新型コロナはテレワークのリスクも顕在化させた

IPAが毎年発表している「情報セキュリティ10大脅威」(https://www.ipa.go.jp/security/vuln/10threats2021.html)にテレワーク等を狙った攻撃がランクインした。もちろん、過去に「テレワーク」に関連した攻撃がランクに入ったことはないが、この1年の状況を見れば、特段驚く内容ではないかもしれない。多くの人は「まあ、そうだろうな」といった反応なのではないか。

しかし、大方の予想どおりでサプライズがないからといって安心できる問題ではない。VPNを狙った攻撃、自宅と会社のネットワーク環境、システム環境の違いから起きた情報漏えい、マルウェア被害は実際に起きている(だから10大脅威に入ったわけだ)。実際にどういう被害が起きているのか。

どんな被害が起きたのかは、「10大脅威」にも書かれているが、テレワークにまつわる脅威は、オンライン会議やリモート作業に起因するものだ。

「情報セキュリティ10大脅威 2021」:(IPAプレスリリースよりhttps://www.ipa.go.jp/about/press/20210127.html

オンライン会議が生むリスク

筆頭は、Zoomなどオンライン会議サービスの不備、不適切な設定等による情報漏えいや不正アクセス(許可していない者の参加)だろう。2020年前半、とくにZoomの利用が急激に増えたため、サービス提供側、利用者側双方に知見やリテラシーが不足しているような状態に陥った。不注意による会議の公開設定、部外者の乱入、情報漏えいなどが問題となった。

大企業や金融機関などは、テレワークやリモートワークにVPN(仮想ネットワーク)回線を利用するなど、セキュリティ対策をとったが、リモートデスクトップのプロトコルにかかわる脆弱性を利用した攻撃、VPN装置の脆弱性をついた攻撃が確認されている。

VPNはソフトウェアだけでも実現できるが、パケットの暗号化処理や鍵処理が必要なため、ネットワークパフォーマンスを維持するため、専用ハードウェア(VPN対応ルータまたはVPN装置)を利用することが多い。Pulse SecureやFortinetのVPN製品について、脆弱性が存在していた。パンデミックによるVPNニーズの高まりから、攻撃者の標的となってしまった。警察庁や三菱電機がこの被害を受けたとされている。

利用するPCが自宅の私物PCやデバイスであることが多く、BYODやシャドーITで起きた問題が、再び顕在化した。本来持ち出しできないデータが、社員の自宅PCに複製されたり、社内環境と違う設定で稼働している自宅PCがマルウェアに感染して、そのPCの情報が漏えいしたり、さらには汚染デバイスから会社のネットワークやサーバーへの侵入を許す、といった具合だ。

フィッシングや便乗詐欺、ランサムウェアにも注意

パンデミックや感染情報に便乗した詐欺メール、フィッシングメール、ソーシャルエンジニアリングへの注意喚起もだされた。これらの詐欺メールは、ばらまき型のものばかりではなくBEC(ビジネスメール詐欺)のような高度にしくまれたメールにも利用されることがある。普段慣れていない感染情報のメールや連絡が、上司、取引先、監督当局を詐称してくると騙される可能性が高まる。

国内では、昨年以来猛威を奮っている「emotet」は、実在のアカウントを利用した偽装メールで添付を開封させ、マルウェアを感染させる。さらに感染PCの情報を使って被害者を拡大させていくものだ。emotetの攻撃メールについても、新型コロナウイルス関連のものが確認されている。emotetは自己感染機能を持っていたため、非常に多くの企業が被害を受けている。

医療機関や製薬会社、政府関連機関を狙ったランサムウェアも活発化した。これらのランサムウェアは、情報を暗号化する前に、データの複製を持ち出しておいて、身代金を払わなければデータを公開する、犯罪者に売りつける、といった脅迫をするなど暴露型ランサムウェアが出現するなど悪質化している。

標的が新型コロナウイルスに関連の個人情報、ワクチン情報を持っていることを知っていて、あえて高額な身代金を要求する。昨年、ドイツでは医療機関がランサムウェアの攻撃を受け、治療や手術ができなくなり重病患者が別病院に搬送中に死亡するという事故が起きている。オックスフォード大学は、COVID-19関連のラボがランサムウェアの被害を受けた。

ランサムウェアは、「10大脅威(組織向け)」の1位にランク入りしている項目だが、テレワーク環境がランサムウェア感染の入口になる可能性がある。

対策のポイントは教育・予防策・事後対応・体制の見直しの4つ

IPAが公開した資料は、以上のような脅威の対策についても書かれている。対策のポイントは、情報リテラシーの向上、予防策、被害受けた後の対応、組織や体制の見直しの4つに整理できる。

リテラシーの向上は、セキュリティ研修や教育・啓発活動だが、リモートワークなど業務の変化に対応したプログラムの導入などによって取り組む。

予防策としては、VPN、シンクライアント、ゼロトラストネットワークなどリモート接続やテレワークに対応したネットワーク環境の整備が考えられる。同様に、PCやスマートフォンなど業務デバイスの運用ルールや機材の整備を行う。ソフトウェアや機器についても適正なものかの資産管理、脆弱性管理も見直す。

予防的見地から、被害の早期発見のために、ログ監視、ネットワーク監視、UTM(統合脅威管理)や各種ファイアウォールの見直しも有効だ。

テレワークによって業務環境がオフィスに限定できなくなるので、パッチ管理、インシデント対応体制、連絡手順などの整備も必要となるはずだ。経営層は、ポリシーの作成、必要な予算の確保、体制づくりを行う。経営層が、事故が起きる前に率先して取り組むべき項目だ。

対策をまとめると、個々の対策そのものに新しいものはない。ゼロトラストネットワークなど、これまで一般的でなかったソリューションが追加要素となっているが、むしろ、これまでのセキュリティ対策の改善サイクルに準じたものといえる。状況や環境が変わった場合、リスク分析と評価を行い、必要なルールや対応策を導入するのは、セキュリティ管理業務そのものだ。

IPAは多角的にテレワークの状況を調査しており「テレワークとIT業務委託のセキュリティ実態調査、組織編の中間報告」も発表している:(IPAプレスリリースよりhttps://www.ipa.go.jp/about/press/20210128.html

テレワークに役立つソリューションは
ソリューションファインダー」で見つけられます!

貴社に必要なソリューションを簡単に検索できる「ソリューションファインダー」なら、セキュリティ強化に適したソリューションを見つけることができます。

筆者プロフィール:中尾 真二(なかおしんじ)

フリーランスのライター、エディター。アスキーの書籍編集から始まり、翻訳や執筆、取材などを紙、ウェブを問わずこなす。IT系が多いが、たまに自動車関連の媒体で執筆することもある。インターネット(とは当時は言わなかったが)はUUCP(Unix to Unix Copy Protocol)の頃から使っている。