セキュリティの脅威は毎年進化していますが、今年もその流れは止まりません。2021年はテレワーク環境のセキュリティの不備を突く攻撃や、新型コロナウイルスに便乗するネット詐欺がさらに勢いを増しそうです。企業向けソフトやアプリの脆弱性を悪用する攻撃だけでなく、個人情報の漏えいにも備えなければなりません。2021年、私たちが注意すべき脅威と対策を紹介します。
新型コロナウイルスとの闘いは長期戦の様相を呈しています。2020年はテレワークの導入が一気に進みました。これは新型コロナウイルスの影響により、企業や個人が通常のオフィスワーク主体の労働形態からテレワーク(リモートワーク、在宅勤務)への対応を余儀なくされたためです。そして、2021年以降もテレワークを継続、拡大する方針を示している企業や組織が少なくありません。
一方、セキュリティの強固なオフィスの外で作業する場合、一般に情報漏えいやマルウェア感染などのリスクが高まります。パソコンやスマホ、ネット利用時における仕事とプライベートの境界があいまいになり、私用端末の業務利用や、業務用端末のプライベート利用を行ってしまうことが一因です。また、公共のワークスペースでの勤務ではセキュリティに不備のある公衆Wi-Fiや偽のアクセススポットに接続してしまい、悪意を持った第三者に通信内容を盗み見られてしまうといったことも起こり得ます。加えて、物理的な盗み見や盗み聞きなどの危険性もあります。
2021年は在宅勤務において利用されるホームネットワークへの侵入やクラウドサービスアカウントの乗っ取りを足がかりとした企業内ネットワークへの攻撃が活発化する可能性が指摘されています。そのため、業務用端末をホームネットワークで利用している場合、同じネットワーク上に存在する機器やネットワークそのものへの対策が欠かせません。特に外部のネットワーク(インターネット)とホームネットワークの出入口であるホームルータのセキュリティを確保することは基本対策の1つです。たとえば、攻撃者はセキュリティに不備のあるホームルータや、それにつながるパソコン、スマホ、タブレットなどを介してホームネットワークに侵入し、勤務先や取引先への攻撃の踏み台にする可能性もあります。実際、ある国内企業の従業員がリモートで接続していた業務利用が許可された私用端末を足掛かりに、社内システムに不正アクセスされたことが昨年公表されています。在宅勤務者はホームネットワーク上のすべての機器を適切に保護する必要があると同時に、企業側も自社のセキュリティの一環として在宅勤務者を支援する対応が求められるようになるでしょう。
利用する機器やネットワークのみならず、クラウドサービスの認証情報(ID、パスワード)を詐取しようとする攻撃にも注意が必要です。システム管理部門やサービス事業者を装ったメールや電話を安易に信用しないことです。情報の詐取以外にもマルウェア(ウイルスなど不正なプログラムの総称)感染を狙った不正メールによる攻撃も継続しており、自身の端末から感染を広げないよう一人ひとりのセキュリティに対する意識醸成が欠かせません。
テレワーク勤務者にとって重要なことは、勤務先が定めるガイドラインやポリシーに従って行動することです。自宅や公共の場でのパソコン作業、私用の端末とインターネットサービスの業務利用、企業内ネットワークへのアクセス、OSやソフトの更新、公衆Wi-Fiの利用などについての規定を確認しておきましょう。また、家庭内であっても家族が誤って業務用端末を操作してしまったり、機密情報を共有してしまったりしないよう、配慮や対策を欠かさないようにしてください。
テレワーク用のソフトやアプリの脆弱性が狙われる
2021年はテレワーク用の企業向けソフトやアプリの脆弱性を悪用する攻撃がさらに激化すると予想しています。脆弱性は、プログラム設計時のミスや不具合などが原因で生じるセキュリティ上の欠陥で、マルウェア感染や不正アクセスの要因となる弱点を指します。OSやソフトには脆弱性がつきもので、サイバー攻撃を受けて初めてその存在が明らかになるものもありますが、既知の脆弱性であってもパッチ(修正プログラム)が適用されるまでの隙を突かれることがあります。
たとえば、SharePointやOffice 365、Exchange、Microsoft Teamsといった社内コラボレーションソフトの脆弱性が狙われるかもしれません。というのも、業種によってはこのようなサービス上で機密性の高い情報が扱われているためです。他方では、テレワークの増加によってクラウドへの移行や利用するサービスの見直しが進んでおり、利便性や事業継続性を担保しつつセキュリティを強化することが企業にとっての課題になっています。また、従業員が自宅や出先などから企業内ネットワークへ安全にアクセスするためのVPN機器の脆弱性も悪用されるかもしれません。実際、既知の脆弱性の影響を受ける特定のVPN機器のリストがネット上で昨年公開され、悪用の危険度が増したため内閣サイバーセキュリティセンターでも改めて注意を呼びかけています。
一般に、OSやソフトの開発元から更新プログラムが提供された場合は速やかに適用し、脆弱性を修正することが推奨されます。また、ソフトの自動更新機能を有効にし、パソコンやスマホに脆弱性が存在する期間を最小限にとどめることも大切です。ただし、企業では更新プログラム適用による企業内システムへの影響を事前に検証し、その緊急性や安全性を確認した後にアップデートのタイミングを従業員に指示するケースもあります。更新のタイミングについては勤務先のルールに従いましょう。
対策
- 勤務先が定めるテレワークのガイドラインやポリシーに従う
- テレワークではオフィスでの勤務時以上に一人ひとりがセキュリティを意識する
- ホームネットワークを利用している場合はホームルータを保護する
コロナ禍やオリンピックなどの話題に便乗するネット詐欺が横行する
サイバー犯罪者は、多くの人の関心事や旬な話題、出来事を便乗攻撃の絶好の機会ととらえています。世界中で猛威を振るう新型コロナウイルスも例外ではなく、2020年はそれに便乗するネット詐欺が急増しました。
サイバー犯罪者は今後も、メールや、SNS上などで新型コロナウイルスに関連する「健康情報」「開発予定のワクチン」「ワクチン利用の待機者リスト提供」などを名目とする誤情報やデマをばらまき、ネット利用者に不正なURLリンクや添付ファイルを開かせようとするかもしれません。もし、ネット利用者がそれらを有益な情報と思い込み、ネット上に拡散してしまった場合どうなるでしょう。ネット詐欺に加担してしまうだけでなく、社会に混乱を引き起こしてしまうかもしれません。東京オリンピックについての誤情報やデマにも惑わされないよう注意してください。
また、コロナ禍で急増したインターネットサービス利用者を狙うネット詐欺も、今後さらに勢いを増しそうです。人気オンラインサービスを装った通知や、配送業者をかたる偽の不在通知、大手ショッピングサイトからの商品発送通知を装うSMS(ショートメッセージサービス)などには引き続き警戒してください。こうした案内を本物と信じてURLリンクを開いてしまった場合、フィッシングサイトや不正アプリのダウンロードページなどの不正サイトへ誘導されてしまうかもしれません。
対策
他人事ではない個人情報の漏えい被害
2020年は生活のオンライン化も急速に進みました。教育や行政、金融、医療・介護などの分野でもインターネット経由での利用を前提としたサービスが次々に生まれています。ただし、インターネットサービスを利用する場合、サービス内容によっては事業者に氏名や生年月日、住所、身分証明証、電話番号、メールアドレス、決済情報といった個人に紐づく情報を預けることもあります。一般に、著名なインターネットサービスは厳格なセキュリティ基準を満たしていますが、セキュリティに絶対はありません。対策を行っていたとしても、事業者の人為的なミスや内部不正、外部からのサイバー攻撃などが原因で個人情報が漏えいしてしまうこともあるのです。実際、国内利用者も多いイベント管理サービスが昨年外部からの不正アクセスを受け、最大677万件の利用者情報を窃取されたことが公表されました。また、ランサムウェアによるサイバー攻撃を受けて情報の暴露被害に遭った国内企業は、昨年1月から11月16日までで23社にも上りました。さらに、内部文書を誤ってインターネット上に公開してしまったり、公開チャットに投稿してしまったりするケースも過去に発生しています。
万一、個人情報などがサイバー犯罪者の手に渡ってしまった場合どうなるでしょうか。詐欺や脅迫、金銭窃取などの被害につながるかもしれません。また、サイバー犯罪者は入手した情報を自ら悪用するだけでなく、ネット上で暴露したり、商品としてネット上で売買したりすることもあります。結果、複数のサイバー犯罪者の手に渡ってしまえば、被害に遭うリスクが増大してしまいます。
情報の漏えいは、サービス利用者本人の不注意によっても引き起こされます。たとえば、フィッシングサイトや詐欺サイトに自ら情報を入力したこと、マルウェアに感染したことなどが原因としてあげられます。今年は新型コロナウイルスの影響で個人や企業のネット利用、およびクラウドサービス利用がさらに加速すると見られ、サービス利用者側の設定ミスや誤操作に起因する情報漏えい事故の増加が予想されます。
対策
- 最新の脅威に対応するために、パソコンやスマホ、タブレット端末に入れているセキュリティソフトを最新の状態で利用する
- 脆弱性を修正するために、OSやソフト、アプリを常に最新バージョンに保つ
- 不正ログインを防ぐために、二要素認証を有効にするなど、各種サービスのセキュリティ設定を見直す
- 個人情報のネット上への流出を検知した際に通知してくれるセキュリティツールを利用する(ダークウェブモニタリング)
被害を回避するためにも、これらの予測を日々の対策に役立ててください。
※この記事は制作時の情報をもとに作成しています。
