狙われやすいセキュリティの脆弱性とは

アフターコロナの時代。出社回帰が本格化してきましたが働き方改革の観点からテレワークを継続する企業も多い昨今、実はテレワークを狙ったサイバー攻撃が後を絶たないのが現状です。経営者などのリーダー層は新型ウィルス蔓延以降のテレワークリスクをどう捉え、どのような対策を取ればよいのでしょうか。今回はこの話題を取り上げて解説します。

ランサムウェア感染経路の拡大

警察庁資料「令和5年上半期におけるサイバー空間をめぐる脅威の情勢等について」では報告された「企業や団体等のランサムウェア被害」の件数は2020年下期以降、右肩上がりに増え続け、2023年度の上期は103件と2022年度下期の116件より減少しましたが、依然として高水準。しかも、その感染経路はVPN機器やリモートデスクトップからの侵入が合わせて8割を超え、テレワークを通じた被害が大半にのぼると見られます。

ランサムウェアにとどまらず、一般的にサイバー攻撃に脆弱な組織が狙われやすいのが現実。自宅セキュリティは会社ほど十分ではない場合が多く、被害につながるケースも増えています。とくにゼロトラストを意識していないテレワークで問題が起こりやすいと言えます。ゼロトラストとは、文字どおり「何も信頼せず」セキュリティ対策に取り組むこと。たとえばセキュリティ対策への意識が高い企業はテレワーク用の端末やモバイル回線などを事前に準備したうえでテレワーク運用を始めましたが、緊急事態宣言により必要に迫られとりあえず社員が会社のパソコンを自宅に持ち帰っただけで始めた企業に関しては対策が甘く、当然サイバー攻撃に弱い。「セキュリティ対策をしっかり行うにはそれなりのコスト・技術・人員や体制が必要。そのため、テレワークが広がった現在も対策が十分でない企業は少なからずある」のが実情です。

「家庭向け」ルーターの潜在リスク

弱いところを突くのが異なるネットワーク同士を接続する「ルーター」攻撃。ルーターはテレワークに必須、社員個人の家庭用ルーターでテレワークを行うケースも少なくありません。家庭用ルーターが標的の1つにされ、ここを踏み台にしたサイバー犯罪も増え続けています。

ルーターへの攻撃は2015~2016年頃から急激に増え、国内ルーターメーカーは2020年前後から製品にファームウェア自動更新機能の搭載が標準化され、問題があると自動的に修正できるよう改善しています。しかし、家庭用ルーターを使う人の多くは、故障でもない限り買い替えません。結果として古いものを使い続けている場合、外部からの侵入でネットワーク自体がやられてしまうと、パソコン自体のセキュリティをどんなに強固にしていても攻撃は防ぎきれません。また、攻撃されていることに気付かないケースも多く、最低限のセキュリティ対策として初期設定ID・パスワードの変更、ソフトウェアを最新の状態に更新、古くなったルーターの買い替えはしておくべきでしょう。

便利なチャットツール利用等の危険性

クラウド活用が加速、ZoomやTeamsなどを使ったオンライン会議が当たり前のように行われている現代。オンライン上でデータ共有も簡単にできるのですが、「利便性の高いツール使用は攻撃側にとっても便利」なのは当然と言えば当然です。

テレワーク時の外部システム活用の際、管理ができていないケースでは、システムが不正アクセスを受けた場合やフィッシングなど社員のID・パスワードが盗まれログインされた場合に重要データや業務ファイルの漏洩リスクが高いのです。便利なチャットツールなど攻撃側も狙っています。以前はメール中心の対策で済んでいましたがコミュニケーションチャネルが多様化すれば防御範囲が広がらざるえません。攻撃側はAIまで活用し始めており、アンダーグラウンドではサイバー攻撃をサポートするAIサービスが登場、なりすましやフィッシングメール作成に生成AIを活用しているケースはすでに多いと見られます。

ChatGPTには『コンピューターウイルスを作って』などの指示(プロンプト)は拒否する悪用防止機能が備わっておりますが、その機能をはずすジェイルブレイク(脱獄)も出回っています。オンプレミスの構築環境も以前より整っており、将来的に自前のAIシステムを使った攻撃も出てくるはず。

不審メール警戒や私用パソコンの会社持ち込み禁止などルールが決められていない中小企業が多いのが現状。問題発生時の責任者や対応方法を含めた体制づくりも重要です。いざという場合、紙による業務に対応できるかやサイバーリスクリテラシーを高める社員教育の必要性が高まっています。企業規模に関係なくサイバー攻撃を受けるなか、中小企業も情報資産がどこにあり、どう守っていけるかを把握しておくべきなのは言うまでもありません。

何をしてよいのかわからない、コストの負担が難しい場合には「IPAの『中小企業の情報セキュリティガイドライン』の自社診断リストや総務省の『中小企業等担当者向けテレワークセキュリティの手引き』などを活用して現状把握から始めるのをお勧めします。

バランスを保って対応するには

総務省の「テレワークセキュリティに関する実態調査(令和4年度)」によると今後のテレワークの活用予定について7割が活用予定である一方、5.7%の企業が「すでに導入をやめた」、7.1%の企業が「活用しない」と回答しており、その理由として「情報漏洩などのセキュリティが心配だから」を挙げる企業が18.5%に上ります。

DX推進が叫ばれる時代、テクノロジーを使わずすべての業務を行うことはできません。テレワークをやめサイバー攻撃から解放されるわけではないのです。テレワークは企業のBCP対策や生産性向上、人材確保にも有効とされ、メリットを無視するのは現実的ではないのが実際のところ。「サイバー攻撃を完全に防御することは難しい。しかし、サイバー攻撃の多くは対策がまったくできていないところを狙い撃ちしており、できる範囲で最低限の対策を施すだけでもテレワークリスクは減らせます。対策のポイントを押さえリスクとバランスを図りメリットも享受すべき。」と識者は説きます。

テレワークのメリットを最大限生かすには、セキュリティが無防備であれば確実に狙われやすい現状を知り、さまざまなリスクを勘案して経営者や経営層が対策を打てるか。
その判断や姿勢が現在問われている。