コロナ禍によってテレワークを導入する企業が増えていますが、同時にセキュリティ事故の報告件数も増加しています。安全なネットワーク環境に守られているオフィス内とは異なり、テレワークには多くのセキュリティリスクが存在します。そこで今回は、テレワーク導入後に発生した実際のセキュリティ事故の事例を紹介するとともに、どうしたら防ぐことができるのかについて解説します。
事例1.メールの添付ファイルからランサムウェア被害に遭遇
従業員がメールに添付されたファイルをうっかり実行したことから、ランサムウェアの被害に遭遇したA社の例を紹介します。
A社では、テレワークで勤務する社員に対して社用PCを貸与し、セキュリティ対策としてウィルス対策ソフトもインストールしていました。しかし、ある従業員が知らないメールアドレスから届いたメールに添付されていた「.xlsx」の拡張子が付いたファイルをうっかり開いてしまったことで、PCがマルウェアに感染してしまいました。
このファイルは巧妙にExcelのファイルに見せかけたマルウェアで、実行してしまうと外部サイトから、さらに攻撃用のツールをユーザーに見つからないようダウンロードする仕組みになっていました。
その結果、PCに保存されていたアカウント情報やネットワークの接続情報を使って、社内システムにも不正侵入され、顧客情報、社員の情報、経理の情報など大量の機密データが盗まれ、さらにこれらのデータは暗号化されて読み出すこともできなくなってしまいました。そして、データを元に戻す代わりに仮想通貨での身代金支払いを要求されるメッセージが表示されたのです。
同時にダークWebと呼ばれる闇サイトのURLも送られており、そのURLにアクセスしてみると、その会社の機密情報が閲覧できる状態になっていました。つまり、身代金を支払わなければ、このデータを公表するという脅しです。
こうした身代金(Ransom)を要求する攻撃は、一般的にランサムウェア攻撃と呼ばれています。ランサムウェアの入り口となるメールなどを利用した攻撃は、不自然ではない文面のメールを用意するなど巧妙なものが多く、標的型攻撃とも呼ばれます。ちなみに、従業員に送られてきたメールの文面には、このように書かれていました。
田中です。おつかれさまです。
社用メールのパスワードを忘れてしまったので、個人用アカウントから失礼します。
見積案を作成したので、数字の確認をお願いします。
この従業員は、知らないアドレスから届いたメールは無視するようにしていたのですが、実際の同僚に田中さんという人物がいたため、あまり疑いを持たずにこのファイルを開いてしまったそうです。
本来であれば、ウィルス対策ソフトがマルウェアを自動的に検知して情報を保護すべきなのですが、ランサムウェア攻撃に使用されるマルウェアは検知を潜り抜ける仕組みを持った巧妙なものも多く、今回の攻撃でもウィルス対策ソフトからの警告はありませんでした。
また、社内システム側のセキュリティシステムでも、数日間この不正侵入を発見できませんでした。つまり、それぞれのデバイスに最新のウィルス対策ソフトを導入し、社内システムにセキュリティ対策がなされていても、不正侵入を防げなかったのです。
こうした標的型攻撃への対策の基本は、「知らない人からのメールは無視する」や「メールに書かれたリンクをクリックしてはいけない」です。しかし、今回の事例では日本人にありがちな「田中」を名乗り、知らないアドレスであることが怪しまれないよう「個人のアドレス」などの文面を用いた巧妙な手口となっています。うっかり開いてしまう人は多いのではないでしょうか。
うっかりファイルを開いてしまった後でも、すぐに情報システム部門に報告していれば、社内システムへの侵入は未然に防ぐことができたかもしれません。この事例でも、添付ファイルを開いた従業員は、「あれ、このファイル壊れているのかな?」という違和感はあったそうです。セキュリティの警告が出なかったため、誰にも報告しなかったそうです。このとき「怪しいファイルを開いてしまった」ことを報告していれば、社内システムへの侵入は未然に防げたかもしれません。
こうした巧妙な攻撃は、セキュリティの仕組だけでなく、情報共有の仕組みを用意することで被害を未然に防ぐこともあります。事前に「こういう文面のメールは、標的型攻撃」「個人アドレスを騙った標的型攻撃がある」など具体的な情報が共有されていれば、この従業員もメールを開かなかったかもしれません。
「異変を感じたらすぐに報告できる窓口」「セキュリティ情報を共有できる場所」が用意されていれば、「壊れたファイルを開いたのだが大丈夫だろうか?」という報告を受けた情報システム部門が、不正侵入を防ぐことができる可能性も高くなります。たとえミスをしてしまっても、迅速にフォローできれば被害は最小限にとどめることができるのです。
事例2.Webサイトからのマルウェア感染
Webサイトからマルウェア感染した事例も紹介します。
B社もウィルス対策ソフトをインストールした社用PCをテレワーク用に貸与していましたが、従業員が業務とは関係のないWebサイトを閲覧したことで、マルウェアに感染してしまいました。
このPCからも社内システムへのアクセスが試みられましたが、社内のセキュリティシステムが不正アクセスを検知したため、被害は従業員のPCのみで済みました。しかし、この従業員のアカウントは即座に停止され、おそらくこのPCからネットワーク接続情報などが漏れてしまったであろうことを想定し、社内のネットワークシステムの設定を大きく変更することになりました。
このセキュリティ事故は、大きな被害こそ出しませんでしたが、セキュリティ侵害の検知、被害状況の確認、従業員アカウントの停止と再発行、システム設定の変更などシステム管理者の作業負担は非常に大きなものとなりました。
また、今回は運よく社内のセキュリティシステムが異常を検知しましたが、絶対に検知できる保証はありません。
この場合も、重要なことは情報の報告と共有です。事前に「業務に関係しないサイトは社用PCではアクセスしない」というルールが徹底されていれば、この事故は発生しなかったでしょう。
事例3.Wi-Fiアクセスポイントの乗っ取り
テレワークで利用するWi-Fiのアクセスポイントを狙ったサイバー攻撃は、ある企業と契約していたWebデザイナーのCさんは、Wi-Fiのアクセスポイントに短くて安易なパスワードを使用していました。出荷時のパスワードとは違うから大丈夫だろうと使い続けていたのですが、ある日外部からWi-Fi経由で自宅のネットワークに侵入され、クラウドサービスのIDとパスワードが盗まれてしまいました。
その結果、Cさんの自宅ネットワーク内のローカルデータ、クラウドストレージのデータ、および契約している企業のクラウドストレージに保存されていたデータが盗まれた上に、ストレージに保管されていたデータは一部を残して削除されてしまいました。
Cさんは取引先から損害賠償を請求され、盗まれたデザインデータの代わりに別途新たなデザインの作成を余儀なくされてしまいました。もちろん、被害企業との契約も更新されることはありませんでした。
Wi-Fiのアクセスポイントは、非常に狙われやすいネットワーク機器です。多くの家庭に導入されていますし、出荷時の設定のまま「admin」など推測しやすいパスワードで運用しているケースも少なくありません。こうした安易な運用は、サイバー攻撃の恰好の標的となります。最近は、自転車などで住宅街を移動しながら、脆弱性のあるアクセスポイントを探すサイバー犯罪グループもあるそうです。
もっとも重要な対策は、安全性の高いパスワードでの運用です。その他にも、MACアドレスで接続できるデバイスを制限する、古い規格のWi-Fiを使い続けるのではなく、Wi-Fi 6など安全性の高い規格でデータを暗号化して利用するなどの対策があります。
こうした情報はある程度ITリテラシーが高くないと理解できないことも多いので、テレワークを実施する際には、Wi-Fiに関するセミナーを実施する、設定方法などを解説するサイトを用意するなどの対策を行っている企業も増えています。
どうしたらセキュリティ被害は防げるのか
セキュリティの警告記事は世の中に溢れていますが、よくあるセキュリティについての警告としては、以下のようなものがあります。
- PCなどのデバイスにはエンドポイントセキュリティの対策をする
- 多要素認証を導入する
- 通信は暗号化する
- 公衆Wi-Fiは利用しない
- 社内システムは不正アクセスを防止する仕組みを導入する
- セキュリティに関する教育を実施する
もちろん、これらの対策が今後も重要なことは間違いありません。しかし、テレワークが導入されたことで、安全な社内ネットワークの外から利用するユーザーが増え、その結果、セキュリティ被害も増加しています。
そのため、これらの対策に加えて、すべてのユーザーが “なにか変だ”と感じたときに、即座にその情報を報告して共有できる場所を用意することをお勧めします。社内ポータルや社内SNS、ビジネスチャットなどを活用し、テレワークでもオフィスワークでも同じように情報の報告や共有を簡単にできる仕組みであることが大切です。
すべてのユーザーが常にセキュリティの脅威を自分のこととして認識していれば、被害を最小限にとどめることができるでしょう。
まとめ
・世界的に標的型攻撃やランサムウェア攻撃が増加している
・テレワークのWi-Fiアクセスポイントも狙われている
・被害を最小にするには、すべてのユーザーが情報の報告や共有ができる仕組みをつくる
企業に求められるランサムウェア対策|ハイパーサービス&サポート
https://www.hyper-ss.jp/pickup/pickup16.html
ビジネスチャットのセキュリティは大丈夫?
チャットでビジネス上の重要な情報をやり取りするにあたって、気になるのはセキュリティです。どんなに便利なツールでも、内容が漏えいしてしまう可能性があれば、ビジネスで使うことはできません。