中小企業が日本を救うbusiness-doctor-28

中小企業経営のための情報発信。中小企業から日本を元気に

セキュリティ対策

おはようございます。

新型コロナの感染拡大に伴い、多くの企業でテレワーク・在宅勤務が導入されましたが、十分なセキュリティ対策も取られずに急ピッチで導入した企業も多かったと思われます。そうした中、サイバー攻撃も変化しながら増えてきています。新型コロナに便乗したサイバー攻撃のほか、セキュリティの甘いVPNサーバや自宅ネット環境を狙ったものなど、セキュリティの欠陥を突いた攻撃が増えています。

セキュリティインシデントの実態をします。ニューノーマル時代にふさわしいIT環境構築のヒントが得られるように思います。

1 新型コロナに便乗したサイバー攻撃

 新型コロナウイルス感染拡大で一時的に増えたものと今後も継続的に注意が必要なものがあると言います。一時的に増えたものは「新型コロナ」「マスク」などの流行ワードでターゲットを釣り、情報を盗んでウイルスに感染させたりする手法です。このサーバー攻撃は昨年以降減少傾向にあります。一方添付ファイルに新型コロナ関連ワードをつける手法は増加傾向にあります。新型コロナ関連ワードのついた新型マルウエアの場合は感染させるだけで情報が窃取できるため、ファイルを開かせるだけでよいのです。新型コロナが2類から5類に引き下げられても、新型コロナがなくならない限り、興味を十分に引ける「新型コロナ」は十分に強力なワードになります。何処から送られてきたか分からないメールについては興味があっても開かないことです。

2 急場しのぎで導入したVPNサーバなどへの攻撃

 今後も警戒しないといけないのが、急なテレワークで導入したサーバへの攻撃です。従業員が自宅から社内のリソースにアクセスできるようにリモートデスクトップやVPN、FTPといったサービスやツールを使い始めた企業が増えています。これが格好の攻撃ポイントになっています。現在、日本ではRDP,VPN,FTPなどのサービスを動かすためのサーバが10万代以上がインターネット上で丸見えになっていると言います。通常は外部から見つからないように隠して設置すべきサーバが、検索すれば見つかってしまう状態で放置されているということです。業務遂行を優先してセキュリティが完全に後回しになっているのです。しっかりとしたセキュリティ対策が必要です。

3 パルスセキュアの脆弱性に注意

 VPN製品を使う際に特に注意すべきは、複数のVPN製品で発見された「パルスセキュア」の脆弱性です。この脆弱性を突かれると、VPNサーバにかかっている認証をすり抜けられ、任意のコードを外部から実行されたり内部のファイルを読まれてしまう恐れがあります。パルスキュアの脆弱性は2019年9月に発見され、修正パッチも出ているため、セキュリティ強化のために適用すべきです。

4 クラウドを狙ったサイバー攻撃

 テレワークの導入によりクラウドの活用も進んでいます。クラウドに対するサイバー攻撃の代表的な手法は、クラウドサーバの設定ミスを突いた攻撃です。パスワードが簡単な場合や情報の公開設定が間違っている場合などに情報を窃取されやすいのです。パスワードを複雑にしこまめに変更するなど注意が必要ですし、設定ミスをしないように注意が必要です。クラウドサーバの設定を代行する業者に依頼するということもできますが、設定を外注する際に渡した情報や管理アカウントなどが業者側で放置され、サイバー攻撃を受けるということもないわけではありませんので、信頼できる業者に依頼することです。

5 自宅のネット環境を狙ったサイバー攻撃

 オフィスのネット環境の多くは、ファイアウォールやセキュリティソフトなどによって守られていますが、自宅に十分なサイバーセキュリティ環境がそろっている家庭はそれほど多くはありません。特に会社から支給されたPCではなく私物のPCを使っている場合には自宅のネットワークや私物PCが攻撃され、連鎖して会社側も被害を受けるという危険が高まります。

6 その他

 テレワークの場合、オフィスで作業をする場合と比較すると、同僚などとのコミュニケーションが減り、何か問題が起きたときに相談する相手がおらず、ミスに気付かないまま作業を続行してしまうケースやミスが起きたときにその報告が遅れるということがあります。身に覚えのないメールを開いてしまった場合婆度、オフィスにいればすぐに近くにいる同僚や情報システム部などに報告できますが、テレワーク中だと「まあいいか」と思って放置しその結果被害を拡大させることにもなりかねません。

新型コロナやテレワークをきっかけとした環境変化によって、あらゆる企業の背後に「新型コロナ便乗攻撃メール」「丸見えのサーバ」「クラウド」「自宅のネット環境」など、さまざまなサイバーセキュリティリスクが忍び寄ってきています。こうしたサイバー攻撃が仕掛けられるのは大企業だけではありません。中小企業も個人も対象とされます。改めてテレワークを導入するならセキュリティ管理をしっかりとした体制を作ることが重要です。