テレワーク導入企業に対するサイバー攻撃の現状

まずは、テレワークの実施状況とサイバー攻撃の件数について解説します。とくにサイバー攻撃の件数は増加傾向にあります。テレワークを実施するのであれば、サイバー攻撃を受ける危険性についてもしっかり押さえておくべきです。

テレワークの実施状況

総務省が2020年12月〜2021年1月にかけて実施した調査によると、全体で24.8％の企業がテレワークを導入しています。［注1］

従業員300人以上の企業については66.9％と、約3分の2がテレワークを導入しています。従業員20人未満の企業でも24.2％で、約4分の1がテレワークを導入していることがわかります。今後導入予定の企業もあることから、テレワークの導入はますます加速していくものと思われます。

なお、テレワークの導入時期については新型コロナウイルス対策のために急きょ導入したという企業が、全体の19.1％を占めています。そのため、一番の課題として「セキュリティの確保」が挙げられているのが現状です。

また、テレワークに使う端末については41.9％が従業員所有のものを使っています。すでにサポートされていないOSを使用していると答えた企業も17％でした。このように、調査結果からはセキュリティ上弱点となり得るような要素も読み取ることができます。

増加を続けるサイバー攻撃の件数

一方で、サイバー攻撃の件数はどうなっているのでしょうか。

総務省が2020年12月に発表した「サイバー攻撃の最近の動向等について」によると、NICTER（※1）で観測されたサイバー攻撃の回数は2019年が3,279億パケットと2018年と比べて1.5倍、3年前の2016年と比べて2.6倍と年々増加傾向にあります。［注2］

また、IPA（情報処理推進機構）が2021年2月末に公開した「情報セキュリティ10大脅威2021」では、組織における10大脅威に「テレワーク等のニューノーマルな働き方を狙った攻撃」が第3位に登場しています。以上のことからも、テレワークを狙ったサイバー攻撃の件数は今後も増えると考えられるでしょう。

※1：NICTER
Network Incident analysis Tactical Center for Emergency Responseと呼ばれる情報通信研究機構のサイバー攻撃観測と分析システム

テレワーク導入企業へのサイバー攻撃によるリスク

サイバー攻撃のリスクとして、大きく分けて以下の3つが挙げられます。

• 情報の損失
• 情報漏洩などによる信頼の損失
• 業務の停止

まず、情報の損失です。不正アクセスなどでデータが消去されたり、ランサムウェア（※2）でデータが暗号化されたりした場合、そのデータは使用不可能になってしまいます。それらのデータに重要な情報が含まれている場合、その損失は計り知れません。

次に、情報漏洩などによる社会的な信頼の喪失です。企業の機密情報が漏洩すると大きな損失を被ることになるでしょう。また、現代ではとくに個人情報の保護が重要視されています。そのため、個人情報の流出は企業にとって、将来に響く深刻なダメージを与えることになります。

最後に業務の停止です。情報の損失や漏洩が起きると、それらの対策のために本来の業務を中断せざるを得ません。データやサーバーの復旧、顧客への謝罪といった対応に追われて業務が継続できないとなると、企業の存続にも関わってきます。

※2：ランサムウェア
Ransom（身代金）とSoftware（ソフトウェア）を組み合わせた造語。コンピューターウイルスの一種で、感染するとPCのアクセスが制限されたり、ファイルが暗号化されたりする。

テレワーク導入企業へのサイバー攻撃の経路

サイバー攻撃の件数増加やリスクについて解説してきましたが、そもそもサイバー攻撃を受ける経路にはどんなものがあるのでしょうか。以下より、サイバー攻撃の経路をいくつか挙げてみたいと思います。

リモートデスクトップ

リモートデスクトップ（RDP）はWindowsにも標準搭載されている機能で、離れた場所のコンピューターにアクセスできる便利な機能です。しかし、離れた場所にアクセスできるということは、第三者によるアクセスも可能であるということです。

セキュリティベンダーのソフォス社による「2021年版 ソフォス脅威レポート」でも、RDPはマルウェアなどの攻撃対象となっているとして、警鐘を鳴らしています。［注3］テレワークでRDPを使用する企業も多いため、対策は急務といえるでしょう。

Eメール

最近では、連絡手段としてChatworkやSlackなどのビジネスチャットを使う企業が増えたものの、依然としてEメールを利用している企業は多く、中心的なコミュニケーションツールとして使われています。このEメールを利用したサイバー攻撃の手法として、最も有名なのが「標的型メール」です。業務連絡を装ったメールを送ることで添付ファイルを開封させ、気付かぬうちにウイルスに感染させます。

上記のようなEメールを使ったサイバー攻撃も依然として数多くおこなわれており、年々巧妙化しています。

公衆Wi-Fi

「暗号化されていないWi-Fiは盗聴される可能性があるため、使わないほうがよい」ということは、今や広く知られていることでしょう。これに加え、ホテルや飲食店、コワーキングスペースのWi-Fiなど、パスワードが利用者に公開されているアクセスポイントも注意が必要です。

一般公開されているWi-Fiの場合、悪意のある人物が同じネットワーク内にいたら、たとえ暗号化されていても意味がありません。どのユーザーも同じパスワードで暗号化されているため、実質暗号化していないのと同じであるためです。よって、やろうと思えば他人の通信内容を傍受することも可能なのです。

また、その店舗や施設が提供しているアクセスポイントと見せかけた偽のアクセスポイントに誘導される可能性もあります。偽のアクセスポイントに接続すると、通信内容の傍受はもちろん、個人情報などを抜き取られたり、悪質なサイトに誘導されるなどさまざまな危険性があります。

偽のアクセスポイントは、公開されている公衆Wi-Fiと同一のSSIDやパスワードを使っています。そのため、一見しただけで偽物だと見破ることは極めて困難です。とくにWi-Fiの自動接続設定を使っている場合は、本人がまったく気付かないうちに偽アクセスポイントに接続して、マルチウェアに感染してしまうこともあるのです。

自宅のインターネット回線

自宅にIoT機器がまったくないという人は、最近では少ないのではないでしょうか。

たとえば、インターネット回線がある家であればルーターがあります。また、最近のテレビやブルーレイレコーダーなどもネットワーク接続するのが当たり前です。さらに、冷蔵庫などの白物家電にネットワーク機能がついているケースも増えています。こうしたプライベートのIoT機器を介して、攻撃を受ける危険性もあるのです。

私物端末

前述した総務省「テレワークセキュリティに関する2次実態調査」によると、テレワークに私物端末を使っている企業は41.9％もありました。［注1］

最近では、BYOD（Bring Your Own Device）といって、私物端末の使用を積極的におこなう考え方もあります。しかし、セキュリティ対策が甘いこともあるため、注意しなければなりません。

テレワーク導入企業へのサイバー攻撃の予防策

サイバー攻撃に備えるためにはどうすればよいでしょうか。細かい対策は事例とともに紹介します。ここでは、すべてに共通する一般的な対策について解説します。

ルールの策定

企業内でセキュリティポリシーを定めることはセキュリティ対策の第一歩です。とくに新型コロナウイルス対策で急遽テレワークを導入した企業のなかには、ポリシーの策定が追いついていないところもあるのではないでしょうか。

ルールを定めていないと、その都度判断や対策が必要となり、効率的ではありません。また、判断を誤ってしまう危険もあります。逆にルールを定めておけば、従業員全員が共通の基準を持つことができ、効率的に業務をおこなうことができるでしょう。

従業員に対する研修

とくにテレワークでは、従業員一人ひとりの判断に頼る面も大きいため、従業員に対する指導や研修が重要です。従業員全員にルールの根拠と必要性を納得してもらうため、研修は必須といえます。

社内でルールが定められていても、従業員がそれを守らなければ意味がありません。しかし、業務が複雑になるなどの理由で、ルール自体が従業員から歓迎されないこともあるでしょう。

例としては、フリーソフトの使用可否などが挙げられます。大多数のフリーソフトは使用しても何ら問題ないものの、一部のフリーソフトにはマルウェアが仕込まれていることがあります。そのため、研修では「企業としては無制限の利用は認められない」ということを従業員に説明し、理解を得なければなりません。

セキュリティソフトやOSのアップデート

テクノロジーが発達した現代では、外部からの脅威に対抗すためのセキュリティソフトは必要不可欠です。したがって、ほとんどの企業で導入されていることでしょう。また、セキュリティソフトやOSなどソフトウェアは常に最新のものにしておかないといけません。

テレワークでのセキュリティについて、こちらの記事でも詳しく解説をしています。

パスワード管理

パスワード管理はセキュリティ対策における、永遠の課題かもしれません。実際に、簡単なパスワードを設定していたためにセキュリティが破られたという事例は多いです。パスワードについては、社内のセキュリティポリシーで条件を定める（英数字記号を用いて12文字以上など）など、一定の水準を維持する必要があります。

しかし、何から何までパスワードが必要な現代社会では「パスワードを強化しろ」「使い回すな」といわれても難しいかもしれません。こうした状況におすすめなのが、パスワード管理ソフトを利用することです。パスワード管理ソフトは、ソフト内にパスワードを暗号化して保存するものです。ソフトを開くためのマスターパスワードさえ覚えておけば、個別のパスワードは覚えなくてよくなります。

もちろん、マスターパスワードは強固なものにしないと意味がありません。しかし、一つだけ覚えておけばよいとなれば、かなり敷居は低くなるのではないでしょうか。KeePassなど、いくつか対応ソフトがあるので、興味がある人はぜひ検討してみてください。

テレワーク導入企業へのサイバー攻撃の被害事例と対策

ここまで、サイバー攻撃のリスクについて紹介してきました。さらに、セキュリティ強化の意識を高めるためには、具体的にどういった事件があったのかも確認すべきです。それでは以下より経路別に、サイバー攻撃の実例をみていきたいと思います。

リモートデスクトップの事例

従業員がとあるフリーソフトをインストールしたところ、マルウェアに感染しました。テレワークでリモートデスクトップを使用していたためリモートデスクトップ経由でサーバーに侵入され、顧客情報が流出しました。

解説

フリーソフトは便利なものもたくさんありますが、なかにはマルウェアが仕込まれたものもあるため注意が必要です。また、事例とは異なりますが、リモートデスクトップ（RDP）にパスワード総当りなどで攻撃を仕掛けられることもあります。

対策と予防策

フリーソフトからのマルウェア感染を防ぐには、セキュリティポリシーなどで対策を定めておく必要があります。たとえば、社内で安全を確認したソフトのみ使用可能にしたり、インストールする際には許可を受けるといったルールが必要です。

また、リモートデスクトップに対する総当り攻撃を防ぐには、アクセス元を従業員のものだけに限定するなど対策をおこなう必要があります。もちろん、パスワードも強固なものにしておく必要があるのはいうまでもありません。

標的型メールの事例

テレワーク中、勤務先のメールアドレスに以前得意先に出したメールの返信らしきものが届きました。メールを出したのは少し前の話だったので、少し不審に思いながら開いてみると、不自然な日本語のほかWordファイルが添付されていたそうです。ファイルを開いたところウイルスに感染してしまいました。

解説

標的型メールは以前から存在する手口ですが、近年巧妙化が進んでいます。最近ではEmotetと呼ばれるものが流行し、事例のように過去に自分が送ったメールの返信のかたちで送られてくるので、ついだまされてしまうことも多いといえます。

対策と予防策

事例のケースは見破るのが難しい例ではあります。しかし、メールがきた時期や内容に不自然な点も認められます。こういう内容のメールがきた際は、必ず相手方に電話などで連絡を取って真偽を確認することが必要です。

そのほかには、メールソフトの迷惑メール対策機能も完璧ではありませんがある程度は有効ですから必ず機能させておきましょう。また社内の連絡にChatworkなどを使用し、Eメールを使用しないということも対策の一つにはなるでしょう。

公衆無線LAN（Wi-Fi）の事例

コワーキングスペースのWi-Fiを使って電子メールの送受をおこなっていたところ、メールに書かれていた秘密情報が、いつの間にか流出していました。

解説

「サイバー攻撃の経路」でもお話したように、不特定多数がアクセスするWi-Fi環境というのは注意が必要です。悪意のある者がそのネットワーク内にいたら内容を傍受される可能性があります。なぜなら、正規のアクセスポイントを装った別のアクセスポイントに誘導されることがあるためです。

対策と予防策

このようなWi-Fiを使用する場合には、そもそも重要な内容を扱わないか、扱う場合はファイルを暗号化してから送信するなどの対策が必要でしょう。またVPN（※3）を導入することも有効です。ただし、VPNについては、下記で紹介するカプコン社の事例のように機器に脆弱性があると別の危険性が生じる恐れがあります。

※3：VPN
Virtual Private Networkの略。インターネット上に仮想の専用線（ネットワーク）を設けてデータのやり取りに使用するもの。

家庭内ネットワークの事例

従業員の自宅にあるブルーレイレコーダーから不正侵入され、従業員の端末がマルウェアに感染しました。感染した端末が起点となり、社内ネットワークに不正アクセスされた例です。

解説

いわゆるIoT機器といわれるものが近年大幅に増加しています。事例のブルーレイレコーダーもその一つです。

これらはネットワークに接続しているという意識が低いため、ユーザー名やパスワードが初期値のままであったり、ファームウェアが更新されていないことなどが散見されます。

しかし最近ではIoT機器を足がかりにしたサイバー攻撃が増加していることからIoT機器への対策は急務です。

対策と予防策

基本的に、以下の2点が重要です。

• ユーザー名とパスワードをデフォルトから変更する
• ファームウェアをアップデートする

また、メーカーのサポートが切れてファームウェアのアップデートがされていないような機器は、ネットワークに接続しないという判断も必要です。

ランサムウェア、VPNの事例｜カプコン

カプコン社が保有していた旧型のVPN装置に対し、不正なアクセス攻撃を受けました。不正アクセスから侵入したランサムウェアにより、ファイルが暗号化されたという事例です。また、この不正アクセスに伴い、約15,000人の個人情報などが外部に流出しました。

参考：不正アクセスに関する調査結果のご報告【第4報】｜株式会社カプコン

解説

2020年10月に発生した事件で、ニュースなどでも話題になったため、記憶している人も多いでしょう。

この事件は旧型のVPNを使っていたことからその脆弱性（弱点）を突いて侵入されたものです。VPNは、インターネット上の通信経路を暗号化するために用いるものです。しかし、事例のように機器が古いと逆に攻撃の糸口にもなってしまいます。

かつてサイバー攻撃といえば情報の流出であったり、サーバーの機能を停止させたりすることが主流でした。ランサムウェアの場合はファイルを使えなくして企業活動を中断させるという新たな手口の攻撃で、企業にとっても非常にダメージが大きいものです。

対策と予防策

VPNについては導入後の運用をしっかりおこなわないと、事例のようなトラブルにつながりかねません。導入するだけではなく、保守管理が大切といえます。また、ランサムウェアに感染し、金銭を要求されても、基本的に支払ってはいけません。事例のカプコン社も相手方と交渉はしていないそうです。

このようなランサムウェアによる攻撃にそなえるためには、重要情報のバックアップが大切です。バックアップはネットワークとは切り離した環境（外付けのハードディスクや光学ディスクなど）に保存することが、万が一、攻撃に遭った際の対策になります。

クラウドサービスの事例

福岡県で新型コロナウイルス感染者の個人情報がインターネット上で閲覧できる状態になっていました。なお、ファイルはGoogleドライブを使用していたそうです。

参考：新型コロナウイルス感染症対策本部（調整本部）における個人情報の漏えい事案について｜福岡県

解説

最近ではクラウドサービスを使ってデータを扱う企業も増えてきました。とくに他社と情報を共有するのに便利です。しかし設定ミスで誰でもアクセスできる状態になっていたということが散見され、事例もそういったものの一つです。

対策と予防策

クラウドサービスで重要なファイルを扱う際はアクセス制限について必ず確認するようにしなければなりません。また、サービスによってはセキュリティに問題があるものも存在します。そのため、導入にあたってはサービスのセキュリティについてもよく確認をしておく必要があります。

サイバー攻撃に対してバランスのよい対策を取ることが重要

今回は、テレワーク導入企業へのサイバー攻撃とその対策について解説しました。やらなければいけない対策はたくさんあるものの、重要なのはバランスのよい対策を打つことです。

2021年5月に総務省が出した「テレワークセキュリティガイドライン第5版」でも、バランスの取れた対策についてを、水を入れた樽を例に述べています。［注4］

簡単に説明すると、ルール、人、技術をそれぞれ樽板にたとえ、そのうち一つでもレベルの低いものがあればそこから水が溢れてしまい、ほかの2つがいくらレベルが高くても意味がないといっているのです。つまり、それぞれの企業に応じて、もっとも弱いと思われる分野を中心に、3つの分野をまんべんなく対策していくことが重要といえます。

今後はますますテレワークの比重が増すとともに、サイバー攻撃に遭う可能性も高くなるでしょう。被害に遭ってから「あのとき対策を取っていれば･･･」と後悔しないように、早めに対策を講じておきましょう。

［注1］テレワークセキュリティに関する2次実態調査｜総務省
［注2］サイバー攻撃の最近の動向等について｜総務省
［注3］2021年版 ソフォス脅威レポート｜SOPHOS
［注4］テレワークセキュリティガイドライン第5版｜総務省