セキュリティの
学び場

今回の解説ニュース

ランサムウェアによる不正アクセスについて発表されています。ランサムウェア攻撃の対策に有効な教育や、ランサムウェア攻撃の被害を受けた情報ごとの対応について説明します。

今回のインシデントは、会員等に関する一部のシステムに対し不正アクセスを確認したというものです。原因として、第三者からのランサムウェア攻撃が挙げられています。

対策として、ランサムウェア攻撃対策本部を立ち上げ、攻撃による被害状況や不正アクセスの経緯等を確認しています。再発防止策として、順次必要な対応を講じていくということです。

従業員に向けたランサムウェア攻撃への対策

ランサムウェア攻撃への対策のために、ランサムウェア自体の基礎知識以外に不正メールの見分け方や、基本的なセキュリティ対策に関する教育が有効です。

まず、ランサムウェア自体が何であるか理解しないと、万が一ランサムウェアに感染した際に、適切な対応を取ることができません。ランサムウェアのランサムは「身代金」という意味です。みなさんが万が一、パソコン上で身代金を要求されたら、ランサムウェアに感染したことを疑うと同時に、その身代金の要求に応じてはならないことを理解することができます。まずは、ここからスタートしましょう。

次に、ランサムウェアに感染しないために、感染経路について知ることが必要です。多くのランサムウェアは、攻撃者によって作成されたメールの添付ファイルやリンクを介してパソコンに侵入します。つまり、西本さんが誤って悪意のあるファイルを開いたり、危険なリンクをクリックしたりした際に、ランサムウェアに感染するリスクがあるわけです。ランサムウェアの感染経路を断つために、不審なメールを開いてはならないことが、お判りいただけたのではないでしょうか。

そして、基本的なセキュリティ対策について知るようにしましょう。ランサムウェア攻撃に限らず、あらゆる不正アクセスに対して、基本的なセキュリティ対策が有効です。第三者が推測できないパスワードを設定する、緊急度の高い脆弱性を修正するなど、誰でもできる基本的なセキュリティ対策を徹底すれば、多くの不正アクセスは未然に防ぐことができます。

ランサムウェア被害を受けた場合の個人情報への対応

ランサムウェア攻撃を受けた際に、個人情報が被害を受けて漏洩した可能性がある場合は、個人情報保護委員会への報告と本人への通知が必要です。

個人情報が漏洩した際に、個人情報保護委員会へ報告することは、個人情報保護法で義務付けられています。また、本人への通知も、個人情報保護法で義務付けられており、漏洩した個人情報に不正の目的をもって行われたおそれがある場合、または本人の権利利益を害するおそれがある場合は、遅滞なく通知することが求められています。ちなみに、EU域内における個人情報関連の法律であるGDPRでは、72時間以内に所轄監督機関へ通知しなければならないとされています。