サイバーセキュリティーサービスの比較・資料請求サイト|中小企業向けのセキュリティ対策を考える「サイバーセキュリティ」に関する情報メディア。日本の中小企業の情報を守るため、最新のセミナー・人材育成・製品・中小企業向けのセキュリティ対策を考えるサイバーセキュリティ情報サイトです。

オフライン端末でもサイバー攻撃には注意、オフラインでのセキュリティ対策



「インターネットに繋がっている端末だけがサイバー攻撃を受ける」。皆さんはそうは思っていませんか?

ブラウザやメールを介したマルウェアや、ネットワークを通しての不正アクセスなど、インターネットに繋がっているからこそ受けるサイバー攻撃はたくさんあります。しかし、実際には、サイバー攻撃はインターネットに繋がらないオフライン端末でも起こりうるのです。

今回は、こうしたオフライン端末で起こるサイバー攻撃と、その対処法について解説します。

オフラインでも危険な理由

マルウェアなどのサイバー攻撃は、インターネットを介して行われると思っていませんか?インターネットに繋がらないオフライン端末であれば、サイバー攻撃を受けないと思っていませんか。

では、どうしてオフラインでもサイバー攻撃に注意する必要があるのでしょうか。それは、「オフラインでも攻撃を行う方法があるから」です。

オフラインで注意しなければならない攻撃方法

オフラインで発生する可能性のあるサイバー攻撃にはどういったものがあるのでしょうか。以下では、どういった攻撃があるのか3つの手法を例に挙げて見ていきましょう。

ソーシャルエンジニアリング

一つ目は、人間の行動心理やミスといったものを悪用するソーシャルエンジニアリングと呼ばれる手口です。これには、大きく以下のようなものがあります。

社内などに侵入して情報を盗み出す

IDカードを偽造するといったことで社内に侵入し、実際に機密文書などを閲覧するなどといった行為

電話やメールでのなりすまし

取引先や上司などを装おって電話やメールでパスワードなどを問い合わせるなどといった手法

覗き見

利用者が使っている横でパスワードなどを覗き見て盗み出す行為

これ以外にもゴミ箱などから捨てられた機密情報を盗み出すといったものもソーシャルエンジニアリングと呼ばれます。

テンペスト技術を用いた情報窃取

2つ目は、テンペスト技術を使って情報を盗み出すというものです。コンピュータやスマホなどの電子機器や、LANケーブルなどは、すべて微弱な電磁波を出しています。テンペスト技術では、電磁波を外部から検知して、ディスプレイ上に書かれた情報や、入力された文字列を盗み出すというものです。

USBメモリなどからのウィルス感染

3つ目はUSBメモリなどの可搬型の記憶媒体からウィルスに感染してしまうというケースです。オフライン端末は、ネットワークに接続されていないので、それによる感染はないですが、外部からデータが入り込むUSBメモリやCD-ROMなどの媒体を介してウィルスなどに感染してしまう場合があります。

オフライン端末でのセキュリティ対策

インターネットに接続されないオフライン端末でも、サイバー攻撃を受ける可能性があることはお分りいただけたのではないでしょうか。では、こうしたサイバー攻撃から端末を守るどのようにすれば良いのでしょうか。以下では、2つの側面から考えてみましょう。

オフライン対応可能なセキュリティソフトの導入

一つ目は、「セキュリティ対策ソフトの導入」です。ウィルスなどの脅威に対抗するにはセキュリティ対策ソフトの導入が欠かせませんが、オフライン端末で使うには、インターネットに接続しなくてもウィルス定義の更新が可能である、あるいはそもそも定義の更新が必要でないようなオフライン対応が可能なセキュリティ対策ソフトを導入する必要があります。

こうしたウィルス対策ソフトを導入しておくことで、たとえばUSBメモリのような可搬記憶媒体を介したウィルスの侵入や感染を防ぐことができます。

ソーシャルエンジニアリングへの対策

もう一つ、行うべき対策はソーシャルエンジニアリングへの対応です。ソーシャルエンジニアリングは、人間の行動心理やミスにつけ込むものなので、いかにして被害を防ぐかは個人の意識の向上と、システムによる対策をあわせることが不可欠です。

組織や個人の意識啓発

研修やセミナーをとおして、組織と属する個人に対して情報セキュリティとソーシャルエンジニアリングの知識と意識を向上させる

入退室の管理

指紋認証や、入退室カードなどで、不特定多数の人物が重要な情報に触れることがないように管理を行う

記憶媒体や情報機器の管理徹底

USBメモリや可搬型ハードディスクなどの記憶媒体は、紛失や盗難を防ぐために台帳を作成するなど、管理体制を徹底する必要があります。これらは可能であれば、利用を禁止することが望ましいでしょう。また、紛失や盗難時にデータの漏洩を防ぐために暗号化処理をしておくことも大切です。また、パソコンやスマホなどの情報機器についても同様です。加えて忘れてはならないのが、廃棄の際のデータ消去です。専用ツールによるデータ消去や物理的な消磁処理を行ってデータが確実に破棄される方法で廃棄するようにしましょう。

まとめ

「インターネットに繋がっていない端末はウィルス感染に感染しない」というのは大きな間違いです。

パソコンは、インターネットに繋がっていなくても、USBメモリなどの可搬記憶媒体を通してウィルスに感染することはあります。また、テンペスト技術やソーシャルエンジニアリングを通して、重要な情報が盗み出されることもあります。

このようなオフライン端末での被害を防ぐためには、「セキュリティソフトの導入」はもちろんのこと、ソーシェアルエンジニアリングの対策として「利用者への啓発」や「記憶媒体の管理」などの対応が欠かせません。しっかりとした対策を行って、被害を防ぐことが大切です。





  • LINEで送る

書籍「情報漏洩対策のキホン」プレゼント


当サイトへの会員登録で、下記内容の書籍「情報漏洩対策のキホン」3000円相当PDFプレゼント
(実際にAmazonで売られている書籍のPDF版を無料プレゼント:中小企業向け大企業向け

下記は中小企業向けの目次になります。

  1. 1.はじめに

  2. 2.あなたの会社の情報が漏洩したら?

  3. 3.正しく恐れるべき脅威トップ5を事例付きで
    •  3-1.ランサムウェアによる被害
    •  3-2.標的型攻撃による機密情報の窃取
    •  3-3.テレワーク等のニューノーマルな働き方を狙った攻撃
    •  3-4.サプライチェーンの弱点を悪用した攻撃
    •  3-5.ビジネスメール詐欺による金銭被害
    •  3-6.内部不正による情報漏洩

  4. 4.情報漏洩事件・被害事例一覧

  5. 5.高度化するサイバー犯罪
    •  5-1.ランサムウェア✕標的型攻撃のあわせ技
    •  5-2.大人数で・じっくりと・大規模に攻める
    •  5-3.境界の曖昧化 内と外の概念が崩壊

  6. 6.中小企業がITセキュリティ対策としてできること
    •  6-1.経営層必読!まず行うべき組織的対策
    •  6-2.構想を具体化する技術的対策
    •  6-3.人的対策およびノウハウ・知的対策

  7. 7.サイバーセキュリティ知っ得用語集

無料でここまでわかります!
ぜひ下記より会員登録をして無料ダウンロードしてみてはいかがでしょうか?

無料会員登録はこちら

SNSでもご購読できます。