年末年始の情報セキュリティ対策

こんにちは。

１１回目の投稿になります　koma　です。

年末年始など長期休暇前には社内でも注意喚起がなされていますが、ふと自分でも調べてみようと思いまとめてみました。

年末年始の情報セキュリティ対策　まとめ

【引用】2022年12月21日　年末年始における情報セキュリティに関する注意喚起

こちらはIPA（情報処理推進機構）のセキュリティ対策をまとめたページです。私も何度も見たことがあります。企業向けだけでなく、個人向けの記載もあります。詳細な内容が具体的に書いてあるので、読んでいてわかりやすいです。

長期休暇向けセキュリティ対策のポスター

【引用】2022年12月20日　年末年始休暇において実施いただきたい対策について注意喚起を行います

経済産業省のページを調べていたのですが、「同時発表：総務省、警察庁、内閣官房サイバーセキュリティセンター」となっていました。

個人的には、画面下部の「関係資料」に「別添資料」（PDF）があり、これがパッと見てわかりやすくていいな～と感じました。

ここで『Emotet（エモテット）』という単語がでてきたので、簡潔に調べます。

Emotetは、過去にメールのやり取りをしたことのある、実在の相手に関する一部の情報（メアドやメール文など）が流用された、あたかもその相手からの返信メールであるかのように見える攻撃メールです。

攻撃メールに悪意のあるマクロ(プログラム)を仕込んだExcelファイル、もしくはZIPファイルを添付してくるという手法で、そのファイルの
・「コンテンツの有効化」ボタンをクリックすると悪意のあるマクロが強制的に実行
・記載されたTemplatesフォルダにコピーして開くと（マクロを無効化する設定にしていても）悪意のあるマクロが強制的に実行

となります。この攻撃メールは見たことがあり、これを『Emotet（エモテット）』と呼ぶのかと納得しました。

2023年以降のサイバーセキュリティー予測

【引用】2022年12月12日　チェック・ポイント、2023年のサイバーセキュリティに関する予測を発表　サイバー人材の不足は現在の340万人規模からさらに拡大する見通し

【引用】　NECソリューションイノベータ　セキュリティ用語集

チェック・ポイント・ソフトウェア・テクノロジーズの2023年のサイバーセキュリティ予測です。

ハクティビズム、ディープフェイク、ビジネス向けコラボレーションツールへのサイバー攻撃、政府による新たな規制、複雑さの軽減へのプレッシャーなどを主要なセキュリティ課題として予測。

とにかく用語がわからないので、ざっくり列挙します。

Hacktivism（ハクティビズム）

政治的な理由から、サービス拒否（DoS）攻撃等のマルウェアの攻撃手法が利用されること。通常、マルウェアによる攻撃は、金銭目的やその他の個人的な理由から利用されるのが普通であり、特に政治的な理由による攻撃を指す。

ディープフェイク（deepfake）

もともとは、機械学習アルゴリズムの一つである深層学習（ディープラーニング）を使用して、2つの画像や動画の一部を結合させ元とは異なる動画を作成する技術のこと。しかし、”いわゆる”ディープフェイクはフェイク動画、偽動画を指すことが多い。現実の映像や音声、画像の一部を加工して偽の情報を組み込み、あたかも本物のように見せかけて相手をだます方法として認識されつつある。

この記事では、特に『セキュリティ統合』が重要だと主張しています。

調べてみると思っていた以上に『マルチベンダー対応のセキュリティサービス』は存在していました。まさに時代はそちらに向かっていると感じました。