「 3分でわかる情報セキュリティ 」について
杏林学園の全教職員を対象とした、情報セキュリティ強化のための連載です。患者・学生・教職員の情報を守るため、閲覧の程よろしくお願いいたします。また、周りの教職員への周知にご協力いただければ幸いです。全記事と詳細は こちら から読むことができます。お問い合わせは総合情報センター(井の頭6232)まで。
標的型攻撃とは・・・
8月21日にksメールを所持する教職員を対象に標的型攻撃メール訓練を実施しました。
開封率は、9.5%でした。
今年2月に実施した際の開封率12.4%からは2.9%改善しましたが、依然高い水準です。
標的型攻撃とは特定の組織を狙ったサイバー攻撃の一種です。個人情報や機密情報の窃取を目的とした悪質な行為です。巧妙な文章で誘導し、記載されているリンク先のページで個人情報等が窃取されたり、添付ファイルをクリックした結果ウイルスに感染したりすることがあります。PCがウイルスに感染すると個人情報・機密情報が流出する等の被害に繋がります。
また、ウイルスに感染したPCを介し、学内ネットワークへ被害が拡大することがあります。
そのようなことがないよう情報セキュリティ意識向上のため、教職員を対象に標的型攻撃を模した訓練を実施しています。
今回は、先日の訓練で使用したメールを基に怪しいポイントを解説します。
以下がそのメールです。
- 補足
① 身に覚えがない相手、メールの内容に注意してください
② 聞いたことがない企業等は、ネット検索等で調べましょう
③⑤ ドメインが組織名と全く一致しない
④ 最後の文字が「n」ではなく、「m」となっている
⑥ アクセス先が巧妙に作られた偽サイトの場合があります
⑦ 情報が記載されていても、不審に感じた場合は連絡しないでください
その一方で・・・
最近は、実在する企業名・ドメインを騙るメールも多くあります。但し、総合情報センターではそのような訓練は行いません。実在する企業名等で訓練を行った場合、受信者がその企業に問い合わせる可能性があり、受けた側は事実確認の必要に迫られ、業務に影響を及ぼすことになるためです。
また、関係がある企業等でも不審に感じた場合は、メール内のリンクからアクセスせず、ブックマークまたはそのサービスのマイページから内容を確認してください。
情報セキュリティ関連規程を読んでみよう
杏林の情報に関わる全員が対象のルールとして、情報セキュリティ関連規程があります。今ある規程は こちら からアクセスできます。
毎回3分セキュリティ記事の最後に、情報セキュリティ関連規程のちょっとした紹介文を記載していきます。
今回は 「 パスワードを適切に管理していますか? 」 という観点から確認事項をご紹介します。
自己の管理するパスワード等について、秘匿性が確保されるよう管理する。(杏林学園情報システム利用規程第4条第4項)
適切に管理されていないパスワードは、重大なセキュリティリスクを引き起こす可能性があります。
学内でのヒヤリハット事例に止まらず、犯罪に利用された事例も発生しています。以下のポイントを参考にパスワードを安全に管理しましょう。
- パスワードは自分の名前、電話番号、誕生日など推測されやすいものを避ける
- 長く複雑なパスワードを使用する
- パスワードの使い回しを避ける
- ブラウザにパスワードを記憶させない
- 他人とパスワードを共有しない
- 二段階認証を利用する
※本学では現在二段階認証は未導入ですが、私的に利用しているサービスで二段階認証の設定が可能であれば設定することを推奨します。
パスワード管理については、こちらも併せてご覧ください。
3分でわかる情報セキュリティ ― パスワード編 - 杏林大学 総合情報センター