個人を狙い、SNSのアカウントだったり、インターネットバンキングのアカウントだったり、クレジットカード情報を盗むフィッシングについては皆様御存知だと思いますし、実際に多くの事例がありますし、注意喚起も散々されているので意識はされているかと思います。しかしながら組織を狙うフィッシングとなると話は別かも知れません。

もちろん、個人を狙ったものが偶然にも組織にヒットして組織が被害に遭うという例もありますが、明らかに組織を狙ったものというのも存在します。特に新型コロナ禍においてリモートワークへ移行出来るようSaaS(クラウドサービス)の導入を進めた企業は多いでしょうし、その結果として悪意の第三者がSaaSへ不正ログインして情報を盗み出そうとするフィッシングを行うようになっているのも事実としてあります。ただ、実際には組織内で解決してしまい表に出てこないので知られていないという事でしょう。

この事例は、個人を狙ったものが偶然ヒットした事例だと思われますが、結果的に業務用スマートフォンが乗っ取られてしまうという事例になります。


原文はこちら

一般的に法人向けとして販売されているスマートフォンはAndroidですのでGoogleアカウントが乗っ取られたものと思われますが、この企業がGoogle Workspace(旧G Suite)を使っていた場合はスマートフォン内部の情報のみならず、Google Drive上のデータを窃取される可能性もあったわけで「偶然」では済まされない事態を招く可能性もあったわけです。

今後もBCPという観点から企業で使うシステムのSaaS化が進むかと思います。そうなると、フィッシング被害を受けたときの業務影響が大きくなる可能性が高まってきます。そういう点で、本メールマガジンでも何度か取り上げていますし、弊社ウェビナーでも言っていますが、企業での「パスワード管理システム」の導入を進めるべきであると考えますし、導入を強く推奨したいところです。フィッシングを目視で確認するのは実質的に困難であるという認識の元、フィッシングを見分けるのはプログラムに任せるべきであるというのが弊社の考えになります。

情報セキュリティの基本は「機械が出来る事は機械に任せる」です。既に人間の判断に任せられる時代ではありません。BCPという観点でのリモートワーク導入に関しては様々な視点から検討する事があります。そういう「様々な視点」の中に「情報セキュリティ」も入れて頂ければと考えます。