在宅勤務の私用PCが狙われる
新型コロナウイルス感染症(COVID-19)に関する話題が注目されているため、サイバー攻撃の材料として COVID-19の悪用される事例 が増加した。トレンドマイクロが調査した2020年1月から3月のデータ※によると、全世界で4万7,000件以上のアクセスがCOVID-19関連不正サイトへ誘導されたそうだ。3月の件数は前月比3.6倍にもなっており、今後しばらく危険な状況が続くだろう。
※出典:トレンドマイクロ「 「新型コロナウイルス(COVID-19)」便乗脅威の最新情報 」(2025年9月8日閲覧)
なかでもCOVID-19対策で増えた在宅勤務がとりわけ気にかかる。IT担当者の管理下にあるPCと異なり、従業員の自宅にある個人用PCはセキュリティ対策が不十分なことも多い。狙われたらあっさりと侵入されたりデータを盗まれたりして、大きなダメージを受ける。
最近のサイバー攻撃については、セキュリティ企業のウェブルートが 公表 した「 Webroot Threat Report 2020 」を参考にしよう。個人所有PCを業務に流用するテレワークのリスクが浮かび上がるのだ。
個人PCをとりまく3つの脅威
ウェブルートの調査レポートは2019年のデータを分析したものであり、COVID-19パンデミックの影響はまだ現れていない。しかし、攻撃手法は「長く利用されてきた伝統的な犯行手口」が多く用いられているそうで、同レポートで示された点に注意すればサイバーセキュリティの確保に役立つ。
Windows 7の感染リスクは10の3倍
フィッシングのような攻撃は、オフィス勤務だろうと在宅勤務だろうと大きな違いはない。ところが、個人用PCを業務使用した場合に高まるリスクというものが存在するので、注意しなければならない。
COVID-19対策で急に在宅勤務することになってしまい、業務専用PCを確保できず、個人的に使っていた余暇用PCで仕事をしている人もいるはずだ。なかには、古いPCを引っ張り出してきて使い始めた、という人もいるかもしれない。
そうだとしたらOSのバージョンが気になる。「Windows 7」のようなサポートが終了したOSを使っていると、危険性が極めて高い。セキュリティ更新プログラムが提供されず、脆弱(ぜいじゃく)性が修正されないまま放置されるため、サイバー攻撃の標的にされやすいのだ。Windows 7のサポートは1月に終わったが、その使用シェアは NetApplications.comのデータ によるといまだ約25%もある。
ウェブルートは、「Windows 7を狙うマルウェアが125%増加※」したとした。そして、Windows 7搭載システムがマルウェアに感染する可能性は、「Windows 10」搭載システムの約3倍とした。感染回数を平均すると、Windows 7デバイスは0.11回、Windows 10デバイスは0.04回だという。
※出典:ウェブルート「 『ウェブルート脅威レポート2020』を発表 」(2025年9月8日閲覧)
個人PCの感染リスクは2倍
個人用PCと企業の業務用PCを比較しても、個人用PCのリスクが2倍近く高いそうだ。個人用PCは12.6%の感染率なのに対し、業務用PCは7.8%とやや低い。企業のPCが個人用PCに比べ感染しにくい理由として、ウェブルートは企業が多くのセキュリティ層を備えていることを挙げた。
感染しやすい個人用PCを業務用ネットワークに接続すると、攻撃者にそこから侵入される危険性が高まる。そのため、個人用デバイスと業務用ネットワークの接続を企業が許可することは明確で重大なリスクになる。
Androidのバージョンにも注意
用心が必要なのはPCだけでない。業務に使うのなら、スマートフォンにも注意を払おう。
Androidデバイスの場合、1台当たり100個から400個のアプリがプリインストールされているという。それらが適切にアップデートされていないと、セキュリティホールの残っている可能性が高い。ちなみに、Androidデバイスの感染率は4.6%で、その91.8%をトロイの木馬とマルウェアが占めていた。
Windowsと同じくAndroidデバイスもOSのバージョンが問題になる。 NetApplications.comのデータ では、最新バージョンのAndroid 10の使用シェアは9%ほどだ。1つ古いAndroid 9は26%以上あり、もう1世代前のAndroid 8もAndroid 10より多く使われていた。古いOSで動いているデバイスの使用は、注意が必要だ。
今こそセキュリティ教育が重要
多くのリスクにさらされるPCやスマートフォンを守り、サイバー攻撃をかわすには、OSやソフトウェアのアップデートはもちろん、セキュリティツールの導入が必要不可欠だ。ただし、ウェブルートは従業員教育の大切さを指摘する。
ウェブルートによると、従業員に対してセキュリティ意識向上トレーニング(予防的サイバーセキュリティ教育)を実施することは、フィッシングなどのソーシャルエンジニアリング攻撃を防ぐのに効果的だそうだ。
フィッシングを想定したシミュレーションで不正なリンクの平均クリック率を計測したところ、1カ月から2カ月かけて教育を1回から5回実施した組織は37%だが、3カ月から4カ月かけて6回から10回実施した組織は28%と低い。4カ月から6カ月で11回以上のトレーニングを実施すると、さらに改善が進んで13%まで下がったという。
セキュリティ教育の重要性
は以前から繰り返し述べられているが、その効果が数字で裏付けられたわけだ。総務省も「
テレワークセキュリティガイドライン 第4版
」で「ルール」「人」「技術」のバランスを重視し、教育の必要性を訴えている。働き方が大きく変わるこの機会に、教育も含めたセキュリティ対策を改めて点検してみよう。
-1024x341.png)