コロナ過になって2度目のGW、個人レベルでできるセキュリティ対策とは

f:id:PentaSecurity:20210427095001j:plain


2020年、新型コロナウイルスの流行により、企業ではテレワークへの環境移行が進みました。そして、2021年1月に続き、再び緊急事態宣言が発令された今、より一層テレワーク環境での業務遂行が求められる状況になります。加えて、中長期的に見ても、政府によるデジタル庁新設などの背景により、企業の業務のデジタル化は更に加速していくものと考えられます。

一方で、企業はサイバー攻撃を受ける可能性が高くなっているとも言えます。実際、働き方の変化に伴い導入が増加したMicrosoft365関連のマルウェア攻撃は前年比7倍以上、リモートワーク関連システムを狙った攻撃は前年比54倍以上と報告されています。今の時代に適したセキュリティ対策の実施はもはや「待ったなし」の状態となっています。キュリティ予算・人的リソースが限られた状況の中で、どのセキュリティ対策を優先すべきか今回は掘り下げていきたいと思います。

 

コロナ禍で増加しているセキュリティリスク

 コロナ禍に便乗したサイバー攻撃のリスクは高まるばかりです。すでにマルウェア拡散やフィッシング攻撃、特定の組織を標的とした標的型攻撃などが報じられています。コロナ禍によるテレワークへの移行が進む中、新たなサイバー攻撃が増えています。新型コロナウイルスに関連した攻撃は次の3つに大別されます。

  1. コロナ騒動につけ込むマルウェア拡散とフィッシング攻撃
  2. コロナ関連の調査や作業に従事する組織を標的とした攻撃
  3. 詐欺とデマ情報

企業を標的にした攻撃も実際に起きています。「Cisco Talos」の脅威リサーチによれば、アゼルバイジャンの政府機関やエネルギー業界を標的にした攻撃が行われ、政府のドメインを模倣したURLを使用して標的マシンにマルウェアを仕込み、遠隔から操作を行うことで大量のデータを外部に送信する手口を2020年5月に報じています。

企業や組織がテレワークへの移行を急いだ結果、業務端末を自宅に持ち帰ってインターネット等に接続してマルウェアに感染し、出勤した際に企業ネットワークへの接続により、内部にマルウェアを感染拡大させるケースがあります。また、テレワークに必要なVPN接続のためのインストーラーを装いマルウェアを広める手口や、社内の従業員にだけにアクセスを許可していたVPN接続を外部のパートナーにも許可した結果、パスワードが漏えいし、不正アクセスを受けるリスクも高まっています。

 

Web会議システムのセキュリティリスク

 働き方の変化により、ZoomやMicrosoft TeamsなどのWeb会議ツールや、ファイル共有を含めた情報共有ツールなど新しいツールを導入する機会が急激に増えました。それらのツールを従業員が個人の判断のもとに導入することにより、設定方針や設定内容に統制が取れず、数多くのセキュリティインシデントを引き起こしています。

 

部外者による不正アクセス

 Web会議システムの中には、会議URLを知っていれば誰でもアクセスできてしまう仕様のものもあります。参加者になりすまして会議に侵入された場合、悪意のある画像や動画が共有されたり、映像の盗み見・音声の盗み聞きをされたり、社内資料をダウンロードされたりといった危険性があります。

 

社員による情報漏えい

 最近はリモートワークが普及し、自宅だけでなくカフェやコワーキングスペースで業務を行う社員も多いでしょう。自分が見える範囲では気を付けているつもりでも、背後を通りかかった人に覗き込まれたり、近くの席にいる人に発言を聞かれていたりする可能性は十分にあります。その結果、社内情報が流出し、SNSなどに書き込まれ拡散される恐れもありえます。

 

PC持ち出しリスク

 企業や組織が急いでテレワーク導入を進めた結果、業務端末を自宅に持ち帰ってインターネット等に接続してマルウェアに感染し、出勤後に企業ネットワークに感染を拡大させるケースや、これまで社内の従業員だけにアクセスを許可していたVPN接続を、外部のパートナーにも許可することで生じる不正アクセスのリスクなどに直面しています。

会社支給のノートPCを社外に持ち出すことにはさまざまなリスクが伴います。まず挙げられるのはノートPCの盗難・紛失です。PCを入れていたバッグを置き引きされる、カフェなどで使用していて離席したときに盗まれる、車上荒らしに遭う、電車の網棚や帰宅途中で寄った店に忘れるなど、PCを社外に持ち出せばそれだけ多くの危険にさらされます。PCを失うと重要な情報が漏えいする危険性があるのはもちろん、被害を最小限に抑えるための調査にも手間やコストを費やすことになります。

 

すぐに実践できるセキュリティ対策

 

1.データを暗号化する

 PCの盗難・紛失時に情報が漏えいしてしまうリスクを軽減するための方法の一つがデータの暗号化です。悪意ある者がPCを手にしたとしても、重要なデータが暗号化してあれば、それを見ることが困難になります。ハードディスク全体を暗号化するセキュリティ製品もあり、この場合はより安全性が向上します。

 

2.ログインパスワードを設定する

 WindowsなどOSのログインパスワードを設定するのは基本中の基本です。パスワード自体を複雑で長いものにし、定期的に変更することも必要です。一定時間キーボードやマウスを使用しないとスクリーンセーバーが起動し、自動的に画面をロックする設定も利用しましょう。

 

3.ハードディスクにパスワードを設定する

BIOSの設定画面から、ハードディスクにもパスワードを設定できます。この方法の利点は、たとえハードディスクを取り外してほかのPCに接続したとしても、正しいパスワードを入力しない限り読み書きできなくなることです。Windowsのログインパスワードの場合はハードディスクをほかのPCに接続すれば中を見ることができます。なお、SSDにもパスワードは設定可能です。

 

4.端末にデータを保存しない

ノートPC自体にはデータを保存しないという選択肢もあります。最も簡単なのはクラウドサービスを利用する方法です。重要なデータや持ち出しPCで作成したファイルをクラウド上に置くようにすれば、盗難・紛失に備えられます。クラウドサービスの多くは端末にもデータを保存しますが、盗難・紛失が判明してすぐにクラウド上のデータを削除または移動して同期させれば端末上のデータを消すことが可能です。

 

ゴールデンウィーク中に取るべき対策

 また今週からはゴールデンウィークもスタートしますが、それに先だち4月21日に、情報処理推進機構(IPA: Information-technology Promotion Agency, Japan)は「ゴールデンウィークにおける情報セキュリティに関する注意喚起:IPA 独立行政法人 情報処理推進機構」において、ゴールデンウィークという長期休暇を迎えるにあたって、情報セキュリティに関する注意喚起を行いました。長期休暇の時期は、「システム管理者が長期間不在になる」、「友人や家族と旅行に出かける」等、いつもとは違う状況になりやすく、ウイルス感染や不正アクセス等の被害が発生した場合に対処が遅れてしまったり、SNSへの書き込み内容から思わぬ被害が発生したり、場合によっては関係者に対して被害が及ぶ可能性があります。

 

緊急連絡体制の確認

不測の事態が発生した場合に備えて、委託先企業を含めた緊急連絡体制や対応手順等が明確になっているか確認してください。

  • 連絡体制の確認(連絡フローが現在の組織体制に沿っているか等)
  • 連絡先の確認(各担当者の電話番号が変わっていないか等)
  • 使用しない機器の電源OFF
  • 長期休暇中に使用しないサーバ等の機器は電源をOFFにしてください。

長期休暇明けの対策

修正プログラムの適用

長期休暇中にOS(オペレーティングシステム)や各種ソフトウェアの修正プログラムが公開されている場合があります。修正プログラムの有無を確認し、必要な修正プログラムを適用してください。

 

定義ファイルの更新

長期休暇中に電源を切っていたパソコンは、セキュリティソフトの定義ファイル(パターンファイル)が古い状態のままになっています。電子メールの送受信やウェブサイトの閲覧等を行う前に定義ファイルを更新し、最新の状態にしてください。

 

サーバ等における各種ログの確認

サーバ等の機器に対する不審なアクセスが発生していないか、各種ログを確認してください。もし何らかの不審なログが記録されていた場合は、早急に詳細な調査等の対応を行ってください。

 

さいごに

動車メーカーのホンダがマルウェア感染により、海外の9工場の生産停止に追い込まれたのも、テレワークが増加したことが原因とされています。ホンダがどのようにしてマルウェアに侵入されたかは明らかにされていませんが、コロナ禍によって急遽テレワークに切り替えた企業については、サーバ管理が脆弱なケースがあるとされています。実際に、さまざまな企業の社内システムのログイン画面がインターネットに公開されている状態となっており、その中には日本の企業のものも含まれているとされています。その場合、ログイン画面で入力するパスワードを見破られてしまうと、不正にアクセスされ、マルウェア感染や機密情報の流出につながります。

 

テレワーク下の環境では様々なセキュリティリスクも生じますが、起こり得るリスクを想定し、対策を講じることで未然に被害を最小限に防ぐことも可能です。大切なのは常にセキュリティへの関心をもって、情報収集にあたることでしょう。