いまさら聞けない！組織や社会による対策

サイバー攻撃の被害報道を見かけるたびに恐怖や不安を感じる方もいると思いますが、皆様の会社以外の組織や社会により情報セキュリティ対策が行われるケースもあります。
今回は組織や社会により行われたセキュリティ対策を３つご紹介いたします。

※なお、本記事は分かりやすさを重視し、技術的な事項は大幅に要約して説明をいたします。技術的に正しい事項を理解する必要がある場合は、別途、専門書等でご確認をお願いいたします。

●「クレジットカード番号は漏えいしていません」の理由

企業がサイバー攻撃を受けたニュースを見ると「なお、クレジットカード情報は漏えいしていません」という記載を目にすると思います。
その理由は、企業にはクレジットカード番号ではなく、トークンという別の文字列を保存して本人確認をしているため、カード番号の漏洩が発生しづらいです。

図解すると以下です。クレジットカード番号の情報は、利用者とカード会社（決済代行会社）の間でやり取りされ、店舗に残るのはトークンのみとなります。

なお、すべてのカード決済がこの方式を採用しているわけではありません、心配な場合は店舗（企業）に確認しましょう。

●Wi-Fiでは安全性が無い通信方式は禁止されている

Wi-Fiの通信方式は年々改良が進み、適宜安全性に対する問題を確認しており、最新のWi-FiルータではWEP・WPAは禁止されている。
(業界団体は、WEP・WPA機能を搭載した製品を認証しません。)

●Emotetの企業努力による排除

2020年や2022年に大流行した「Emotet」というウイルスは、メールに添付されているオフィスファイルのマクロ（作業を自動処理する等ができるプログラム）を悪用して感染していました。

対策として、Microsoft社が2022年以降に「インターネットから取得したOfficeファイルのマクロを、デフォルトでブロック」したことにより、大幅に被害が減りました。

しかし上記の仕様を回避するため「ドキュメントを閲覧するのに特定の操作が必要」というような主旨の内容のメッセージが表示され、マクロを実行させようとする手口もあるようです。

参考：IPA「Emotet（エモテット）関連情報」