ぐるなび不正ログインに学ぶ：パスワードリスト攻撃と中小企業の実務対策

ぐるなびは、7月11日〜14日の期間、外部で漏えいしたID/パスワードを使い回して試す「パスワードリスト攻撃」が会員ログイン画面で確認され、対象会員のパスワードは強制リセット・個別通知、7月14日に個人情報保護委員会へ報告済みと公表されました（クレカ情報は保持せず漏えいなし）。発表は8月20日付。これは大手だけの話ではなく、ログイン機能のある“あらゆる中小サイト”が日常的に受けるリスクです。  

何が起きた？（用語解説）

パスワードリスト攻撃＝他社サービスから流出した認証情報の“総当たり”。利用者が同じパスワードを使い回していると、一撃で突破されます。UIの脆弱性ではなく“人の習慣”を突くのが厄介な点です。 

企業側の即効対策（5つだけは最低限）
1.　MFA（多要素認証）を既定化：TOTP/認証アプリを標準に。SMSのみは補助に。
2.　パスワード使い回し検知：既知漏えいハッシュとの照合・強制更新フローを実装。
3.　ログイン防御：リスクベース認証、試行回数制限、IP評判・ボット対策、reCAPTCHA等。
4.　異常検知と通知：深夜帯や新端末・新地域からの成功ログインは即時アラート。
5.　利用者教育：管理者・社員向けに「長くて使い回さない」原則とパスワードマネージャの利用を徹底。

なぜ「今」なのか

国内ではこの上半期もランサムやアカウント侵害が増加傾向。まず“侵入の入口”である認証強化に投資するのが、費用対効果の高い守りです。自社サイトにログイン機能がある、SaaSを社外公開している——いずれも他人事ではありません。 

まとめ

技術的には地味でも、MFA＋検知＋教育の三点セットが最短の防御線。社内ポータルや予約サイト、会員管理のどこに穴があるか、今日中に棚卸ししておきましょう。

ご不明な点がありましたら、いつでもお気軽にお問い合わせください。最新の対策や診断をご希望の方は、ぜひ一度ご相談ください。中小企業の情報セキュリティ強化を進めてまいりましょう！

社員教育の落とし穴？情報セキュリティ研修を「やりっぱなし」にしない工夫

社内で情報セキュリティ研修を実施しても、数日後には内容を忘れてしまう――そんな経験はありませんか？
実はこれは珍しいことではなく、人は新しく学んだことを一度で定着させるのが苦手だからです。特にセキュリティ研修は「普段の業務と直結しない」と感じられやすく、記憶の優先順位が下がりがちです。

しかし、攻撃者は容赦ありません。たとえば最近増えている「なりすましメール」や「巧妙な添付ファイル付きメール」は、社員一人がクリックしてしまうだけで、組織全体に被害が及ぶ可能性があります。だからこそ、「学んだ知識を行動につなげる仕組みづくり」が欠かせないのです。

具体的には、次の3つの工夫が効果的です。

1.　小分けにした学びを繰り返す
一度の長い研修よりも、月1回の短時間セッションや社内ニュースでの小ネタ配信が効果的です。

2.　実体験に近い訓練を行う
模擬フィッシングメール（※社員にテスト用の偽メールを送る訓練）を組み合わせると、危険を体感的に理解できます。

3.　経営層も参加する
「うちの社長も研修に出ている」と分かれば、社員の意識はぐっと高まります。トップの姿勢が何よりのメッセージになります。

弊社では、セキュリティ研修だけでなく、不正メール訓練サービスも提供しています。訓練結果のフィードバックを通じて「なぜ引っかかったのか」を分析し、改善策を具体的に示すことが可能です。単なる教育イベントで終わらせず、社内文化として根付かせることが、最終的なゴールです。

セキュリティは一朝一夕で強化できるものではありません。継続的に「気づき」を与え続けることが、攻撃に強い組織づくりの第一歩です。

「中小企業だから大丈夫」と油断していませんか？
明日はあなたの会社が狙われるかもしれません。

ご不明な点や最新の対策については、ぜひお気軽にご相談ください。

中小企業が見落としがちな「社内セキュリティルール」の落とし穴

中小企業の経営者の方からよく聞くのが、
「社員には注意するよう伝えているが、どこまでやれば十分かわからない」という声です。

実際、社内でルールを作ったとしても、形骸化してしまい、現場では守られていないことが多々あります。たとえば――
•　USBメモリの使用禁止：禁止を掲げても、現場で「ちょっとだけなら」と使われてしまう
•　パスワードの定期変更：ルールはあるが、結局「1234」や「password」など形だけの更新にとどまる
•　メールの注意喚起：全社員に通知しても、実際に不審メールを見抜ける人は少ない

このような「ルールと実態の乖離」が、サイバー攻撃の入口になっているのです。

なぜルールが守られないのか？

多くの場合、ルールが「現場感覚とかけ離れている」ことが原因です。
たとえば、「USBを全面禁止」ではなく「どうしても必要な場合は申請を出す」など、現実的な運用に落とし込むことが大切です。

また、ルールは一度作って終わりではなく、定期的な見直しが欠かせません。クラウド利用やテレワークの拡大に伴い、数年前のルールが今の働き方に合っていないケースも少なくありません。

実効性を高めるための3ステップ

1.　社員に分かりやすい言葉で周知
専門用語を避け、イラストや具体例を交えて伝える。

2.　定期的な訓練を実施
不正メール訓練やセキュリティ研修を通じて「体験」することで身につく。

3.　仕組みで守る
CheckPoint社のUTMなど、外部からの攻撃を自動的にブロックする仕組みを導入し、「人頼み」の部分を減らす。

特に、社員教育と技術的な防御をバランスよく組み合わせることがポイントです。
中小企業だからこそ、「人」と「仕組み」の両輪を意識したセキュリティ対策が求められます。

ご不明な点がありましたら、いつでもお気軽にお問い合わせください。
中小企業の情報セキュリティ強化を一緒に進めてまいりましょう！

無料相談はこちら
https://www.gatewaylink.co.jp/inquiry_free/