2020.5.18技術ブログ

テレワークにおけるサイバーセキュリティ

新型コロナウイルス後の新しい生活様式として、テレワークの導入はもはや急務であると言える。しかし、テレワークの導入に心配する声も少なくないという。本稿では、テレワークの導入にどのような脅威が存在し、どのような点に注意すべきかを紹介する。

はじめに

2020年4月7日に首都圏を含む一部地域を対象に、改正新型インフルエンザ等特措法に基づく緊急事態宣言が発令され、4月16日に対象が全国に拡大されました。それを受けて、行政や経済3団体(日本経済団体連合会、経済同友会、日本商工会議所)を中心にテレワークを推進する動きがより活発化し、テレワークの導入はもはや急務であると言えます。
しかし、4月10日~4月12日時点でテレワーク実施率が全国平均で27.9%というデータ(※1)もあり、日本国内においてはテレワークの導入があまり進んでいない状況でした。この機会に、急遽テレワークの導入を決定した、あるいは検討中である企業も少なくないと思われます。
一方で、総務省の2017年に調査結果(※2)によると、テレワークを導入しない理由の第二位が「情報漏えいが心配だから」であり、セキュリティ的な懸念からテレワークの導入に踏み切れないといった企業も少なくないようです。その「心配」とは一体何なのでしょうか。テレワークの導入にどのような脅威が存在し、どのような点に注意すべきかを紹介します。

テレワークを取り巻く脅威

新型コロナウイルスの感染拡大を背景に、テレワーク環境を狙ったサイバー攻撃が今後ますます増加すると予想されます。2019年に日本国内で猛威を振るったマルウェアEmotetにも、あたかもテレワーク環境を標的とするかのような亜種が登場しました。
これまでのEmotetはメールを介して感染が広がるタイプが主流でした。Emotetに感染したデバイスから窃取したメールや宛先を悪用し、さらに感染の拡大を狙います。今回発見された亜種は、感染したデバイスからWi-Fiを経由して拡散するものです。
トレンドマイクロの報告(※3)によると、新しいEmotetは以下のような順序で感染被害を拡大させます。

  1. Emotetがデバイスに侵入するとWi-Fi拡散モジュールをダウンロードします。
  2. Wi-Fi拡散モジュールは、感染したデバイスから繋ぐことができるWi-Fiネットワークを探索し、その一覧を作成します。
  3. 一覧に挙がったWi-Fiネットワークに対し、様々なパスワードを用いてネットワーク内への侵入を試みます。
  4. ネットワークに侵入後、さらにネットワーク内のデバイスへの侵入を試みます。
  5. デバイスへの侵入が成功すると、さらに別のWi-Fiネットワークへの侵入を試みます。

上記の方法を繰り返すことで、感染が拡大していきます。
これまでのマルウェアは、感染した組織内やその関係者が被害の中心でした。しかし、今回発見された亜種は、テレワーク中の自宅の端末から近隣のネットワークに侵入する事が可能です。例えば自宅の端末経由で隣人の端末がマルウェアに感染してしまったり、あるいは隣人の端末経由で自宅の端末がマルウェアに感染してしまったりなど、これまでにない方法でマルウェアが拡散する恐れがあります。
この脅威に対しては、Wi-Fiネットワークのパスワードやネットワーク内の機器のパスワードを推測されにくいものに設定する事が対策として考えられます。推測されにくいパスワードについては諸説ありますが、JPCERT/CCは「安全なパスワードの条件」として下記の4つを挙げています。(※4)

  • パスワードの文字列は、長めにする(12文字以上を推奨)
  • 利用できる様々な文字種(大小英字、数字、記号)を組み合わせると、より強固になる
  • 推測されやすい単語、生年月日、数字、キーボードの配列順などの単純な文字の並びやログインIDは避ける
  • 他のサービスで使用しているパスワードは使用しない

テレワークで留意すべき「三変」

テレワークにおけるサイバー被害を防止、あるいは軽減するためにはどのようなことに気を付けるべきでしょうか。新型コロナウイルス感染拡大を防止するために「密閉」「密集」「密接」の、いわゆる「三密」を避ける行動が重要であると言われています。今回はそれになぞらえる形で、「変化」「変則」「異変」を『テレワークで留意すべき「三変」』として提唱します。

変化

テレワークの推進によって我々の働き方は大きく変わり、それに伴ってシステムを取り巻く環境や構成も「変化」します。攻撃者はそのような「変化」を観察し、攻撃の機会を窺っています。
例えば会社内のシステムにリモートでアクセスするためにVPN(Virtual Private Network)サービスを立ち上げたとします。IPアドレスやポートなど、アクセスに必要な情報は社外秘の情報として扱い、基本的に従業員しか知り得ない情報です。このような状況下であっても、攻撃者はどのIPアドレスでVPNサービスが稼働しているかを、比較的短時間で突き止めることが可能です。
その一例として、ShodanやCensysのような検索エンジンを用いる手法が挙げられます。これらの検索エンジンは、インターネット上のあらゆる機器を巡回し、どのような機器でどのようなシステムが稼働しているかの情報を収集しています。検索によって発見されるまでなら実害には至らないケースがほとんどでしょう。
しかし、例えば利用するソフトウェアに脆弱性が存在する場合や、認証などの保護機能が適切でなかった場合、不正アクセスやランサムウェア攻撃などの様々な攻撃のターゲットになる恐れがあります。特に米国を中心として、脆弱なVPNシステムを悪用したランサムウェア攻撃が実際に多数確認されています。(※5)まずはセキュリティパッチを適用し、システム全体を最新の状態に保つことを対策として推奨します。また、不正アクセスに対しては、必要に応じて二要素認証の導入なども検討してください。

(※5)
https://www.microsoft.com/security/blog/2020/04/01/microsoft-works-with-healthcare-organizations-to-protect-from-popular-ransomware-during-covid-19-crisis-heres-what-to-do/

図1:Shodanを用いて検索を行った例

変則

テレワークを推進する中で様々な「変則」的な事態が訪れます。社内外の関係者とのコミュニケーションがその最たる例でしょう。対面でのコミュニケーションを前提としていた業務は見直しを余儀なくされ、試行錯誤を繰り返しながら業務の最適化を目指すことになります。
このような「変則」的な状況下ではBEC(※6)等の詐欺被害が頻発する傾向にあり、新型コロナウイルスの感染拡大が深刻な米国においては、混乱に乗じた詐欺被害が相次いで報告されています。
4月1日にFBIは声明を発表し、下記の兆候が確認できた場合は特に注意を払って行動するよう注意喚起を行っております。(※7)

  • 直前になって急に連絡先や送金等の指示が変更になった場合
  • 既に確立されたはずの連絡手段が突然変更になった場合
  • 電子メールのみの連絡に固執し、電話などの別手段が拒否された場合
  • 急に料金の前払いを要求された場合
  • 従業員からの振込先口座の変更依頼

異変

サイバー攻撃の被害を抑えるために従業員やそのデバイスの「異変」を素早く正確に検知することが重要です。ますます高度化する標的型攻撃に備えて、SIEM(Security Information and Event Management)やEDR(Endpoint Detection and Response)等のソリューションを導入する企業が増えつつあります。 しかし、オフィス内の体制がどれだけ万全なものであったとしても、従業員やデバイスの所在や環境のコントロールが難しいテレワークにおいては、「異変」の検知が難しいケースがあります。特に対策が万全でないまま私用端末を業務に転用されるようなことがあると、全く検知の機会がないままサイバー攻撃の侵入口として利用され、情報漏洩等の被害に繋がるケースも考えられます。まずは、私用端末の位置付けを社内ルール上で明確に定義し、従業員に周知する必要があります。そして事故が発生した前提での対策を予め検討する事を推奨します。

(※6)

Business E-mail Compromiseの略で、メールを介した詐欺のことです。主に金銭の詐取を目的とするものが多いです。

さいごに

テレワークの安全性を確保するためには、そのセキュリティリスクを慎重に評価し、対策を立案することが必要です。しかしながら、セキュリティリスクを過剰に評価することで、実現をためらったり、その目的が達成できなかったりしては本末転倒です。本稿で紹介した「三変」を中心とした脅威をご参考いただき、皆様のより安全なテレワーク環境実現の一助となれば幸いです。
便利なものを如何に安全に利用するかを考えるのが、我々セキュリティ技術者のミッションでもあります。
社会全体で力を結集してこの難局を乗り越えていきましょう。

お問い合わせ