2021年の脅威予測、クラウド/SNS/家庭/モバイル決済に警戒を - コロナ禍のサイバー攻撃
目次を開く
サイバー攻撃もコロナに順応
新型コロナウイルス感染症(COVID-19)パンデミックは、企業活動を一変させ、企業や消費者はさまざまな活動をオンライン化して対応しています。
テレワークを利用した在宅勤務が広がり、オフィスへ出社することなく仕事のできる環境が増えました。顧客とのミーティングや見込み顧客への営業活動も、ウェブ会議で行う人が多くなったはずです。家庭では、巣ごもり需要が拡大しました。
サイバー犯罪者たちも、時代の変化に遅れず適応しています。それどころか、急変した企業や家庭のIT環境に生じた隙を突き、攻撃は新型コロナ以前より激しさを増すほどです。
COVID-19の脅威はまだ続きますし、仕事や生活におけるデジタル化、オンライン化、リモート化の流れは止まりません。サイバー犯罪から身を守るには、ウィズコロナ時代、ポストコロナ時代のサイバー攻撃を理解したうえで、対策を練る必要があります。
2021年の脅威予測
多用されるサイバー攻撃は、仕事や生活の変化につれて変わりました。今後どういった攻撃に用心すればよいか、マカフィーのまとめた「2021年の脅威予測レポート」をみて考えましょう。
クラウド
企業では以前から、外部向けサービスや社内向け基幹業務システムにクラウドサービスを使うところが増えていました。その影響で、SaaS型サービスを手がける企業も急成長しています。
マカフィーによると、企業のクラウド移行がCOVID-19パンデミックで加速しました。具体的には、2020年1月から4月の4カ月間で、エンタープライズクラウドの使用量が全体で50%増えたそうです。同じ期間に、「Cisco Webex」「Zoom」「Microsoft Teams」「Slack」といった、コラボレーション目的のサービスも大きく成長しました。
クラウド移行の加速と並行して、在宅勤務する人も多くなりました。こうした人々は、仕事を進める際、企業ネットワークや業務用クラウドサービスに自宅のPCから接続します。つまり、家庭のネットワークは、企業の業務用インフラの一部に組み込まれたといえる状態になりました。
セキュリティ管理が不十分で攻撃に屈しやすいデバイスが増えれば、サイバー犯罪者は当然そこを狙います。増えたクラウド利用者とクラウド上でやり取りされるデータも標的になります。
マカフィーの調査では、2020年初めの4カ月間で、クラウドアカウントに対する攻撃が630%増えたとされました。業種別に増加率をみると次のとおりです。
- 運輸・物流(1,350%増)
- 教育(1,114%増)
- 政府(773%増)
- 製造(679%増)
- 金融サービス(571%増)
- エネルギーおよび公益事業(472%増)
クラウドを狙う攻撃に対抗するには、接続されるデバイス単体のセキュリティを強化するだけでなく、クラウド全体に統一的なセキュリティ・ポリシーを適用する「クラウド・アクセス・セキュリティ・ブローカー(CASB/キャスビー)」といった手法の導入も検討しましょう。
SNS
テレワークする機会が多くなったことで、各種SNSのメッセージング機能を仕事上のコミュニケーション手段に使っている人も少なくありません。ただし、SNS利用は注意する必要があります。
仕事と個人のやり取りがSNS上で混在すると、関係ない相手に機密情報をもらしたり、全体へ公開したりする操作ミスが心配です。サイバー犯罪者がSNSで接触してきて、関係性を築いたうえで情報を盗み勤務先を攻撃する、ということも考えられます。もちろんフィッシングも心配です。
従業員によるSNS利用の制限や監視は、企業として実施しにくい対策です。SNSに起因するリスクを未然に防ぐため、仕事とプライベートでSNSアカウントを完全に分けることや、仕事での利用を禁止することが必要かもしれません。
家庭や消費者が企業攻撃の踏み台に
企業活動だけでなく、COVID-19パンデミックで変化した消費者の行動も、サイバー攻撃の標的になります。
家庭のIT環境
外出自粛により家庭で過ごす時間が長くなり、消費者は通販サイトや音楽/映像配信サービスなどをよく使うようになりました。インターネットに接続するデバイスの種類も、PCやスマートフォン、ゲーム機にとどまらず、テレビや調理器具といったスマート家電など、増える一方です。
マカフィーによると、インターネット接続された家庭用デバイスの数は、全世界で22%増えたといいます。この種のデバイスは、PCやスマートフォンよりも攻撃に弱いことが多く、狙われやすい攻撃対象です。
さらに、前述のとおり、在宅勤務により家庭が職場へと変化し、脆弱(ぜいじゃく)な家庭ネットワークが企業ネットワークと一体化しつつあります。企業を攻撃する足掛かりとして、まず家庭ネットワークを狙うサイバー犯罪者が増えるはずです。
従業員が自宅で使っているPCやスマートフォンはまだしも、コネクテッド家電のセキュリティまで確保することは困難でしょう。そこで、エンドポイントでのユーザー認証とデバイス認証に重点を置く、「ゼロトラストネットワーク」の考え方が重要になります。
モバイル決済・QRコード
感染症対策の一環か、物理的に接触する必要のないモバイル決済への移行が進んでいるそうです。これに合わせ、サイバー犯罪者も攻撃対象をモバイル決済へと移しています。
そのためマカフィーは、モバイル決済用のURLを仕込んだフィッシング狙いのメッセージ送信が増えると予測しました。また、SMSを使ったフィッシング攻撃「スミッシング(smishing)」も警戒しましょう。
決済といえば、利用者の増えたQRコードも攻撃ツールとして悪用され始めています。QRコードには、決済用の情報だけでなく、フィッシングページへ誘導するURLを設定することも可能です。QRコードを悪用するフィッシング攻撃「Qshing」が考えられます。
URLが悪意のあるものなのか、安全なものなのかは、慎重に読めば見分けられるでしょう。しかし、QRコードの判別は不可能です。QRコードをスキャンして安易に指示どおり操作すると、被害に遭う可能性があります。生活のあらゆる場面で、罠(わな)があると考えなければなりません。
システム変更でセキュリティが手薄に?
サイバー犯罪者は、あの手この手で攻撃を仕掛けます。たとえば、メールやSNSのメッセージ、SMS以外のフィッシング攻撃も増えました。
FBIのインターネット犯罪苦情センター(IC3)によると、企業の機密情報を盗む目的で、音声通話を悪用するフィッシング攻撃「Vishing」が増えています。VoIPの音声通話でソーシャルエンジニアリングを駆使してだまし、フィッシング用ページへの誘導を図る攻撃です。
IC3は、企業がCOVID-19対策でITシステム変更作業に追われた結果、セキュリティが手薄になっている、と指摘しました。サイバー犯罪者を寄せ付けないようにするため、セキュリティ担当者も常に情報のアップデートが必要です。
