2020年、新型コロナウイルスの流行により、企業ではテレワークへの環境移行が進みました。そして、2021年1月、再び緊急事態宣言が発令された今、より一層テレワーク環境での業務遂行が求められる状況になります。加えて、中長期的に見ても、政府によるデジタル庁新設などの背景により、企業の業務のデジタル化は更に加速していくものと考えられます。
その一方で、企業はサイバー攻撃を受ける可能性が高くなっているとも言えます。実際、働き方の変化に伴い導入が増加したMicrosoft365関連のマルウェア攻撃は前年比7倍以上、リモートワーク関連システムを狙った攻撃は前年比54倍以上と報告されています。今の時代に適したセキュリティ対策の実施はもはや「待ったなし」の状態となっています。
セキュリティ予算・人的リソースが限られた状況の中で、どのセキュリティ対策を優先すべきか分からないとのお悩みを、中小企業の担当者様から頻繁にお聞きします。本記事では、新型コロナウイルスに乗じたサイバー攻撃や労務環境の変化によって生まれた新たなリスクについて、中小企業が対策すべき事項を優先順位を付けて解説します。
テレワーク環境の導入によって、これまで使ったことのないITやネットワーク機能が急速に身近な存在となりました。これに伴い、「新型コロナウイルス」というキーワードを使ったサイバー攻撃と、新たなツール等のIT導入でできたセキュリティホールを狙う攻撃が、大企業にとどまらず中小企業でも急増しています。
中小企業を対象にした攻撃が多く確認されており、経済産業省が公開した情報によると、中小企業1,064社に対してサイバー攻撃を調査した9か月間、計910件のアラートが発生しました。うち128件が、重大なインシデントであるとして対応を迫られました。また、対処をしなかった場合の被害総額が5000万円にも及ぶ攻撃を受けた事例も確認されています。
つまり、大企業だけでなく中小企業も、ウィズコロナ時代に合ったセキュリティ対策を行う必要があります。まずは、近年のサイバー攻撃について次章で解説していきます。当社が観測した詳細な攻撃ごとの状況推移については以下の記事をご参照ください。
【振り返り】緊急事態宣言下ではどんなサイバー攻撃や事故が起こっていたのか?
新型コロナウイルスのパンデミックに乗じて、「新型コロナウイルス」のキーワードを用いたサイバー攻撃が増加しました。セキュリティソフトウェアなどを製造/販売するMcAfeeの2020年11月の脅威レポートによると、検知した新型コロナウイルス関連の攻撃は、前四半期比6倍以上となりました。
また、キヤノンマーケティングジャパンの2020年上半期マルウェアレポートによると、「新型コロナウイルス」のキーワードが含まれるフィッシングメール攻撃は、以前の攻撃成功数と比較すると前年比2.5倍以上となっています。
これらの増加した攻撃は、実は、新規の手法を用いたものではありません。従来から使用されてきた攻撃手法に、「新型コロナウイルス」に関連したフィッシングのためのキーワードでの誘い込みのみが加わった、「既知の攻撃手法×流行のフィッシングのキーワード」による攻撃です。
「流行のフィッシングのキーワード」は、例えば、WebサイトのURLやメールの添付ファイル名などに埋め込まれています。これにつられて、利用者がURLをクリックしてしまったり添付ファイルを開いてしまったりすることで、マルウェアに感染するケースが少なくありません。
このように、既知の「攻撃手法」に加えて、後者の「キーワード」を状況に応じて流行りのものに変える攻撃に特に注意が必要です。なぜならば、この攻撃は攻撃者にとって、実行することが楽でありながら、効果の高い攻撃だからです。私たちは、低コストの作業で作られた攻撃に多くの被害を受けていると言えます。
また、新型コロナウイルスのキーワードを使っていない新規の攻撃にも警戒が必要です。2020年7月、欧米で死亡事故を引き起こした、複数の手法で身代金を要求する攻撃が初めて日本で観測されました。本件は、新型コロナウイルスのキーワードを伴わない攻撃でしたが、攻撃手法自体が新規性を持っているため特段の周知・警戒が求められます。なぜなら、攻撃を防ぐ手段が一般化しておらず、その上、「新型コロナウイルス」等の流行キーワードが組み込まれると、多くの企業が大規模な被害を受けることが予想されます。今だからこそ、中小企業はセキュリティ対策に力を入れるべきでしょう。
これまでITのノウハウがなかった企業がリモートワークへ移行した結果、新たなリスクが生まれています。そして、このリスクに気がつかないままサービスを利用した結果、サイバー攻撃を受ける事案が多く発生しています。ここでは、IT環境の変化とそれによって生まれたリスクについて、総務省のテレワークセキュリティガイドライン第4版 別紙3に掲載された事例を基にしつつ解説します。
変化1: ITツール導入機会の増加
働き方の変化により、ZoomやMicrosoft TeamsなどのWeb会議ツールや、ファイル共有を含めた情報共有ツールなど新しいツールを導入する機会が急激に増えました。それらのツールを従業員が個人の判断のもとに導入することにより、設定方針や設定内容に統制が取れず、数多くのセキュリティインシデントを引き起こしています。
例えば、悪意あるフリーソフトウェアをダウンロードすることで情報漏洩につながる恐れがあります。また、放置されていたために、OS・アプリケーションの最新化やセキュリティパッチ適用が長期間なされていない端末を使用することで、PCがマルウェア感染した事例が報告されています。
また、クラウドストレージのファイル共有の誤設定によって、社内情報が意図せず社外から閲覧できてしまい、情報漏洩する事例も多数報告されるようになりました。加えて、社員が本番環境で作業を行う運用者に対して開放したポートの設定を誤り、外部からの不正アクセスを許す事例も多く、前年比54倍以上の攻撃件数が報告されています。
変化2:端末の社外利用の常態化
働き方の変化により、モバイルPCの社外利用が日常になりました。
内部に取引先リストを収納したモバイルPCを電車内に置き忘れ、後日取引先にいたずら電話がかかってくるなど、デバイスの盗難や紛失から不正アクセスにつながる事例が報告されています。また、中小企業の従業員が公衆無線LANに接続し、電子メールの送受信を行っていたところ、添付したファイル内の機密情報が漏洩した事例が報告されました。
組織が業務に利用すると許可した私物端末(以降、BYOD端末)について、セキュリティの安全性が保証されていないBYOD端末がマルウェア感染し、それを踏み台にして社内システムにアクセスされ情報漏洩を起こした事例も報告されています。
では、これらリスクに対して備えるため、中小企業は具体的に何を対策すればいいのでしょうか。
前章で述べた環境の変化に伴うサイバー攻撃の増加により、新しい環境に合う基本的な対策が求められるようになりました。まず、中小企業がコロナ前後の対策を合わせた中で何を優先して実施すべきかを解説します。次に、コロナ後のテレワークにおける環境変化によって生じたリスクに対して、実施すべき対策をご紹介します。
スタートアップ企業向けのセキュリティ対策については以下の記事をご参照ください。
【図解で整理】スタートアップ企業にとってのセキュリティを考えてみた
中小企業が優先すべき対策を明確にするため、以下3つの指標で優先度を定義しました。
多くの対策がある中で、上記指標から特に対策すべきと評価された3つを以下で紹介します。
対策1:自社のセキュリティリスクと危険度を知る
解決策の一つとして、オンライン上で設問に答えると自社のセキュリティ現状を知ることができる、無料のセキュリティ診断 「Secure SketCH」がおすすめです。
対策2:パスワード設定の見直し
第三者からの不正なアクセスを防ぐために、強固なパスワード設定をしましょう。英国国家サイバーセキュリティセンター(NCSC)が提供する、よく使われているパスワードリスト100選(123456、password1など)に載っていないものを使用しましょう。加えて、8桁以上の記号・大文字・小文字を含んだ複雑な文字列に見直しましょう。
また前述のキヤノンマーケティングジャパンの2020年上半期マルウェアレポートによると、リモートワークのために使用するシステムを狙った攻撃が前年比54倍以上に急増しています。これはリモートワークシステムのパスワードを平易なものや、推測されやすいものに設定していることが原因と考えられます。その結果、文字の総当たりやよく使われているパスワードリストの自動的な入力試行により、簡単に侵入が行われてしまいます。
対策3:定期的なパッチの適用
働き方の変化により、多くの企業でハードウェアやソフトウェアが新しく導入されています。それらのOSやソフトウェアが最新の状態でないと、脆弱性を利用した攻撃により情報漏洩や機器が利用できなくなる可能性があります。
全てのOSやソフトウェアにパッチ(修正プログラム)を適用し、最新の状態に保ちましょう。しかしこの作業は、自社で動作している全ての機器の中でパッチを適用すべき対象を特定し、適用するパッチの選定を行う必要があり大変な作業です。最新パッチが適用できない場合は、下記対応を選択して行いましょう。
ここからは、オフィスワークからテレワークへの変化により新しく生じた、注意すべきリスクとその対策についてまとめてご紹介します。下表では、リスクごとの対策を簡潔に記載していますが、より詳しく知りたい方は総務省が公開しているテレワークセキュリティガイドライン(第4版)をご参照ください。なお、現在総務省が同ガイドラインの第5版の作成検討を進めており、年度内を目処に公表される予定となっています。
|
変化 |
脅威 |
リスク |
対策(ガイドライン対応ページ) |
|
新ツール導入機会の増加
|
悪意のあるソフトウェアのダウンロード |
PCがマルウェアに感染し、情報を窃取される可能性 |
・台帳による全ソフトウェアの把握と管理(P.43) ・従業員が使用できるソフトウェアの制限(P.33) ・ソフトウェアへ定期的なパッチの適用(P.37) ・全端末へのマルウェア対策ソフトの導入(P.35) |
|
共有設定を誤り、社外秘情報を一般公開 |
「丸見えのサーバ」に攻撃され、情報を窃取される可能性 |
・使用していないRDPポートの閉塞(P.49) ・Webサービス、クラウドサーバのデータ公開・共有範囲の設定見直し(P.56) |
|
|
一般的になった端末の社外利用
|
デバイスの盗難・紛失、不正アクセス |
情報を窃取される可能性 |
・台帳による全ハードウェア(※可能であれば、組織が業務に利用すると許可した私物端末を含む)管理(P.43) ・必要最小限な人に最小限の権利を付与した、適切な認証情報の保管・管理(P.48) ・強固なパスワード設定 (P.51) -8桁以上の記号・大文字・小文字を含んだ複雑な文字列を使用 |
|
BYOD端末を管理できない |
公私のデータが混在して全てを管理・監視できないため、セキュアでないBYOD端末がマルウェア感染を起こし情報が窃取される可能性 |
・マルウェア対策ソフトを従業員の全BYOD端末に導入 ・BYOD端末の機能や指定業務は可能な限り最小限に(P.38) ・端末上の個人データの扱いや料金負担などの管理ルールを明確化(P.54) |
|
|
ネットワークを介したコミュニケーション
|
盗聴 |
従業員がカフェやホテルなどの、接続先IDとパスワードが公開されているフリーWiFi回線を使用すると、会話が盗聴され情報が窃取される可能性 |
・VPNなど会社固有の安全なネットワーク回線使用(P.46) |
|
緊急時に迅速な対応が困難 |
緊急時の対応方針や連絡体制があらかじめ決まっていないと、被害が必要以上に拡大してしまう恐れ |
・インシデント発生時の緊急連絡先の設定や周知 (P.29) ・インシデント発生時の対応手順の設定や周知(P.29) ・テレワーク実施時のインシデント発生を想定した教育・ |
本記事では、新型コロナウイルスの流行によって変化した「働き方」と、社外からの「サイバー攻撃動向」によって生じた新たなセキュリティリスクを解説しながら、中小企業が今優先して行うべき、セキュリティ対策を解説しました。
企業の重要な情報が狙われる可能性が高い状況の中、セキュリティ対策は待ったなしです。まずは、自社のセキュリティ状況を把握しましょう。次に、自社のセキュリティ対策の弱点を参考に、効果のある対策を実施しましょう。自社にカスタマイズされた対策を知りたい、迅速で効率的な対策を実行したい方は、NRIセキュアの「セキュリティ・カウンセリングサービス」にご相談ください。
■関連サービス
30分でわかる無料セキュリティ診断:Secure SketCH
個社の状況に合った迅速な対策が可能:セキュリティ・カウンセリングサービス