事故から学ぶ

迷惑メール(なりすましメール)に関するお詫びと注意喚起 株式会社西村製作所

事故概要

業種 株式会社西村製作所
発生時期 2019/11/28
漏えい人数 未発表
事故概要

当社の社名や社員を詐称した「迷惑メール(なりすましメール)」が発信されていることが確認されました。「迷惑メール(なりすましメール)」は、当社が送信したものではありません。
京都府警には報告し、二次的被害の防止を最優先に取り組んでおります。
1.対策
尚、情報流出が確認されたパソコンは、すべてのネットワークから隔離し二次拡大防止措置はとっております。また、社内の対象となるパソコンすべての詳細な調査を実施しています。
2.対処について
当社からのメールで、身に覚えのないメールや業務に無関係なメールを受信された場合には、メール中の URL へのアクセス・添付ファイル の開封は行わず、削除いただきますようお願いいたします。
3. 再発防止策について
当社におきましては、情報セキュリティには十分注意しておりますが、不正アクセスの防止など引き続き対策を強化しておりますので、ご理解とご協力をお願い致します。

引用元 株式会社西村製作所

■ 事故原因

事故の原因はチェックリストの下記項目が該当すると推察します。

チェックリストコード:
(第20条)安全管理措置 システム管理(不正アクセス防止)

チェックリストにある要求ルール:

システムに対する脅威や攻撃への防止策と監視体制を構築し、直ちに対抗策を構築していますか?
自社のシステムに対する新たな脅威や攻撃の手口を知り対策を社内共有し、対策行動の適格性と検証をする仕組みはできていますか?
Windows Update(マイクロソフト社が提供しているウィンドウズパソコンの不具合を修正するプログラム)を行うなどのように、常にOSや、アプリケーションソフトウェアを最新化して安全な状態にしていますか?
パソコンにウイルス対策ソフトを入れていますか?さらにウイルス定義ファイル(コンピュータウイルスを検出するためのデータベースファイル「パターンファイル」とも呼ばれる)を自動更新するなどのように、パソコンをウイルスから守るための対策を行っていますか?

■ 推奨対策

対策:

不正アクセスは、とくに有名サイトや大勢の会員サイトは毎日狙われており、その不正アクセスの手段も常に変化を遂げている。IT担当個人や部署だけではその知識量が不足することも知られており、安全性を担保するためには、専門サービス会社との連携をすべきである。
自社内PCのウイルス対策ソフトの最新化をタイムリーに行うこと。

具体例:

ITサービスでの安全性確認は、既知の問題に対する確認しかできない。従って確認者の知識向上が不可欠になるが、ここに力を入れる企業が少ないのも問題である。せめてニュースに取り上げられるサイバーアタックのキーワードだけは必ず押さえておき、利用しているクラウドサービス担当者とセキュリティ対策について、責任ある回答を常に得ておくべきであるし、セキュリティセミナーなどにも積極的に参加させなければならない。職員教育とは「個人情報を守りましょう」という研修だけではないことを、職場の幹部自身が理解しなければならない。

ご入会のお手続きはこちら

会費のお支払い方法は、クレジットカード払いと口座振替の2種類お選びいただけます。 (会費のお支払方法により、入会手続きが異なります。) 詳しくは、「ご入会の流れについて」をご確認ください。