Emotetに代表されるコンピュータウィルスが猛威を奮っています。
職場でも1台のPCがこのZIPファイルを開いてしまい、ウィルスが活動。その直後にアンチウィルスによって捕獲され事なきを得ました。
後日、そのアンチウィルスのNOCからベンダーさんを通じてEmotetに感染しているので至急対応するようにとの連絡が入りました。
その後の対応はご想像のとおりです。
さて、今回の暗号化ZIPファイルのメール添付に対する注意喚起を怠っていたわけではありません。常日頃から、最新のウィルス情報を告知しユーザーエンドで取るべき対策について発信してきていますが、結局、そのような対策は人間相手には全く無力です。
怪しいメール、おかしい日本文、心当たりの無い取引内容。
後から考えると絶対に引っかからないと気がつくはずですが、その時は「おかしい?」と思ってもやっぱり開くんです。
「なんかわからないから内容を確認してみよう」
それが、人間の心理です!
セキュリティ対策に関わる身ですが、ヒューマンエラーはゼロにはなりません!
そんなこんなで、2020年から内閣府発動で、暗号化ZIPファイルをメールで送って解答パスワードを別メールで送るという、いわゆる「PPAP」はセキュリテ効果はゼロなのでやめましょう!と呼びかけています。
2022年、Emotetがこれだけ感染したことは未だに多くの企業で「PPAP」が使われている証拠。
それじゃ、暗号化ZIPファイルをメール添付ではなくて、クラウドストレージにアップして、相手先はそこからダウンロードしてもらおう!メール添付しないから安全でしょう。なんて気の抜けた対応に走るところが多い気がします。
でも、待って!いくらクラウドストレージ経由にしたってメール添付方法と何も違わないでしょう!
ファイルをメール添付からクラウド経由になっただけで、ログインURLとパスワードはメールで相手に届くんだよね!何が違う?
途中で、メールを搾取されたら誰でもログインできてDLも解凍もできるじゃない!
それに、クラウドストレージを使う時、相手のメールアドレスのドメイン名をタイプミスしたら、知らない第三者に送るのと同じこと。Gmailアドレスを使っていれば簡単に第三者に届くことぐらい想像できちゃう。
メール添付しないでクラウド経由にしよう!と思っている情報システム部は「ばかじゃないの?」
ついでに、そのような提案をしてくるベンダーさんも同罪です。