中小企業のセキュリティー対策 vol.48 テレワークを狙った攻撃

コロナ禍での被害事例

2020年は新型コロナウイルス感染症の世界的なまん延に伴い、政府機関から日本の組織に対して感染症対策の一環としてニューノーマルな働き方の一つであるテレワークが推奨された。組織のテレワークへの移行に伴いWeb会議サービスやVPN（仮想専用ネットワーク）などの本格的な活用が始まった中、それらを狙った攻撃が観測されている。

在宅勤務中にウイルス感染、社内に拡大

20年4月、在宅勤務中の従業員が社有PCで社内ネットワークを経由せずに外部ネットワークに接続し、SNSを利用した際にウイルスに感染した。その後、当該従業員が出社した際に当該PCを社内ネットワークに接続したところ社内ネットワークにウイルス感染が拡大した。

非公開Web会議へアクセスできる脆弱性

20年7月、あるWeb会議サービスに、特定の状況下において数分で非公開のWeb会議へアクセスできる脆弱(ぜいじゃく)性があったと発表された。Web会議へアクセスする際に使うデフォルトのパスワードは6桁の数字であり、パスワードの候補は最大で100万個ほどであった。当時、特定のアクセス方法を行うことでパスワード施行回数の制限を回避できる状況だったため、100万回ほどの試行でログインされる恐れがあるというものであった。なお、当該脆弱性は、Web会議サービス会社が報告を受けた4月に修正されている。

脆弱性の悪用によるVPNの認証情報流出

20年8月、VPN製品の脆弱性が悪用されて窃取された認証情報約900件がインターネット上で公開されていることが判明した。なお、悪用された脆弱性は19年4月にアドバイザリが公開されており、更新プログラムを適用していないVPN製品が狙われた。

各人が講じるべき対策

このようなテレワークなどのニューノーマルな働き方を狙った攻撃の被害に遭わないために、経営者、セキュリティー担当者、従業員はそれぞれ次に挙げる対策を実施してほしい。

経営者は、テレワークにおけるセキュリティー方針を策定し、継続的に対策を実施するよう担当者に指示する。また、対策予算の確保や緊急時対応も含めた体制の確立を図る。

セキュリティー担当者は、被害予防として、組織支給PCと私物PCの違いも考慮した上で、テレワークの規定や運用ルールの整備を行い、従業員に対してセキュリティー教育を実施する。可能であれば、シンクライアントやVPN、ゼロトラストネットワークなどのセキュリティーに強いテレワーク環境の採用を検討してほしい。

運用中は、テレワークで利用するソフトウエアの脆弱性情報の収集と周知、対策状況の管理を行う。また、被害の早期検知のために、適切なログの取得と継続的な監視を行うことも重要である。

テレワーカーである従業員は、組織が提供するセキュリティー教育を受講して、情報リテラシーや情報モラルの向上を図る。

また、基本的な情報セキュリティー対策を実施するとともに、組織のテレワークのルールを順守することが重要である。もしも被害を受けた場合は、社内体制に従って報告し、迅速に対処するようにする。

独立行政法人情報処理推進機構（IPA）では、テレワークを支援する各種施策をまとめた特設サイト（こちらを参照）を公開しているので参考にしてほしい。

（独立行政法人情報処理推進機構・江島将和）