三菱電機やNECなどいくつもの企業で重要な情報がサイバー攻撃で窃取された事が報道されています。
情報セキュリティを売りにするほどの企業が出し抜かれたようなその攻撃方法として2社に共通しているのは、海外拠点や関連会社など小さな組織から侵入されているという事でした。
2019年の3月にノルウェーの世界的なアルミ製造企業がランサムウェアの被害にあったのも、関連会社が入り口だったとの事でした。

 問題は中小企業だったと言うことです。

では、予算も技術力も頼りない中小の組織は、どうやってこういった脅威から守りを固めれば良いのでしょうか?中小でもできそうなセキュリティ対策は多くは無いと思います。
以下にその要点をリストアップしてみたいと思います。

①ルータやファイアウォールを適切に管理する

 機器にパッチを当ててきちんと設定されていれば、これを突破するのは至難の業です。名工大のつるまいプロジェクトというセキュリティの実証報告を聞いたことがありますが、ロシアのセキュリティ会社の雇う敏腕テスターに侵入トライをしてもらっても入れなかったと聞きました。

ここさえ出来ていれば守りは堅いです。

②USBメモリの管理を厳密化する

この①の壁を乗り越える一つの方法は、マルウェアを外部記憶媒体に入れ人が持ち込む事です。こうするとルータやファイアウォールは物理的にスルーです。Stuxnetなどがこれにあたります。USBは決まった物しか使わないなど対策が打てるはずです。

③メール添付のマクロや危険なサイトへの誘導

もう一つの壁の乗り越え方は、内部から外部へと問い合わせをかけさせる方法です。
ファイアウィールは内部からの問い合わせに対する外部からの回答な基本スルーします。このスルーを巧妙に使って、メールを送りつけてそのメールに外部に問い合わせを行うプログラムファイルを動作させ、内部から悪意のあるプログラムを問い合わせをさせるのが、この方法です。
この対策は、マクロを簡単に動作させないようにすることになります。

また、危険なサイトへの誘導は、セキュアなDNSを利用することで脅威を緩和することがえきます。例えばネットワークのDNSの設定を9.9.9.9 (Quad9)としておくことで危険なサイトへの誘導は減ります(新規に立ち上げられた危険なURLのケースは除く)。

④メンバーへの教育

どうしても仕事に直接関連しそうなメールを受信すると、反射的にマクロを動かしがちです。相手はそれを狙って多彩な誘い文句でメールを送ってくるのですから。ですから、これは怪しい、とすぐ察知できる力を教育する事が大切です。

⑤パスワードの管理

侵入されるとまず分析されるのがパスワードです。どういうルールにするかよく検討する必要があります。少なくとも,Have I been pwnedなどで既に公表されているパスワードでないか確認してから設定する事をお勧めします。パスワードはまだいくつも工夫があるのですが、細かいため別途説明したいと思います。

これらの対策は、手間は多少かかるだけで基本お金はかかりません。

まずはこれらの対策から。