ここ最近猛威を振るっているコンピューターウイルス。
特にエモテットというマルウェアが2022年に入ってから猛威を振るっています。
2023年3月に入ってからもまたエモテットが再上陸したとのニュースも入ってきています。
コンピューターウイルスの他にも、
・スマートフォンやPCから情報漏洩 ・クレジットカードが不正利用 ・SNSのアカウントの乗っ取り ・ランサムウェアによる身代金の要求
など、数々の巧妙な手口で犯罪を企む者もいるので、気づかないうちに個人情報や機密情報が盗み取られていたなんてこともあるんです。
そのため、自ら知識をつけて、未然にセキュリティについて学習することがとても大事になってきます。
学習しないとどんなリスクがあるのですか?
これは一例ですが、「情報漏洩による信用失墜」や「謝罪」、「再発防止対策の対応」などに時間と労力がかかる場合があります。
被害にあったら、ものすごく大変ですね...
セキュリティについて知らなかったでは済まされないですね。
この記事では、Udemyで学べる情報セキュリティのおすすめコースを紹介していきます。
個人の人はもちろん、社内でシステムを運用している情報システム部の担当者の方にもおすすめですので、ぜひ参考にしてみてください。
マルウェアやランサムウェアなどのウイルスや個人情報の漏洩が起こらないように学習していきましょう!!
他人事ではないセキュリティの脅威
IPA(情報処理推進機構)が2023年1月25日に「情報セキュリティ10大脅威 2023」を公開しました。
以下の表を見ると、「情報を盗み取る」、「不正利用」などのキーワードが多くなってきました。
表1 IPA 「情報セキュリティ10大脅威 2023」より
「個人向け」と「組織向け」で脅威が違うんですね。
そうですね。
個人と組織では、PCやスマホなどの利用目的や利用人数も異なるので、脅威も異なってきます。
日本のIT国家戦略を技術面・人材面から支えるために、2004年1月5日に設立された独立行政法人で、1970年に設立された特別認可法人「情報処理振興事業協会」がその前身である。
主に次のことを目的として活動している。
1.情報セキュリティ対策の実現
2.IT人材の育成
3.IT社会の動向調査、分析、基盤構築
(参照:大塚商会 IT用語辞典)
最恐マルウェア「EMOTET(エモテット)」の被害が急増
2021年11月あたりから、また、マルウェア「エモテット」が猛威を振るっています。
IPAによると、日本でも2019年から被害が発見されるようになりました。
2023年3からまた被害が出始めています。
EMOTET(エモテット)の特徴
エモテットの特徴を紹介しておきます。
・取引先や知人を装ったメールを送り付ける
・社内や取引先にウイルスメールを拡散する
・別のマルウェア・ランサムウェアに2次感染する
・メール本文とアドレス帳の情報が窃取される
「ばらまき型のウイルス」で、取引先や知人になりすましてメールが送付されてきます。
誤って添付ファイルを開いてしまうと、アドレス帳やメール本文などが盗まれます。
他人事ではなく、先日、私の会社の取引先でもウイルス被害の連絡を受けたと連絡がありました。
同じ物流センター内のある会社はウイルスに感染し、その2次被害で、物流システムが停止したそうです。
以下では、社内で確認されたエモテットのメールを2つ紹介します。
EMOTET(エモテット)メールの例その①
1つ目の特徴は、本文が英語なので、いかにも怪しいメールなのですが、署名に取引先の名前やメールアドレスがあるので、うっかり添付ファイルを開いてしまう。
①添付ファイルが不規則な数字の羅列になっている
②Fromのアドレスと署名のアドレスが異なる
③添付ファイルとパスワードを1つのメールで教えてくる
④取引先の名前やメールアドレスを名乗る
EMOTET(エモテット)メールの例その②
①Fromのアドレスと署名のアドレスが異なる
②過去のメールを流用される
③添付ファイルとパスワードを1つのメールで教えてくる
エモテットの感染はチェックツールで確認が可能
JPCERT/CCより、Emotet感染有無の確認を行うツール「EmoCheck」がリリースされています。
ダウンロードして実行すると、感染しているか確認が可能です。
以下のURLからダウンロード可能です。
エモテット感染チェックツールをダウンロードします。
1.「emocheck_v2.4_x64.exe」をクリックします。
※最新のバージョンはv.2.4になっています
2.ダウンロードしたファイルをクリックします。
3.「EmoCheck」が表示されます。
表示された時点で自動で感染チェックを行います。
4.感染していない場合は「Emotetは検知されませんでした」と表示されます。
感染している場合は「Emotetのプロセスが見つかりました」と表示されます。
【注意】エモテット感染チェックツールはエモテットに感染しているか判断するだけのツールなので、ネットワークからの隔離や駆除等の対応は別途必要になります。
危険なのはウイルスだけじゃない
個人情報や機密情報の漏洩はウイルスからだけではありません。
私も会社でプライバシーマークの教育担当者として、教える立場なのですが、以下に1例を紹介したいと思います。
・フィッシング詐欺で、IDやパスワード、クレジット情報を盗まれる ・メールを誤送信してしまった(個人情報にPWを付けず、暗号化せず) ・社員がお金欲しさに名簿を売ってしまった ・スマホにダウンロードしたアプリから情報を抜き取られていた
情報漏洩にもいろいろなパターンがあるんですね。
人間心理を突いたものだったり、お金欲しさだったりと、理由はさまざまです。
よくある脅威のニュースを調べてみた
過去に起こった個人情報の漏洩ニュースを調べてみました。
よく聞いたことがある有名企業でも脅威(情報漏洩等)の事故を起こしています。
自分の情報が漏洩していたらと考えると、謝罪だけではすまされないですよね。
サイバー攻撃による個人情報流出
ハッカー集団やネットワークに長けた人がシステムの脆弱性をついて、ネットワークに侵入して個人情報を盗った事件です。
| 企業 | 件数 | 原因 | 漏洩内容 |
| 株式会社エイチ・アイ・エス | 最大1,846名 | サイバー攻撃 | 同社のベトナム法人のファイルサーバーから氏名、生年月日、性別、パスポート情報を不正に引き出された可能性があると公表。 |
| 理化学研究所 | 約1万4000件 | サイバー攻撃 | 理研が利用している学習管理システムの脆弱性を突かれ、データベースに登録していた約1万4000件の個人情報が流出した可能性が高いと認識しているとのこと。 |
| 株式会社ユピテル | 405,576件 | サイバー攻撃 | 2017年10月に最初のサーバーへの不正アクセスを確認。 2021年5月「金銭を要求」の脅迫メールを当社関係者が受信したことから 警察、個人情報保護委員会に本件を報告。 |
従業員による顧客情報の不正流出
従業員が自分の利益のためや、ルールを破り、顧客情報を外部に持ち出した事件です。
| 企業 | 件数 | 原因 | 漏洩内容 |
| 株式会社東急コミュニティー | 5,000件 | 不正持ち出し | 元従業員が社内業務管理システムからマンション名、室番号、氏名、住所、電話番号等を持ち出し、第三者の法人へ流出させる |
| 金沢市立病院 | 1,726件 | 患者情報等持出し | 同病院内のシステム保守管理業務に従事する業務委託社員が、患者情報などを紙媒体やUSBにコピーし持ち出していた。 |
メールの誤送信
メールの送信先を誤って送信したり、一斉送信をToで送信してしまい、他の顧客のメールアドレスが他の企業に漏洩してしまった事件です。
| 企業 | 件数 | 原因 | 漏洩内容 |
| 沖縄県 | 3,000件 | メール誤送信 | 試験日程の変更を連絡するメールを送信する際、メールの宛先を「Bcc」とすべきところ、「TO」として送信した結果、メールを受信した受験者のメールアドレスが他の受信者からも見られる状態になるという事態が発生しました。 |
| 神奈川銀行 | 11,941件 | メール誤送信 | 「お客さま名」「住所」「お客さま番号」「業種」「売上高」「貸 出残高」「融資実行額」などを誤送信し、個別にお詫びと経緯の説明を行っていくとしている。 |
| 横浜銀行 | 41,729件 | メール誤送信 | 「カナ氏名」「性別」「生年月日」「電話番号」「メールアドレス」「はま Pay ログイン ID」「店番号」「口座番号」など。 別途個別に連絡し、事態の説明とお詫 びをしていくという。 |
情報セキュリティは誰も教えてくれない
ウイルスや不正アクセスは待ってはくれません。
「よくある脅威のニュース」でも紹介しましたが、有名企業や銀行でも「メール誤送信」や「個人情報の不正持ち出し」などの事故が起こります。
大手やセキュリティ対策が万全な企業以外は、意外と情報セキュリティ教育について誰も教えてくれないのが現状です。
そんな方のために、以下ではUdemyで学べるおすすめのコースを紹介します。
Udemyで学べるおすすめの情報セキュリティコース
今回おすすめするUdemyの無料講座は、以下の4講座になります。
もう情報セキュリティ対策で悩まない!業務に直結する情報セキュリティの考え方・知識・常識・対策方法を習得しよう
この講座の特徴としては、セキュリティを網羅的に学べる点です。
また、サイバー攻撃の技術的な知識を身につけたい方にも有効です。
セキュリティ関連の書籍が難しいと感じる方には、この講座をおすすめします。
| コース概要 | セキュリティ担当者になった。専門家ではないが正しい知識を身につけたい。セキュリティは自己防衛だ。 対策技術や製品はいったい何を防いでいるのか。 これらをトピックごとに実践的な情報で学びます。 セキュリティ研修の自習教材としても最適です。 |
| 学習内容 | ・社会人として必要なセキュリティリテラシー ・セキュリティに深くかかわるインターネット技術 ・企業内CSIRTやセキュリティ担当者を任されたときの基本的な考え方 ・現実に起きている攻撃の技術や背景情報 ・リスク管理とインシデント対応のポイント ・関連する法律の概要と問題点 |
| 講師 | 中尾 真二 先生 |
| 学習時間 | 8時間 |
| ラベル |  |
| 評価 | 4.1★(654件の評価)2,788人の受講生 |
| 学習期間 | 学習期間の制限なし |
・ニュース等で流れてくるセキュリティ関連トピックを理解したい人
・セキュリティ担当者を任された人
・ビジネススキルとしてのセキュリティリテラシーを身につけたい人
・新入社員や就職に向けて実践的なセキュリティ知識を身につけておきたい人
・セキュリティに興味はあるが、どこから始めればいいかわからない人
・サイバー攻撃の技術的な理解(インターネット・ウェブ)をしたい人
【情報セキュリティ基礎】ハッカーの視点から見るセキュリティ対策の必要性
この講座の特徴としては、第一線で活躍するホワイトハッカーである講師がセキュリティ対策について解説してくれる点です。
「マルウェア」、「フィッシング」、「スパムメール」などを基本から理解したい方は、ぜひおすすめです。
| コース概要 | メールやSNS、WiFIなどの身近なネットワークサービスに潜む脅威とリテラシー |
| 学習内容 | ・ネットワークセキュリティに対する意識向上 ・不審なメールに対応する技術 ・職場におけるセキュリティ意識の向上 ・SNSの安全な使い方 ・WiFIの安全な使い方 |
| 講師 | 阿部ひろき blksmith 先生 |
| 学習時間 | 1時間 |
| ラベル |  |
| 評価 | 4.1★(1,046件の評価)2,480人の受講生 |
| 学習期間 | 学習期間の制限なし |
・ネットワークサービスを利用するすべての人
[アニメで学ぶ]初心者向け「情報セキュリティの基本」と「サイバー攻撃の恐怖」
この講座の特徴としては、セキュリティについて、アニメで分かりやすく解説している点です。
情報セキュリティの重要性を短時間で理解したり、中小企業のシステム担当者が社員にセキュリティの普及教育をするための教材にぴったりです。
| コース概要 | 情報セキュリティとサイバーセキュリティの基本をわかりやすくアニメで解説します。 また最終章では、サイバー攻撃の手口を知ることで、情報漏えいの予防意識が高められます。 |
| 学習内容 |
・情報セキュリティの基礎知識 |
| 講師 | グラブデザイン 共感講座® 先生 |
| 学習時間 | 1時間 |
| ラベル | |
| 評価 | 4.2★(1,069件の評価)2,882人の受講生 |
| 学習期間 | 学習期間の制限なし |
・情報セキュリティの初期トレーニング
・PCやスマートフォンのセキュリティをつけたい方
・新社会人や大学生などの方
・情報セキュリティについて経験豊富な方には向きません。
・ISMS(ISO27001)取得企業のセキュリティ教育
・Pマーク取得企業のセキュリティ教育
・社会人マナー
サイバーセキュリティ入門、初めの一歩!
この講座の特徴としては、サイバーセキュリティーの初歩からわかりやすく教えてくれる点です。
セキュリティの基本知識から対策まで体系的に学びたい方におすすめのコースです。
| コース概要 | ~サイバー攻撃から身を守るために知っておきたい基礎知識と対策~ |
| 学習内容 | ・基本的なセキュリティ知識を学習する ・サイバー攻撃の種類を理解する ・誰が何のために攻撃を仕掛けるのかを知り、何に注意を払うべきかを理解する ・サイバー攻撃のリスクを軽減するために、個人で実行できる対策を学ぶ |
| 講師 | 正木 美奈子 先生 |
| 学習時間 | 2時間40分 |
| ラベル | |
| 評価 | 4.5★(11件の評価)61人の受講生 |
| 学習期間 | 学習期間の制限なし |
・これからサイバーセキュリティの知識を身につけたい方
・職場や家庭での基礎的なセキュリティ対策を学びたい方
・サイバーセキュリティについて経験豊富な方には向きません
まとめ
ウイルスや不正アクセスなどで個人情報などを盗み取られたり、クレジット情報を不正利用されたりするなど、手口が巧妙化してきているので、セキュリティ対策の重要性が高まってきました。
しかし、自発的に学習しない限り、セキュリティについては学ぶ機会は少ないのが現状です。
まずは、Udemyで情報セキュリティについて学んでみてはいかがでしょうか?
