情報処理推進機構(IPA)は、毎年発生する社会的に影響が大きかったと考えられる情報セキュリティにおける事案から、重大な脅威の候補を選出し、情報セキュリティ分野の研究者、企業の実務担当者などからなる選考会が審議・投票を行い、「情報セキュリティ10大脅威」を決定して発表しています。

2021年2月に発表された「情報セキュリティ10大脅威 2021」では、2020年に発生した事案から選定されています。その中でテレワークが関係する事案が、第3位と上位にランクイン。コロナ禍でテレワークが急速に導入された事情が反映された形です。そこで、IPAから発表された内容をもとに発生事案と対策についてお伝えします。

目次
  1. コロナ禍で急速に広まったゆえのテレワークの弱点
    1. 狙われている弱点とは?
    2. 実際に起きている事例は?
    3. 対策の方法は?
    4. テレワーク環境もセキュリティ対策を!
  2. こちらもチェック!
    1. UTMとは?ファイアウォールとの違いは?
    2. セキュリティを強化しませんか?

コロナ禍で急速に広まったゆえのテレワークの弱点

2020年は新型コロナウイルス感染症が世界的に蔓延し、政府機関からは感染症対策として出社自粛が呼び掛けらるとともに、テレワークが推奨されました。各企業はテレワークへの移行を急ぎ、試行錯誤で運用しながら、最近では本格的な活用が定着してきています。しかしその反面、セキュリティの弱さも露呈し、そこを狙った攻撃が増えています。

狙われている弱点とは?

テレワーク用ソフトウェアの脆弱性の悪用

テレワークへの移行に伴い、自宅等の外部から VPN 経由で社内システムにアクセスしたり、WEB会議サービスを利用して企業間など外部との会議を行ったりする機会が増えました。

そのため、VPN などを利用するために初めて使うソフトウェアを導入したり、緊急用としていた仕組みを恒常的に使う必要性がでてきて、十分なセキュリティ対策がされない状態で利用している企業もあるようです。

そうした VPN などのテレワーク用に導入している製品の脆弱性を悪用して社内システムに不正アクセスしたり、パソコンに保存されている業務情報等を窃取したりする、WEB会議サービスの脆弱性を悪用してのぞき見する、といった攻撃が増えています。

VPNとは?

Virtual Private Networkの略称で、仮想専用線と訳されます。インターネット上で利用者専用の仮想的なプライベートネットワークを構築することで、セキュリティ上の安全性を担保して通信を行う技術です。

急なテレワーク移行による管理体制の不備

テレワークで利用しているパソコン内の OS やソフトウェアのセキュリティ管理を、ITの専門知識が十分でない組織が自ら行うのは難しいことです。その中で、テレワークへ急に移行したことによりルール整備やセキュリティ対策のノウハウが不十分なまま利用を開始したことも背景になっていると考えられます。

私物のパソコンや自宅ネットワークの利用

テレワーク実施のため、私物のパソコンを利用している場合、WEBサイトやSNSにアクセスしたり、私物のソフトウェアをインストールすることもあり、その際、パソコンがウイルスに感染したり、攻撃者にソフトウェアの脆弱性を悪用され、テレワーク用の認証情報などを窃取されたりするおそれがあります。

また、支給されたパソコンを利用している場合でも、自宅ネットワークが適切なセキュリティ対策が行われていなければ、企業などの組織側で運用している適切なセキュリティ対策が適用されず、パソコンがウイルスに感染するなどのおそれがあります。

実際に起きている事例は?

脆弱性の悪用により VPN のパスワード流出

VPN 製品の脆弱性が悪用されて窃取された認証情報、約900件がインターネット上で公開されていることが判明した事例(2020年8月)があります。その際に悪用された脆弱性はアドバイザリが公開されており(2019年4月)、更新プログラムを適用していないVPN製品が狙われた例です。

テレワーク中にウイルス感染して社内に拡大

テレワーク中の従業員が社有パソコンで社内ネットワークを経由せずに外部ネットワークに接続、SNSを利用したところウイルスに感染しました。その後、その従業員が出社して感染したパソコンを社内ネットワークに接続したことで、社内ネットワークにウイルス感染が拡大してしまいました。

非公開会議へアクセスできる脆弱性を悪用

WEB会議サービス Zoomに、特定の状況下において数分で非公開の Zoom会議へアクセスできる脆弱性があったと発表されました(2020年7月)。Zoom会議へアクセスする際に使う初期パスワードは6桁の数字で、パスワードの候補は最大で100万個ほどでした。当時、特定のアクセス方法を行うことでパスワード施行回数の制限を回避できる状況だったため、100万回ほどの試行でログインされるおそれがあるというものでした。なお、すでにこの脆弱性は修正されています。

対策の方法は?

テレワーカーの対策

  • 情報リテラシーや情報モラルの向上
    セキュリティ教育の受講
  • 被害の予防(被害に備えた対策含む)
    ・情報セキュリティの基本的な対策(下記の表参照)を実施
    ・組織のテレワークのルールを遵守(使用する端末、ネットワーク環境、作業場所等)
  • 被害を受けた後の対応
    CSIRT への連絡
攻撃の糸口基本的な情報セキュリティ対策目的
ソフトウェアの脆弱性ソフトウェアの更新脆弱性を解消し攻撃によるリスク
を低減する
ウイルス感染セキュリティソフトの利用攻撃をブロックする
パスワード窃取パスワードの管理・認証の強化パスワード窃取によるリスクを低
減する
設定不備設定の見直し誤った設定を攻撃に利用されな
いようにする
誘導(罠にはめる)脅威・手口を知る手口から重要視するべき対策を
理解する
情報セキュリティの基本的な対策(IPAによる)
CSIRTとは?

セキュリティインシデント等の問題が発生した際に原因究明や影響範囲の調査等を行う組織のこと。自組織に関する問題に対応する場合は、自組織 CSIRT と呼びます。

組織(経営者層)の対策

  • 組織としての体制の確立
    ・CSIRT の構築
    ・対策予算の確保と継続的な対策の実施
    ・テレワークのセキュリティポリシーの策定

組織(セキュリティ担当者、システム管理者)の対策

  • 被害の予防(被害に備えた対策含む)
    ・シンクライアント、VPN、ZTNA 等のセキュリティに強いテレワーク環境の採用
    ・テレワークの規程や運用ルールの整備
     組織支給パソコンと私物パソコンの違いも考慮する必要がある。
    ・セキュリティ教育の実施
    ・テレワークで利用するソフトウェアの脆弱性
     情報の収集と周知、対策状況の管理
    ・セキュリティパッチの適用(VPN 装置、ネットワーク機器、パソコン等)
  • 被害の早期検知
    ・適切なログの取得と継続的な監視
    ・ネットワーク監視、防御
     UTM・IDS/IPS 等の導入
  • 被害を受けた後の対応
    ・CSIRT の運用によるインシデント対応
     影響調査および原因の追究、対策の強化
ZTNAとは?

Zero Trust Network Access の略称で、「全てのアクセスを信頼しない」という考え方を取り入れた、セキュリティソリューションです。データファイルやアプリへのアクセス制御を一元的に管理するため、組織におけるセキュリティレベルのばらつきを防ぎます。限定されたユーザーとしか通信しないため、不正アクセスを受けるリスクを大幅に軽減することが可能です。
通信の脆弱性と安定性に課題を残していた VPN に対して、どこからアクセスしても安全なネットワーク環境を保証する方法として注目されています。

テレワーク環境もセキュリティ対策を!

ウィズ・コロナが現実的になる中、テレワークは今後も業務の遂行に不可欠なアイテムになると考えられます。緊急ではなく、恒常的に利用していくことを視野に入れて、しっかりとセキュリティ対策をしましょう。

こちらもチェック!

UTMとは?ファイアウォールとの違いは?

UTMとは複数のセキュリティ機能を一元化させた製品のことで、セキュリティに関する様々な管理をUTMだけで行うことができるというものです。

詳しくみる

セキュリティを強化しませんか?

いつもご利用頂き、ありがとうございます。より安心してご利用頂くために、ご質問やご不安なことがございましたら、いつでもお気軽にご相談下さい。