年金の情報が漏れたとか騒がれてるが一般企業も同レベルなので今は標的型攻撃の対象になってないだけで、狙われたら簡単にやられると思う。exe形式の実行ファイルについては安全が確認されているもの以外は実行してはいけないのは当たり前なんだけどマジでそれをやろうとするとバイナリのハッシュ値を事前にデータベース化して管理して許可されたものだけを実行するようにしないといけない。そうなると世間に出回っているフリーソフトとか全部許可制にしないといけない。アップデート等でバイナリが更新されるたびに解析して登録しないといけないので大変だけどそういうサービスは需要があるきがする。
そもそも出回っているフリーソフトの中にも怪しいものはあるので、そうすべきなんだけど。俺の使っている中華製のOrbitとかいうダウンロードツールも怪しい(前にDDoS攻撃の発信元という噂になってた)から使わないほうがいいんだけど、FWで外向きの通信を許可しない設定にして使ってる。その辺のセキュリティの知識まで一般の人に要求するのは無理なのでバイナリのハッシュ値ベースで許可制にするしかない。管理側は大変だけど、それ以外は無理。
exe以外でも普通にウィルスとかオフィス形式ファイルに組み込まれているものもあるので個別に対策がいるんだけど。実際exeを実行しないだけで結構防げると思う。後はWordとかExcelみたいなファイルはクラウド上での利用だけにしてローカルに落とさないとかしないといけない。面倒だけど。