5月25日、政府は新型コロナウイルスの感染拡大に伴う緊急事態宣言を、東京など首都圏の1都3県と北海道でも、31日までの期限を待たずに解除しました。緊急事態宣言の解除に伴って、テレワークを終了する企業が今後続々出てくることでしょう。しかしテレワークから職場に復帰する際、セキュリティリスクが生じる懸念があることをご存知でしょうか?
JNSA(NPO日本ネットワークセキュリティ協会)等は、一般家庭におけるネットワーク環境は企業・組織などのオフィス内のネットワーク環境と比較すると、外部からの攻撃に対してセキュリティ対策レベルが低く、マルウェアに感染しているリスクもゼロではないと警告を発しています。今回は家庭内で利用していたパソコンなどを職場で再び利用する際に想定されるリスクや、そのチェックポイントを中心にみてきていと思います。
テレワーク終了後セキュリティリスクが増大する理由
JNSAやトレンドマイクロ、その他各種セキュリティベンダーは緊急事態宣言の解除に伴い、テレワークから職場に復帰する際のセキュリティリスクに注意が必要だと発表しています。その理由としては、以下のような要因が挙げられます。
一般家庭のルーターのアクセス権での脆弱さ
企業ネットワーク内にパソコン等の機器を繋いでいた場合は、強固なファイアウォールや不正侵入検知防御システム(IPS)等、何重もの防御によってシステムが守られていました。しかし自宅でのテレワーク環境下ではそういった高度な防御体制はなく、境界防御はブロードバンドルーターのみで行われていたのではないでしょうか?ウイルス対策製品を開発するスロバキアのベンダー「ESET」は、12,000台以上の家庭用ルーターのセキュリティ状況について検証したことがあります。その際、テストを行ったルーターの15%に問題が見つかったといいます。
例えば、見破られやすいパスワードを使っており、しかもほとんどの場合、「admin」をユーザーアカウント名としてそのまま残していたことが判明しています。そして単純な攻撃シミュレーションでも、7回に1回以上がログインに成功してしまうなど、ソフトウェア脆弱性の50%以上はアクセス権に隙があったケースだということです。他にも、ユーザーがWebサイトにデータ入力を行う際に気付かれないよう、OSにコマンドを与えて不正操作を行う「OSコマンド・インジェクション」攻撃による脆弱性が40%を記録し、「クロスサイト・スクリプティング」(XSS) 攻撃の脆弱性が8%を記録したといいます。こうした攻撃を仕掛けることによって、攻撃者はルーターの設定を変更し、偽造されたクライアント側スクリプトを動作させることが可能になります。
不要なポートの開放
家庭用ルーターをデフォルト設定で運用すると、多くの場合、ネットワークサービスに内外のネットワークからアクセス可能であることが判明しています。ファイル共有サービスの通信プロトコル(SMB)に使われるTCP/445ポートや、外部からのリモートアクセスに使われるRDP(TCP/3389)といったポートは、これまでサイバー攻撃へ頻繁に利用されてきました。企業内ネットワークでは、これらのポートが外部に対して解放されていないことが多いですが、自宅環境では簡単に外部からSMBやRDPにもアクセスが可能になり、リスクを高めてしまっています。少し前猛威を振るった、Wanna Cry等のマルウェアもこれらのポートを利用しています。他にも、UPnP対応ルーターで初期設定のままSSDPが有効になっている場合、SSDPリフレクター攻撃を受けて通信障害を発生させる攻撃も報告されています。
インターネットに接続しているデバイスを検索する事ができる検索エンジン『SHODAN』を利用すれば、こうしたポートが解放されているルーター等の機器を簡単に検索できます。リモートデスクトップに使われているRDP等のポートの使用状況が、SHODAN運営者ジョン・マザリーによっても集計されています。彼によると、世界的にロックダウンが進み、テレワークが推進されて以降、これらのポートを公開するデバイス数は右肩あがりで増えてきたといいます。そしてロシアのセキュリティ企業カペルスキーも、2020年4月29日、Microsoftのリモートデスクトッププロトコル(RDP)を狙ったブルートフォース攻撃を始めとするサイバー攻撃が、3月上旬以来急増していると警告しています。
テレワーク復旧時のセキュリティチェックリスト
こうした脆弱な環境でテレワークを一定期間行っていたわけですから、既に自分のPCやシステムがマルウェアに感染しているリスクが低くはないということは理解できたと思います。そのまま通常勤務に復旧し、会社のネットワークにそれらのPCを繋ぐことは非常に危険です。トレンドマイクロは、そこで以下の2点の確認をすることが重要だと発表しています。
1. 端末がマルウェア等に感染していないか確認し、アップデートを適用させてから業務を開始する
セキュリティ及びOSアップデートは脆弱性(セキュリティ上の欠陥)を補うものです。きちんとウイルスチェックの他、アップデートも行ってから復旧しましょう。
2. 持ち込む機器を確認する
テレワークで利用した、個人が所有するPCやスマートフォン、タブレット、USBメモリーについても、格納したデータを移動する場合は社内の手順を確認し、ファイルがマルウェアに感染していないことを確かめてから利用するようにします。
さらに、JNSAでは以下のようなより細かいチェック項目を検証することを強く推奨しています。併せてチェックに役立てましょう。
1. 停止したシステムの再稼働における注意事項
- 長期間停止していたシステムの動作確認を行う
- 長期間停止していたシステム構成機器のセキュリティ対策の最新化を行う (OS・ソフトウェアの最新化、アンチウイルスソフト定義ファイルの最新化等)
2. テレワークで社外に持ち出した機器を社内ネットワークに接続する際の注意事項
- 持ち出した機器(端末や外部記憶媒体等)が紛失していないか棚卸し確認する
- 端末のセキュリティ対策が最新化されているか確認する(OS・ソフトウェアの最新化、アンチウイルスソフト定義ファイルの最新化等)
- 持ち出した機器(端末や外部記憶媒体等)がマルウェアに感染していないか確認する
- 無許可のソフトウェアがインストールされていないか確認する
- テレワーク期間中に、社内システムに不正アクセスされていないかログ等を確認する
- 社内ネットワークに接続した端末から不審な通信が行われていないか、監視を一定期間強化する
3. 緊急措置としてテレワークを許可した業務やルールを変更した業務の扱い
- 緊急措置として許可した私物端末利用(BYOD)の利用実態について確認する(私物端末のセキュリティ対策やマルウェア感染の有無、私物端末に保存されていた業務関連資料の削除確認等)
- 緊急措置としてテレワークを許可していた業務や、ルールを変更した業務のリスクを再評価する
- 再評価により、リスクが許容できると判断された業務については、引続きテレワークを継続すべく、必要に応じてセキュリティポリシー等の改訂を行うことを検討する
- 再評価により、リスクが高いと判断された業務については、一旦元の運用に戻し、テレワークができる手段を検討したうえで、テレワークの可否を判断する
4. Withコロナフェーズに向けた、業務見直しとセキュリティ対策
- 第二波など緊急事態宣言の再要請に備え、業務移行の手順、必要なサービスを整理する
- テレワークにより負荷が集中した従業員や業務の洗い出しと対応の見直しを行う
- テレワークにより負荷が集中したサービスの洗い出しと対応の見直しを行う
- テレワークにより業務効率が下がった業務の洗い出しと対応の見直しを行う
- テレワークにできなかった業務の洗い出しと今後の対応について検討する
- 脱押印のためのオンラインワークフローや電子署名サービスの導入について検討する
- 社内業務だけでなく、顧客や外部委託先との契約上、テレワーク化することができない業務やサービスについて、テレワークができる手段を検討し、顧客や外部委託先と協議の上、必要に応じて契約条件の見直しを検討する
- 今までのIT投資やセキュリティ対策の優先順位を見直し、テレワークを前提とした社内IT投資やセキュリティ対策について検討する
- テレワークを前提としたシステム構成管理やログ設定の見直しを行う
- クラウドサービスや社内外で安全かつシームレスに業務を実施するためのゼロトラストネットワークの導入を推進する
- テレワークを前提としたセキュリティインシデント発生時の体制や対応について再検討を行うと共に、そのための教育や訓練を行う
- これを機会に、リスクの再評価を行い、セキュリティポリシーにおいて形骸化した項目を見直すと共に社員等への周知やセキュリティリテラシーの向上を行う
引用:https://www.jnsa.org/telework_support/telework_security/security_list.docx
さいごに
ルーターに接続して管理画面で設定を変更したり、ログを確認したりすることは、一般家庭のユーザーはまず行いません。そのため、悪用されていることに気がつく可能性はかなり低く、知らないうちに攻撃を受けている可能性もあり得るのです。攻撃者によりルーターが乗っ取られると、ルーターに接続するすべてのデバイスが影響を受けることとなります。今後テレワークの終了に伴って通常業務に復旧する際は、今回説明したセキュリティーリスクを念頭に、入念にチェックを行って安全に業務に取り掛かりましょう。
