私物PCでテレワーク、従業員のセキュリティ教育は大丈夫? 業務用の2倍危険
目次を閉じる
在宅勤務の私用PCが狙われる
新型コロナウイルス感染症(COVID-19)に関する話題が注目されているため、サイバー攻撃の材料としてCOVID-19の悪用される事例が増加した。トレンドマイクロが調査した2020年1月から3月のデータによると、全世界で4万7,000件以上のアクセスがCOVID-19関連不正サイトへ誘導されたそうだ。3月の件数は前月比3.6倍にもなっており、今後しばらく危険な状況が続くだろう。
出典:トレンドマイクロ / 「新型コロナウイルス(COVID-19)」便乗脅威の最新情報
なかでもCOVID-19対策で増えた在宅勤務がとりわけ気にかかる。IT担当者の管理下にあるPCと異なり、従業員の自宅にある個人用PCはセキュリティ対策が不十分なことも多い。狙われたらあっさりと侵入されたりデータを盗まれたりして、大きなダメージを受ける。
最近のサイバー攻撃については、セキュリティ企業のウェブルートが公表した「Webroot Threat Report 2020」を参考にしよう。個人所有PCを業務に流用するテレワークのリスクが浮かび上がるのだ。
個人PCをとりまく3つの脅威
ウェブルートの調査レポートは2019年のデータを分析したものであり、COVID-19パンデミックの影響はまだ現れていない。しかし、攻撃手法は「長く利用されてきた伝統的な犯行手口」が多く用いられているそうで、同レポートで示された点に注意すればサイバーセキュリティの確保に役立つ。
640%も増加したフィッシング攻撃
テレワークや在宅勤務に特有の脅威ではないが、まずはフィッシング攻撃の増加に着目しよう。ウェブルートによると、2019年にはフィッシング攻撃が640%も増加したという。以前から存在する手口が現在も盛んに使われている。
フィッシングに悪用されて偽サイトが作られるウェブサイトの種類は、仮想通貨交換サイトが55%でもっとも多く、これにゲームサイト(50%)、メール(40%)、金融機関サイト(40%)、決済サービスサイト(32%)が続く。
フィッシング攻撃は、よく知られた大手企業のウェブサイトも標的にする。たとえば、フェイスブック(12.8%)、マイクロソフト(10.6%)、アップル(8.4%)、グーグル(7.7%)、ペイパル(6.2%)といったサイトがなりすましの被害に遭っていた。
出典:ウェブルート / Webroot Threat Report 2020
フィッシングのほか、ボットネットや各種マルウェアなどに関与している高リスクURLは、安全なドメインに仕込まれている可能性がある点にも注意しよう。具体的には、悪意のあるURLの24%が信頼性の高いドメインで見つかっている。つまり、ウェブサイトのURLや見た目だけでフィッシングサイトなのか正規のサイトなのかを見分けることは、極めて難しいといえる。
Windows 7の感染リスクは10の3倍
フィッシングのような攻撃は、オフィス勤務だろうと在宅勤務だろうと大きな違いはない。ところが、個人用PCを業務使用した場合に高まるリスクというものが存在するので、注意しなければならない。
COVID-19対策で急に在宅勤務することになってしまい、業務専用PCを確保できず、個人的に使っていた余暇用PCで仕事をしている人もいるはずだ。なかには、古いPCを引っ張り出してきて使い始めた、という人もいるかもしれない。
そうだとしたらOSのバージョンが気になる。「Windows 7」のようなサポートが終了したOSを使っていると、危険性が極めて高い。セキュリティ更新プログラムが提供されず、脆弱(ぜいじゃく)性が修正されないまま放置されるため、サイバー攻撃の標的にされやすいのだ。Windows 7のサポートは1月に終わったが、その使用シェアはNetApplications.comのデータによるといまだ約25%もある。
出典:NetApplications.com / Operating System Share by Version
ウェブルートは、Windows 7を狙うマルウェアが125%増えたとした。そして、Windows 7搭載システムがマルウェアに感染する可能性は、「Windows 10」搭載システムの約3倍とした。感染回数を平均すると、Windows 7デバイスは0.11回、Windows 10デバイスは0.04回だという。
個人PCの感染リスクは2倍
個人用PCと企業の業務用PCを比較しても、個人用PCのリスクが2倍近く高いそうだ。個人用PCは12.6%の感染率なのに対し、業務用PCは7.8%とやや低い。企業のPCが個人用PCに比べ感染しにくい理由として、ウェブルートは企業が多くのセキュリティ層を備えていることを挙げた。
感染しやすい個人用PCを業務用ネットワークに接続すると、攻撃者にそこから侵入される危険性が高まる。そのため、個人用デバイスと業務用ネットワークの接続を企業が許可することは明確で重大なリスクになる。
Androidのバージョンにも注意
用心が必要なのはPCだけでない。業務に使うのなら、スマートフォンにも注意を払おう。
Androidデバイスの場合、1台当たり100個から400個のアプリがプリインストールされているという。それらが適切にアップデートされていないと、セキュリティホールの残っている可能性が高い。ちなみに、Androidデバイスの感染率は4.6%で、その91.8%をトロイの木馬とマルウェアが占めていた。
Windowsと同じくAndroidデバイスもOSのバージョンが問題になる。NetApplications.comのデータでは、最新バージョンのAndroid 10の使用シェアは9%ほどだ。1つ古いAndroid 9は26%以上あり、もう1世代前のAndroid 8もAndroid 10より多く使われていた。古いOSで動いているデバイスの使用は、注意が必要だ。
出典:NetApplications.com / Operating System Share by Version
今こそセキュリティ教育が重要
多くのリスクにさらされるPCやスマートフォンを守り、サイバー攻撃をかわすには、OSやソフトウェアのアップデートはもちろん、セキュリティツールの導入が必要不可欠だ。ただし、ウェブルートは従業員教育の大切さを指摘する。
ウェブルートによると、従業員に対してセキュリティ意識向上トレーニング(予防的サイバーセキュリティ教育)を実施することは、フィッシングなどのソーシャルエンジニアリング攻撃を防ぐのに効果的だそうだ。
フィッシングを想定したシミュレーションで不正なリンクの平均クリック率を計測したところ、1カ月から2カ月かけて教育を1回から5回実施した組織は37%だが、3カ月から4カ月かけて6回から10回実施した組織は28%と低い。4カ月から6カ月で11回以上のトレーニングを実施すると、さらに改善が進んで13%まで下がったという。
セキュリティ教育の重要性は以前から繰り返し述べられているが、その効果が数字で裏付けられたわけだ。総務省も「テレワークセキュリティガイドライン 第4版」で「ルール」「人」「技術」のバランスを重視し、教育の必要性を訴えている。働き方が大きく変わるこの機会に、教育も含めたセキュリティ対策を改めて点検してみよう。
