サイバー攻撃もコロナに順応
新型コロナウイルス感染症(COVID-19)のパンデミックは企業活動に大きな変化をもたらし、企業や消費者はさまざまな活動をオンライン化して対応しています。
テレワークを活用した在宅勤務が広がり、オフィスに出社せずに仕事ができる環境が増えました。顧客とのミーティングや見込み顧客への営業活動も、ウェブ会議を利用する人が増えています。
サイバー犯罪者も、時代の変化に素早く適応しています。さらに、急変した企業や家庭のIT環境の隙を突いて、攻撃は新型コロナ以前よりも激しさを増しています。
COVID-19の脅威は依然として続いており、仕事や生活のデジタル化やオンライン化、リモート化の流れも止まりません。サイバー犯罪から身を守るには、ウィズコロナ時代、ポストコロナ時代のサイバー攻撃を理解したうえで、対策を練る必要があります。
2021年の脅威予測
多用されるサイバー攻撃は、仕事や生活の変化につれて変わりました。今後どういった攻撃に用心すればよいか、マカフィーのまとめた「 2021年の脅威予測レポート 」をみて考えましょう。
クラウド
企業では以前から、外部向けサービスや社内の基幹業務システムにクラウドサービスを利用するケースが増えていました。
その影響で、
SaaS型サービスを手がける企業も急成長
しています。
マカフィーによると、企業のクラウド移行がCOVID-19パンデミックで加速しました。具体的には、2020年1月から4月の4か月間で、エンタープライズクラウドの使用量が全体で50%増えたそうです。同じ期間に、「Cisco Webex」「Zoom」「Microsoft Teams」「Slack」といった、コラボレーション目的のサービスも大きく成長しました。
クラウド移行の加速とあわせて、在宅勤務をする人も増えました。こうした人たちは、仕事を進める際に、自宅のPCから企業ネットワークや業務用クラウドサービスへアクセスします。つまり、家庭のネットワークが企業の業務用インフラの一部に組み込まれる形になりました。
セキュリティ管理が不十分で攻撃されやすいデバイスが増えれば、サイバー犯罪者は当然そこを狙います。
増えたクラウド利用者とクラウド上でやり取りされるデータも標的になります。
マカフィーの調査によると、2020年初めの4か月間でクラウドアカウントへの攻撃が630%増加したと報告されています。業種別に増加率をみると次のとおりです。
- 運輸・物流(1,350%増)
- 教育(1,114%増)
- 政府(773%増)
- 製造(679%増)
- 金融サービス(571%増)
- エネルギーおよび公益事業(472%増)
クラウドを標的とした攻撃に対抗するには、接続される各デバイスのセキュリティ強化だけでなく、クラウド全体に統一的なセキュリティポリシーを適用する「クラウド・アクセス・セキュリティ・ブローカー(CASB/キャスビー)」などの手法導入も検討しましょう。
SNS
テレワークする機会が多くなったことで、各種SNSのメッセージング機能を仕事上のコミュニケーション手段に使っている人も少なくありません。ただし、SNSの利用には注意が必要です。
仕事と個人のやりとりがSNS上で混在すると、関係のない相手に機密情報を漏らしてしまったり、意図せず全体に公開してしまう操作ミスが懸念されます。サイバー犯罪者がSNSで接触してきて、関係性を築いたうえで情報を盗み勤務先を攻撃する、ということも考えられます。もちろんフィッシングも心配です。
従業員によるSNS利用の制限や監視は、企業として実施しにくい対策です。SNSに起因するリスクを未然に防ぐため、仕事とプライベートのSNSアカウントを完全に分ける、または仕事でのSNS利用自体を禁止することが必要になる場合もあるでしょう。
家庭や消費者が企業攻撃の踏み台に
企業活動だけでなく、COVID-19パンデミックによって変化した消費者の行動もサイバー攻撃の標的となっています。
家庭のIT環境
外出自粛により家庭で過ごす時間が長くなり、消費者は通販サイトや音楽/映像配信サービスなどをよく使うようになりました。インターネットに接続するデバイスの種類も、PCやスマートフォン、ゲーム機だけでなく、テレビや調理器具といったスマート家電など、ますます増えています。
マカフィーによると、インターネット接続された家庭用デバイスの数は、全世界で22%増えたといいます。この種のデバイスは、PCやスマートフォンよりも攻撃に弱いことが多く、狙われやすい攻撃対象です。
さらに、前述のとおり、在宅勤務により家庭が職場へと変化し、ぜい弱な家庭ネットワークが企業ネットワークと一体化しつつあります。企業を攻撃するための足がかりとして、まず家庭ネットワークを狙うサイバー犯罪者が今後さらに増えていくでしょう。
従業員が自宅で使用しているPCやスマートフォンはまだしも、コネクテッド家電のセキュリティまで確保するのは難しいでしょう。そこで、エンドポイントでのユーザー認証とデバイス認証に重点を置く、「 ゼロトラストネットワーク 」の考え方が重要になります。
モバイル決済・QRコード
感染症対策の一環として、物理的な接触が不要なモバイル決済への移行が進んでいるようです。これに合わせ、サイバー犯罪者も攻撃対象をモバイル決済へと移しています。
そのためマカフィーは、モバイル決済用のURLを仕込んだフィッシング狙いのメッセージ送信が増えると予測しました。また、SMSを使ったフィッシング攻撃「スミッシング(smishing)」も警戒しましょう。
決済手段として利用者が増えたQRコードも、攻撃ツールとして悪用され始めています。QRコードには、決済用の情報だけでなく、フィッシングページへ誘導するURLを設定もできます。QRコードを悪用するフィッシング攻撃「Qshing」が考えられます。
URLが悪意のあるものか安全なものかは、慎重に確認すれば見分けがつきますが、QRコード自体を判別するのは不可能です。QRコードをスキャンして安易に指示どおり操作すると、被害に遭う可能性があります。生活のあらゆる場面で、罠(わな)があると考えなければなりません。
システム変更でセキュリティが手薄に?
サイバー犯罪者は、さまざまな手段で攻撃を仕掛けてきます。たとえば、メールやSNSのメッセージ、SMS以外を利用したフィッシング攻撃も増えています。
FBIのインターネット犯罪苦情センター(IC3)によると、企業の機密情報を盗む目的で、音声通話を悪用するフィッシング攻撃 「Vishing」が増えています 。VoIPの音声通話でソーシャルエンジニアリングを駆使してだまし、フィッシング用ページへの誘導を図る攻撃です。
IC3は、企業がCOVID-19対策でITシステムの変更作業に追われた結果、セキュリティが手薄になっていると指摘しています。サイバー犯罪者の標的とならないためには、セキュリティ担当者も常に情報をアップデートし続けることが求められます。
