~テレワーク時のセキュリティリスクについて知っておこう~
テレワークを狙ったサイバー攻撃にご用心!
DX(デジタルトランスフォーメーション)が推進される中、2020年4月の緊急事態宣言発令により、多くの企業が在宅勤務などテレワークを実現しました。これを機に今後もテレワーク導入は進みDXを加速させることでしょう。しかし新たなツールの導入を検討する期間もなく、既存の社内システムや機器に頼って急速にテレワークに対応した企業も多いのではないでしょうか。あるいはDXや働き方改革に向けてこれから本格的にテレワーク導入を検討中の企業もあるかと思います。
しかし、サイバー集団はそこを狙って攻撃を仕掛けてくるものです。テレワークが進み、新たに見えてきたセキュリティ面の課題と対策についてご紹介します。
まず最初に、テレワークのIT環境は利用者の規模や業務内容、テレワークの形態などによって大きく3つのシステム方式に分かれます。
①リモートデスクトップ方式/仮想デスクトップ方式
オフィスにあるPCあるいはサーバー内の仮想デスクトップ環境を遠隔操作するシステム。
②クラウド型アプリ方式
インターネットからクラウドサーバ上にあるアプリケーションにアクセスし作業を行うシステム。
③会社PC(持ち帰り)/自宅PC + VPN方式
オフィスの端末を持ち帰って利用。
テレワーク時にはこれらの方式によって異なるリスクが生じる場合もありますので、自社の方式を確認してからお読みください。
<目次>
- 公衆Wi-Fi使用時のリスク (方式①②③で発生)
- 自宅のインターネット回線使用時のリスク (方式①②③で発生)
- クラウドを狙う“同意フィッシング”のリスク (方式②で発生)
- VPN装置の脆弱性リスク (方式③で発生)
- ビジネスメール詐欺(BEC)(方式①②③で発生)
- テレワーク下でのメール誤送信 (方式①②③で発生)
1. 公衆Wi-Fi使用時のリスク (方式①②③で発生)
会社PCや自宅PCどちらかにかかわらず、カフェなど公衆の場でテレワークを行う場合、画面ののぞき見やWeb会議の声が周りに聞こえないように注意するのはもちろんですが、他にも見えない危険が隠れています。
公衆Wi-Fiは今や多くの飲食店で提供されていますが、同じ電波の範囲内にいる第三者によって通信内容を傍受される可能性があります。さらに偽のアクセスポイントを仕掛け、接続した端末のあらゆる情報を抜き取ったり、ウィルスに感染させ、踏み台にして会社本体への不正アクセスを試みます。これはテレワークの方式に関係なく起こり得るリスクです。
<対策>
- 会社から貸し出されたモバイルルーターがあれば必ずそれを使うようにしましょう。
- 公衆Wi-Fiはセキュリティが保護(暗号化)されているものを使用しましょう。
- 公衆Wi-Fi利用時はPCのファイル共有をオフにしておきましょう。
また公衆無線LANの使用有無にかかわらず、OSやソフトの脆弱性を攻撃するマルウェアに感染しないためにも、更新プログラムが提供された場合は可能な限り更新することも大切です。
2. 自宅のインターネット回線使用時のリスク (方式①②③で発生)
自宅のインターネット回線を利用する場合にも、インターネットの出入り口となる「ルーター」のセキュリティに気を付けなければなりません。ルーターにセキュリティ上の不備があると、悪意を持った第三者により、ネットワークに接続する端末や機器が不正なサイトへの誘導やウイルス感染などの被害に遭うリスクがあります。
- セキュリティ対策がとられたルーターを利用するようにしましょう。
- ルーターの「ファームウェア」(プログラム)が最新の状態となっているかを確認しましょう。
- ホームネットワークへの攻撃をブロックするセキュリティ製品を導入することも有効です。
withコロナがもたらしたテレワークは人々の働き方を変え、コロナ収束後も多くの企業が継続していくことでしょう。しかしながら、企業は個人にセキュリティ対策を任せることに不安を感じるものです。リモートアクセスツールの中でも、デスクトップの画面だけを共有している製品はセキュリティ強度が高く、端末にファイルなどの情報をダウンロードできないよう企業側で制限もできるためおすすめです。
3. クラウドを狙う“同意フィッシング”のリスク (方式②で発生)
テレワークによりクラウドアプリに切り替える企業が急増していますが、クラウド環境に不慣れなユーザーを狙ってデータの窃盗を行う事件が多発しています。アメリカのセキュリティ研究・教育機関、SANS Instituteでの情報漏えい事件は、まだ記憶に新しいものではないでしょうか。
【2020年8月11日 SANS Instituteの情報漏えいニュース(他社サイト)】
フィッシングメール詐欺で個人情報が流出 >>
同意フィッシングとは、ユーザーをだまして悪質な偽アプリをインストールさせる手口です。インストールする過程で、アクセス権限を付与するための同意画面を表示します。ここでユーザーが同意ボタンをクリックしてしまうと、データ、メール送受信、転送ルールなどの設定にアクセス権が付与され情報が流出してしまうのです。最近ではテレワークでの利便性を求めてクラウド上のアプリを連携する企業も増えてきました。連携アプリからのアクセス同意画面でも類似のフィッシングが起きているため、連携アプリからの同意画面にも十分に注意しましょう。
<対策>
- 同意フィッシングについて社内周知に努め、社員のセキュリティ意識を高めましょう。
- よく分からないメッセージが表示された場合には「OK」や「許可」を押さず、キャンセルしましょう。
- 社員のアプリ使用状況を監視し、企業内での利用アプリ、アクセス許可を制限しましょう。
4. VPN装置の脆弱性リスク (方式③で発生)
リモートツールの導入には至らず、既存のVPN機器を利用し始めた企業も多いと思います。しかしこのVPNには2019年に脆弱性が公表されており、この脆弱性を狙った攻撃も多数報告されています。
【JPCERTコーディネーションセンター(他社サイト)】
複数の SSL VPN 製品の脆弱性に関する注意喚起 >>
パッチ適用後も継続的に侵害される被害が確認されているため、脆弱性の修正だけで満足せず、侵害を受けてパスワードの漏洩や不正な通信経路が設置されていないかの確認も必要です。
対策としては、VPNシステムのセキュリティを常に最新の状態に保つとともに、二要素認証の導入が有効です。さらに、今注目されているのが「ゼロトラスト」ネットワークと呼ばれるサイバー防衛の発想で、誰でも社内ネットワークに遠隔で入れる半面、どの情報にアクセスできるかを細かく分けて設定。さらにパスワードだけでなく指紋や顔認証といった多要素認証を様々なアクセス制御で組み合わせるものです。
【企業リスク関連ニュースページ】
VPN脆弱が引き起こした不正アクセス被害事件 >>
5. ビジネスメール詐欺(BEC:Business Email Compromise) (方式①②③で発生)
取引先や上司になりすましてメールを送り不正口座に送金を誘導します。事前に企業や従業員の情報を集めるために、マルウェアが使われることもあります。最近ではコロナ禍に乗じた件名や文面でメールにマルウェアを仕込む手口も急増しておりフィッシング対策の強化が急務となっております。主な手口は
- 社内の強い権限を持っている人物に装って送金を指示
→架空の話をでっちあげて金銭をだまし取る。 - 取引先の人物に装って支払口座変更の連絡
→実際に行われている案件を悪用することが多い。
さらにはこのテレワークが普及する中で、国内でも「給料詐欺」の危険性が高まっています。従業員のメールを乗っ取り、給料の振込口座を犯罪者所有のものに変更することで給料を横取りする手口です。
<対策>
- メールのURLリンクや添付ファイルを不用意に開かないようにしましょう。
- 送金や個人情報の提供を促すメールは文面の言い回しやドメイン名(@以降の文字列)が正しいかを注意深く確認しましょう。
- 送金や機密情報の提供時は、複数の担当者による承認プロセスを経るようにしましょう。
- セキュリティインシデントが発生した際に備え、社内の緊急連絡体制を整備しておきましょう。
6. テレワーク下でのメール誤送信 (方式①②③で発生)
テレワークにより、社外だけでなく社内間でもメールのやり取りが増えています。テレワーク環境下ではオフィスや会社PCと異なるメールクライアントソフトやWebメールを使用している企業も少なくないでしょう。不慣れなツールではメールの誤送信リスクも一段と高まります。
- メールの宛先をBCCではなくCCで一斉送信
- 社内向けの添付ファイルを社外に送信
こういったメール誤送信による個人情報漏洩ニュースが毎日のように報道されています。既に会社で導入されているメール誤送信対策が自宅PCでは適用できないケースも多いため注意が必要です。また、私用メールアドレスを業務に使用している場合、誤送信による情報漏洩の発見が遅れる場合があります。今後はテレワーク環境下でのメール誤送信対策が必須となってくるでしょう。
<対策>
- 業務上の私用メールアドレスは使用禁止しましょう。
- 社外への個人情報等を含む文書を送信する際には必ず暗号化やパスワード保護を行いましょう。
- メールクライアントの種類にとらわれない誤送信防止ツールの導入も急速に進んでいます。
【参考(総務省のサイト)】
テレワークにおけるセキュリティ確保に関するページ >>
※こちらから最新のセキュリティガイドラインが閲覧できます。