急増テレワーク実施!セキュリティ不十分で多数ウイルス被害が!?
2020年4月7日の緊急事態宣言に伴って、全国でテレワーク実施企業が急増しました。セキュリティ確保には「人」「技術」「ルール」の3つの側面での対策が不可欠と言われますが、今回のような緊急在宅要請といった急なテレワーク実施の決断により、それぞれの対策が準備不足のまま見切り発車をしてしまい、様々なセキュリティ事件が発生しています。また、テレワークに伴い、様々なクラウドサービスの利用が急増しております。今回は、これらについてのお話をさせていただきます。
<目次>
・テレワーク端末のウイルス感染
・見過ごされがちなヒューマンエラー
・クラウドサービス利用のリテラシー
・クラウドサービスの脆弱性
・セキュリティ意識の改革
テレワーク端末のウイルス感染
今回発生したセキュリティ事件の特徴として、テレワーク端末のウイルス感染と、感染端末が接続した社内システムへの感染拡大(パンデミック)が多く見られたという点が挙げられます。特に、ランサムウェアと呼ばれるタイプのウイルスに感染した結果、社内の複数の端末にウイルスを拡散してしまい、業務を停止せざるを得なくなったケースが多いというのが特徴的です(※1)。
※1:ランサムウェアとは、PCやサーバーのデータを勝手に暗号化し、「復元したかったら送金しろ」と脅迫する犯罪ツールです(ransom:身代金)。実際の身代金と同様、送金しても復元される保証もありません。ちなみに、2020年6月にはホンダがサイバー攻撃を受け世界的規模でシステム障害を起こしました。ホンダはこちらについてセキュリティ上の観点から公表しないしていますが、ランサムウェアの感染被害にあったのではないかと考えられています。
会社内ではファイアウォール/UTMをはじめとするネットワークセキュリティ対策ができているケースがほとんどですが、自宅環境でそれに匹敵する対策をとっているケースは非常にまれです。その際、テレワーク端末にウイルス対策ツールがインストールされていなかったり、長期間にわたり更新されていなかったりすると、ウイルス感染のリスクが飛躍的に高まってしまいます。それを忘れて不用意に怪しいサイトやメールなどに記された出所不明のURLリンクをクリックしたりすると、高確率でウイルス感染してしまいます。
これを防ぐには、怪しいサイト、怪しいリンクを踏まないこと、ソフトウェアを常に最新に保つこと、アンチウイルスツールを適切に更新しながら運用すること、パーソナルファイアウォールなどのセキュリティツールを最大限活用することが必要です。これにはユーザーへの十分な知識浸透も大切になります。
テレワーク端末がウイルス感染した場合、その端末自身が暗号化されるなどの被害に遭う場合もありますが、端末ユーザーには感染に気付かせず、会社のネットワークに接続した際に社内ネットワーク上のPCやサーバーをウイルス感染させ、破壊活動や情報窃取活動が行われ多大な被害を生じてしまうケースも多く見られます。
また、IT投資に積極的な会社なら、テレワーク端末側に一切データを保存せずに仕事ができるシンクライアントシステムを導入しているかもしれません。その場合にはセキュリティは会社側の設備と専門技術者が管理できるので、安全性は高まります。他にも、万一感染したとしてもその端末だけで被害がとどまるようにするセキュリティハブを導入することで被害を最小限に抑えることができます。未導入であれば、この機会に導入を検討してみてはいかがでしょうか。
「サイバー攻撃を受けた企業」に聞く被害金額 日本ネットワークセキュリティ協会が70社にアンケートhttps://t.co/iTKKHecGAC
— ITmedia NEWS (@itmedia_news) October 25, 2023
見過ごされがちなヒューマンエラー
テレワーク時に頻発しているものの一つに、人によるミスがあります。会社のPCを持ち出して電車に置き忘れた、自宅PCで作業しようと仕事データをUSBメモリに入れて持ち帰ったつもりがどこかで無くした、間違えて会社の機密情報を外部に送信してしまった、オンラインストレージで会社のデータを部下と共有したつもりが、間違えて外部の人と共有してしまった……などなど、慣れないテレワークではミスを起こしてしまいがちです。
テレワークの際の情報共有ルール、PCやタブレットなどの持ち出しルール、従業員所有の端末を利用する場合のルールなどを、事前によく検討して策定しておくことが重要です。
クラウドサービス利用のリテラシー
「Zoom爆弾事件」をご存じでしょうか。これは最近ビジネスでも使われる機会の多くなったWeb会議ツール「Zoom」を利用したオンライン会議に、無関係の第三者が割り込んで勝手に画面上の資料に書き込みをしたり、いかがわしい画像を表示したりといった業務妨害を行った事件です。被害のほとんどは、会議参加にパスワードを設定していなかったり、参加のためのリンク情報を不特定多数に公開していたために生じたと言われています。
このように、セキュリティに対する甘さを外部に見せてしまうと、必ずしも積極的な業務妨害や情報窃取を意図していない第三者に行動を起こさせてしまいます。そのため、オンライン会議への参加にはパスワードを設定し、参加者を限定して部外者への会議情報の流出を防止するなどのルール整備を行い、会議主催者と参加者が遵守することが不可欠となります。
クラウドサービスの脆弱性
先ほどお話に挙げたZoomですが、「Zoom爆弾事件」とほぼ同時期にZoomソフトウェアの脆弱性(セキュリティ上の弱点)が公表されるとともに、ログイン情報が流出して闇サイトで販売されているという報道がされました。実際、「Zoom爆弾事件」の一部はそのログイン情報を利用した不正アクセスもあったのではないかと言われています。
Zoom側は早期にソフトウェアを修正し、会議への乱入者を防げるようにサービス改善を行ったため、利用拡大に大きなブレーキはかかりませんでしたが、今後もクラウドサービスの利用では同様のリスクが生じる可能性があります。
クラウドサービス利用時には、脆弱性対策が施された最新バージョンのツールを利用することはもちろんのこと、サービス側でプランに応じて各種用意しているセキュリティ機能を上手に活用する、安全な企業向けサービスメニューを利用する(※2)、等、一歩進んだ対策が望まれます。
※2:2段階認証、VPN(仮想プライベートネットワーク)経由でのアクセス、IPアドレス制限、など。
セキュリティ意識の改革
今回はテレワーク実施で起こりがちなセキュリティリスクの一部を説明させていただきました。テレワークに利用できる「技術」は現在豊富に提供されているものの、技術にリテラシーが追いついていないケースが大多数です。例えるなら、薬の種類は豊富にあるものの、薬の副作用や効く症状は各々調べてくださいという状態です。
薬で言うところの効果/副作用を把握するのと同じく、各種ツールをよく理解し、テレワークならではの利便性などの長所をできるだけ損なわず、しかも安全性に配慮した「ルール」を整備することが大切となります。その中には、会社としてのセキュリティポリシーの見直しも含まれます。
また、薬を飲む人の飲み方と同じく、「人」(従業員、管理者、経営者も含め)のセキュリティ意識の改革、知識の向上に日々努めていくことも、これからますます重要になっていきます。
<おさらい>
・テレワーク端末がウイルス感染し社内システムにパンデミックを巻き起こす。
・オンライン会議やクラウドサービスはパスワードを設定してルール整備を行う。
・セキュリティ意識を変え、知識を身につけることで「技術」を使いこなしましょう。