MINAMOTO-C-blog_Writer ここでは、テレワークを実施している企業に対して起こり得る攻撃事例、その対策について解説しています。
セキュリティ対策をしているつもりでも、不十分である場合があります。
ここで解説する内容を参考に、セキュアな環境でテレワークが実施できるように取り組みましょう。
目次
事例1:ソーシャルエンジニアリング×標的型攻撃
テレワーカーがいる企業に対する攻撃として考えられる1つのパターンは、以下のようなものです。
テレワークで働いている従業員が、SNSで知り合った第三者からウイルスが添付されたメールを受信し、これをきっかけにパソコンがウイルスに感染。
その後出勤し、感染したパソコンを社内ネットワークに接続したことにより社内システムの情報が外部に漏れてしまったという事例。
ソーシャルエンジニアリングとは
この事例では、テレワークをしている従業員に対して「ソーシャルエンジニアリング」が用いられています。
これは攻撃手法の1種で、人間心理の性質などを利用したタイプを言います。
サイバー攻撃と言えば特殊な技術を用いた情報の窃取などがよくイメージされますが、本人から直接パスワードを聞くことができればそのような技術は必要ありません。
当該事例ではSNSで知り合った者から受け取ったメールで感染しており、巧妙なソーシャルエンジニアリングとなっていますが、典型的なものとしては直接パスワード等を聞きだすことなどが挙げられます。
標的型攻撃とは
サイバー攻撃には、特定の相手を想定せず、世界中に散布する形で攻撃を成立させるタイプが多いです。
これに対して、特定の相手に対して攻撃を仕掛けるものもあります。これを「標的型攻撃」と呼びます。
この事例でも、当該従業員が属する企業への攻撃を目的としており、そのためにウイルスが添付されたメールを送りつけています。
テレワーカー特有のルール策定、従業員に順守させることが大事
テレワークで働く場合には、インターネットの利用に際してVPN機器への接続を要件にするなど、セキュアな経路を確保することが重要です。
しかし、この事例のように、従業員個人の不用意な行いによって被害が生じるケースも多いです。
不審なメールであると思わせないようにソーシャルエンジニアリングを仕掛けてくることもありますが、基本的には安全性が確保されていないメールに添付されているファイルは開いてはいけません。
リンクも不用意にクリックしてはいけません。
そこで、企業には、オフィス内で働く場合とは異なるルールの策定が求められます。
セキュリティを確保する体制を整え、ルールを策定。そのルールを順守するよう、従業員に周知・啓発しましょう。
事例2:VPN機器への不正アクセス
もう1つ考えられるパターンとして以下があります。
VPN機器へ不正アクセスされたことで、従業員の認証情報等が外部に漏れてしまうという事例。
テレワーカーが安全に社内ネットワークへ入れるよう、VPNを活用した通信をしている企業も多いのではないでしょう。
VPNも安全とは限らない
VPNを使えば比較的安全にインターネット通信が行えるため、テレワーク導入に伴い活用されることが多いです。
しかし、VPNを活用しさえすれば必ず安全というわけではありません。IPAでも、VPNの脆弱性に注意すべき旨喚起されています(参考:https://www.ipa.go.jp/security/announce/telework.html)。
実際、この事例のように、攻撃者はVPN機器の脆弱性を突いてきます。テレワークが急増したことで、脆弱性対策が十分でないVPN機器まで稼働させてしまう企業は多いため、これが原因で被害が発生しやすいです。
そして、従業員のIDとパスワードを不正に入手されると、社内ネットワークからアクセスできる機密情報や個人情報にまで被害が及んでしまいます。
企業としては、機密情報が漏洩することによるダメージ、個人情報等が漏れてしまうことによる損害賠償や信用を落としてしまうといった被害も被ってしまいます。
セキュリティ検証の実施や多要素認証の導入が重要
この事例からは、テレワークで使用するシステムについては事前に十分なセキュリティ検証を行うべきであるということが言えます。
各種ソフトウェアのアップデートを忘れず実行することも重要です。
「安全性が十分に確認されていないものを安易に使用しない」という当たり前のことをこなすことがサイバー攻撃への対策として非常に有効なのです。
また、1つの対策が十分であっても、攻撃者の巧妙な手口によってかいくぐられる可能性があります。そのため、多段階でガードすることも大切です。その代表例が多要素認証です。
一般的な多要素認証としては、指紋認証や顔認証などもありますが、テレワーク環境下においてはユーザーのスマートフォンを用いた認証などが有効でしょう。
攻撃者は1つの認証をクリアする情報を入手するだけではログインができず、攻撃を成立させるハードルが高くなります。従業員の手間は増えてしまいますので、あらゆる場面で何度も認証を求めるのではなく、作業効率にも配慮した導入を心掛けましょう。
多要素認証を実現するサービスにもいろいろありますので、企業の方は、セキュリティレベルや運用のしやすさ、コストなども総合的に考慮して選定すると良いでしょう。
ここではテレワークを実施した企業への攻撃事例2つを題材に、対策方法などを解説しましたが、実際にはどんな攻撃が用いられるか分かりません。様々なケースを想定し、安全なテレワークが実施できるよう、体制を整えましょう。
「YubiKey」で会社のコンプライアンスレベルを上げましょう
弊社では、GoogleやFacebookなどといった世界的企業をはじめ4,000を超える企業が利用している「YubiKey」をおすすめしています。
PCに挿すだけでセキュリティを多要素認証にでき、手間と費用を抑えながら、安心安全なシステム環境を整えられる「YubiKey」で、あなたの会社のコンプライアンスレベルを上げましょう。
※「YubiKey」取扱会社であるPJ-T&C合同会社は、弊社のパートナー企業です。
オンラインストア:https://yubikey.pj-tc.com/store/