ランサムウェアが猛威を振るう日本になってきました。
攻撃方法も巧妙かつ精緻に至り、もう昔のように日本語がおかしい文章が少なくなり、組織内部の情報が漏れているとしか思えないような実名を騙ったフィッシングメールが飛び交っています。
攻撃者が狙うのは、企業の情報システム部門の担当者とCIO(情報システム部門の最高責任者)。
運試しのようなサーバの脆弱性を突く方法ではなく、確実性の高い AI を使ったおれおれ詐欺のようなソーシャルエンジニアリングにより、情報システム部門の個人情報を入手した上で、サーバのルート情報を入手すれば、いとも簡単に侵入出来、サーバをロックし、情報も、金銭も取り放題です。
先のリスク対策ドットコムでお伝えした投稿(第 30 回サイバーセキュリティの統制が甘すぎる)に関連し、企業における情報システム部門の組織と個人情報は絶対に漏れてはいけない極秘情報になってきました。
統制の実効性を上げるためには、彼らの個人情報を徹底して外部に流出させない、少なくとも、一般従業員とは異なる厳格な情報統制が必要です。
例えば、SNS は一切利用禁止です。情報システム部門の担当者は、IT に優れているので、SNS の利用方法は理解していると考えがちですが、そこに大きなリスクがあります。
今や、生成 AI による情報検索機能で、SNS を通し、〇〇会社の情報システム部門の担当者を割り出すことも可能な時代。
SNS 上で職場の不満を漏らす彼らに、犯罪者は、1億円以上の暗号通貨による内部犯行の誘いを掛け、例えば、メールに仕込まれた爆弾を踏んでもらう、あるいは同僚のアカウントを乗っ取らせるという手法により、内部から攻撃を仕掛けることを考えるかもしれません。恐らく、米国の超大手 IT 企業のほとんどは、この手の内部犯行を経験しており、日本の上場企業に対しても、内部犯行対策を強く求められる状況です。
何度も申し上げます、大企業の情報システム部門の担当者の個人情報の徹底管理と内部犯行への対応( AI による自動検出機能など)は、直ぐにでも対処してください。