なリーダーシップは必要不可欠となります。なぜなら、上記の通り「マルウェアによる被害を、仕組みで完璧に防止しきることができないから」です。

情報システム担当社員、もしくはそれに相当する業務を外部の会社に委託する場合、彼らは・・・

ウィルス検出ソフトを導入する

ネットワークのセキュリティを管理する

サーバーのセキュリティを管理する

Windows等の最新のセキュリティ更新を全社に告知徹底させる

といった、どうしてもPCを使ったマルウェア防御の範囲の仕事を進めることになります。ところが、オフィス文書ファイル、例えばExcelのファイルを外部からメールでもらったり、ダウンロードしてきたり、メディアで直接受け取る、といった行為はいちいち彼らを通すことはできません。どうしてもそれぞれの社員が業務の一環で受け取ることが多いはずです。メールの添付文書で来る場合は、運が良ければウィルス検出ソフトで検出され、自動的に検疫措置されることがあります。しかし、新種のマルウェアの場合には前述の通り検出できない未知のソフトウェアである場合が多いので、検出されずにそのまま実行されてしまう高い危険性が残ります。こうなると、ファイルを受け取った社員が「これは怪しいかもしれない」といつも警戒しながら外部から来たファイルを扱う必要があります。例え信頼できる取引先からのメールであっても、もしかしたらなりすましメールである可能性もありますので、「いつもと表現がちょっと違う」とか「ちょっと意味が通らない文面かなぁ…」と言った直感的な気づきがこれらのリスクに対する最後の防御になるわけです。

この「全社員の人間による警戒」は情報システム担当者にその徹底を委ねることはできません。何しろ一人一人の注意にかかっているわけですので、全社員のモチベーションを向上させる流れの中で教育徹底してゆくしかないからです。もちろん、「どのようなケースが怪しいのか?」とか「どのような犯行が流行しているのか?」といった基礎知識修得の場は必要ですし、「当社の場合にはどこを注意すれば良いのか?」や「絶対守るべき情報資産とは何か?」といった棚卸しとアセスメントは必要ですので、必要に応じてそれなりの外部専門家の活用も同時に必要です。ただ、とにかく訴えたいのは…

 どんな人的対策をとったとしても終わりがない戦いである

ということに尽きます。情報セキュリティに関する犯行の手口はどんどん巧妙化しますし、使われている技術も進化する一方です。社員の入社退職もあるでしょう。これらの犯罪の動向を常にとらえ、適切に社員を啓蒙し続ける…。社長にとってはまさに終わりが無い戦いです。これが現代の社長に問われているシステム化の負の面であり、宿命であるわけです。

 

コラムの更新をお知らせします!

コラムはいかがでしたか? 下記よりメールアドレスをご登録いただくと、更新時にご案内をお届けします(解除は随時可能です)。ぜひ、ご登録ください。