テレワーク、BYOD、クラウドが新リスクに - コロナでサイバー攻撃も変化
目次を閉じる
サイバー攻撃もコロナで変化
2020年に入って新型コロナウイルス感染症(COVID-19)パンデミックの影響で生活様式が一変しました。1年前には想像すらしなかったことですが、社会のさまざまな場面で変化がみられ、企業活動も例外ではありません。通勤ラッシュを避ける時差出勤、テレワークによる在宅勤務などが広まり、働き方が大きく変わりました。
職場環境の様変わりにともない、企業を狙うサイバー攻撃も姿を変えつつあります。テレワークが多用されるなど従来と毛色の違うITシステムが普及すれば、そこで新たに生じる弱点を突く攻撃が行われるのです。
つまり、これまでと同じセキュリティ対策だけでは、ニューノーマル時代のサイバー攻撃に太刀打ちできません。新たなリスクを理解し、適切な対策をとる必要があります。
ユーザー急増でZoomが狙われた
新型コロナの影響が本格的に現れ始めた2020年春以降、サイバーセキュリティの分野にも変化が現れました。NTTデータが2020年4月から6月を対象に調査した、「グローバルセキュリティ動向四半期レポート(2020年度第1四半期)」から、特徴的な部分を紹介します。
テレワークや外出自粛で知名度を高め、利用者を一気に増やしたITサービスの代表は、ビデオ会議サービス「Zoom」で間違いないでしょう。Zoomユーザーが急増し、テレワークを必要としない人も“Zoom飲み”で利用するなど、生活に定着しました。
利用者が短期間で急激に増えるITサービスは、セキュリティ対策が追いつかなかったり、使い慣れていない人が多かったりするので、サイバー攻撃の標的にされやすくなります。事実、Zoomを攻撃ツールに悪用しようとする事例が春になって増えました。
脆弱性への指摘が相次ぐ
Zoomの利用者が増え、サイバー攻撃を受けやすくなったため安全性に対する関心が高まり、今までより念入りにセキュリティ面が調査されました。その結果、情報漏洩(ろうえい)など重大な事故につながりかねない脆弱(ぜいじゃく)性がいくつも発見され、政府機関や企業によってはセキュリティ上の懸念からZoom利用を禁止したところもあるほどです。
NTTデータのレポートによると、2020年に入ってから脆弱性データベースCVEに登録されたZoomの脆弱性は8件あり、そのうち1件が「緊急」、6件が「重要」という深刻度に分類されました。そして、8件中6件は機密性への影響度が「高」とされ、機密情報の不正取得に悪用されかねない状況でした。
また、不十分なエンドツーエンド(E2E)暗号化機能、会議への参加を承認されていないユーザーによる盗聴の可能性なども指摘され、機密性に疑問が投げかけられました。さらに、暗号化鍵が北京にあるサーバーを経由して送信されていると判明し、中国政府から情報開示要求を受けたら会議の内容が筒抜けになる懸念まで高まったのです。
なお、これらの脆弱性や使用上の問題はすでに修正されているとのこと。Zoomに限らず、アプリケーションを使う際は最新バージョンかどうか確認しましょう。
Zoom爆弾も問題に
招集していない第三者が許可なく会議に参加してしまう“Zoom爆弾”も、問題視されました。
これは、会議に参加する際に必要なURLが何らかのルートから流出した場合、その会議にパスワードが設定されていないと誰でも勝手に乱入できてしまう、というものです。たとえば、手間を省くため参加用URLを誰もが見られるSNSに掲載し、パスワードを設定しないでいると、嫌がらせや覗きの目的で無関係の人物が入り込みます。もちろん、機密情報が漏れる危険性もあります。
Zoom爆弾を防ぐには、会議参加用URLの取り扱いに注意するとともに、会議にパスワードを必ずかけ、URLとパスワードは別の手段で参加予定者にだけ知らせる、といった基本を守りましょう。会議への参加をホストの承認制にする、という対策も有効です。
懸念されるリスクが大きく変わった
オフィス中心の働き方から、在宅勤務へと移行した結果、今までとは異なる視点でセキュリティ対策を施すことが求められています。
テレワーク、BYOD、クラウドがリスクに
ニューノーマル時代のICT環境では、テレワークが多用されます。業務の機密データがインターネットを経由してやり取りされ、脆弱性を塞ぐべきポイントが増えます。特に急ごしらえで構築した在宅勤務用のICT環境は、適切な設定が行われていない可能性が高く、攻撃に弱いものが多いはずです。
個人使用の端末を仕事に使うBYODはシステムの“穴”となりやすく、私用PCは業務用PCの2倍危険というデータも存在します。初めてZoomやVPNを使うことになり、誤って偽クライアントソフトをインストールしてしまった、というミスも起きるでしょう。データ共有やコラボレーションに便利な各種クラウドサービスも、不適切な管理でリスクになり得ます。
出典:NTTデータ / グローバルセキュリティ動向四半期レポート(2020年度第1四半期)
ニューノーマル時代のセキュリティ対策は?
サイバー攻撃の手法そのものは、今までと大差ありません。しかし、慣れていないサービスやツール、その場でIT管理者に頼れない在宅勤務といった環境は、攻撃の成功確率を高めます。単純なフィッシングでも、大量のメールやメッセージに埋もれていると、だまされる人が増えます。
同じ攻撃手法であっても従来のセキュリティ対策が通用しない場面が多いでしょう。視点を変えてセキュリティ対策を見直さない限り、うっかり弱点を見過ごしがちです。
NTTデータはレポートのなかでニューノーマル時代に留意すべきセキュリティリスクをまとめていて、対策を再検討する際に役立ちます。また、以前ボクシルで紹介した、総務省が公開しているテレワーク向けのチェックリストとガイドラインも有用です。こうした情報をぜひ参考にしてください。
