KNOWLEDGE - COLUMN ナレッジ - コラム

【エバンジェリスト・ボイス】新型コロナウイルスとセキュリティ

サイバー・セキュリティ・ソリューション(CSS)部
エバンジェリスト 藤原 和紀     藤原さんコラム内画像_415x410

CSS 部エバンジェリストの藤原です。

新型コロナがますます猛威をふるっており、 3 11 日に WHO がパンデミック相当と宣言を行いました。
宣言によって渡航制限やサプライチェーンの問題から、世界全面株安など経済への影響が深刻です。

我々の過去のコラムにありますように当社もテレワーク勤務が推奨され、同様に自宅で仕事をされている方も多いのではないでしょうか。
総務省からテレワークが推奨されたこともあり、新型コロナの影響で一気に社会でのテレワークの整備と理解が進んだように思います。

総務省 新型コロナウイルス感染症対策としてのテレワークの積極的な活用について

これを受けて、前回ご案内しました第 7 回ベースライン APT 対策コンソーシアム サイバーセキュリティ対策セミナーもオンライン Web セミナーという形での開催となりました。
今回の講演は私にとって初めての無観客セミナーで、いつもとは違う緊張感がありました。
また、お客様先へのプレゼンテーションもテレビ会議で行っており、自宅で行うのはまだ違和感があるものの、徐々に慣れの問題と考えるようになってきました。
この勢いで遠隔勤務によって東京一極集中の問題解決や地方創生に繋がることを願っています。

本題ですが、今回はテレワークで気になったことを何点か書かせていただきます。

テレワークのセキュリティ
テレワークの実施にあたって、セキュリティが心配という声をよく耳にしますが、ある程度の仕組みがあればテレワークは危険なものではありません。

総務省のテレワークセキュリティガイドライン ( 4 ) をベースにお話をします。尚、本資料が 2018 年の資料ですので、若干古い記述も見られますがご了承ください。
資料によると、テレワークには以下の 6 つのパターンがあります。
1_861x805

貸与 PC を使わずに私用の PC を使ってコストを減らすケースも考えられますが、私用の環境は様々なことから、マルウェアやネットワークの対策に疑問があります。
一見、データが PC に保存されなければ安全なように思いますが、 キーロガー リモートデスクトップ を仕掛けられ、会社とのやり取りが記録されている可能性もあります。また、私用ルータの設定に不安が残りますので、私用 PC は危険と判断したほうが賢明です。
例えば、会社の PC は仮想上で安全な環境にあるとしても、それを操作する私用 PC は外部からコントロールされている可能性もあると考えてください。
この為、マルウェア対策やファイアウォール設定を管理できる PC 等を会社が貸与するほうが安上がりになるケースもあります。

続いて、テレワークのセキュリティで心配されるパターンは次の通りですが、正しい対策を行っていれば恐れる必要はありません。
2_995x529

1. フィッシング、標的型攻撃
2. 不正侵入・不正アクセス・踏み台攻撃
3. ウイルス・ワームの感染

これはいずれのパターンも会社の PC を使用し、会社のシステムに接続する場合は社内と危険性は変わりません。
もし、ウイルス対策ソフトを集中管理できない場合や、メールを外部サーバから直接受信するようなシステムになっている場合は、社内の PC であっても侵入の可能性がありますのでシステムを見直したほう良いかと思います。

4. 端末の紛失・盗難
パターン⑥の会社 PC 持ち帰り方式については紛失・盗難が懸念されます。また、いずれの方式でも会社貸与 PC を使えば紛失・盗難が懸念されます。
PC の紛失・盗難を完全に防ぐ方法はありませんが、 HDD の暗号化を行うか、 PC にデータは保存出来ないような仕組みを作ったうえで持ち出せば、データ自体の流出は防ぐことができます。

5. 盗聴、改ざん
ネットワーク上のデータは一般に暗号化が行われていますので、盗聴、改ざんの危険はほぼありません。
しかし、テレワークではのぞき見の危険はあります。一般的に社外で PC を使う場合はのぞき見防止フィルターを付けて頂くという方法もありますが、そもそも電車内や喫茶店など人目があるところでは仕事をしないようにしましょう。また、よく社内メールや社内 SNS をスマホで受信している方もいますが、こちらも電車内などでの使用はお勧めしません。

6. データの消失
こちらはいずれのパターンでも PC 内にデータを保存しないようにすれば、データ消失についてはテレワークに限った危険とはなりません。

いかがでしょうか。テレワークだからセキュリティリスクが高いと断定的に言えるようなリスクはほぼありません。ただし、そもそも社内あってもセキュリティが担保されていないなどの潜在的リスクは存在します。
また、テレワークだからといって無駄にセキュリティを強化するのも考え物です。テレワークに限らずですが、人は不便と感じたら抜け道を探そうとします。モラルハザードが起きてしまうと制御ができない状況となり、よりリスクが高くなってしまいますのでご注意ください。

尚、テレワークをまだ導入されていない現場では新型コロナ対策で臨時の補助金制度なども発表されていますので、この機会に検討を行ってみてはいかがでしょうか。

詳細については以下をご参照ください。

総務省のテレワークセキュリティガイドライン ( 4 )

IT 導入補助金 2020  1 次公募(臨時対応)

捕捉になりますが、運用面で情シス担当は追加で以下の対応が必要と感じています。

・社内ルール、テレワークルール、手順書等をわかりやすくまとめ、教育を実施する。
・問い合わせ窓口をわかりやすく明示する。
・外部接続が増加するため、なりすましの監視・ブロックの仕組みを作る。

情シス担当は手間が増えますが、むしろ余計な問い合わせを減らすためにと考えていただければよいかと思います。

メールの誤配信
メールの誤配信のニュースがここのところ目立ってきているように感じます。
3 月以降でもこれだけの誤送信がありました。

熊本市 【報道資料】記念樹希望者へのメールアドレスの誤送信について

兵庫県立大学 連絡メール誤送信、原因はいつも使っていたシステムの更新

グンゼ 株主優待メール誤送信、アドレス210件流出

リンク・アイ リンク・アイ会員のメールアドレス流出に関するお詫びとお知らせ

産経新聞社 個人メールアドレスの誤送信に関するご報告とお詫び

日本財団 新型コロナウイルスによるイベント中止を誤送信、131名のアドレス流出

 
これらは公表されているものだけですので、非公開のものはこれらの数倍は発生しているはずです。

全体に共通するのが、本来 BCC で送信するはずの宛先が、ミスにより To CC で送信してしまい、受信相手にメールアドレスが筒抜けになったという事故です。
この手の事故は以前より起きていますが、最近は新型コロナの影響で普段は一斉メール配信業務を行っていないのに急遽配信の必要に迫られ、このような事故を起こしてしまったというケースが増えているようです。

二重チェックを行っていなかったケースもありますが、基本は二重チェックやチェックリストによる確認を行っていると思いますが、人のやることですので完全には防止が出来ません。
そもそもこのような誤配信の原因は、匿名での一斉配信にもかかわらず通常業務に使用している Outlook Web メールなどのメールシステムをそのまま使っていることであると考えています。匿名での一斉配信では To CC の入力フィールドは不要です。

このため、対応として同報メールは専用化するのが効果的です。

  • 同報メールソフトを利用
  • クラウドサービスの利用

  おすすめはクラウドサービスの利用になります。

もし、皆さんの会社で一斉配信を行っている場合、あるいは急に行わなければいけなくなるケースが相違される場合は、このようなサービスの利用を検討いただければと思います。

迷惑メール /SMS
社会的な話題が広まってくると、それに便乗した悪質メールなどが増えます。
犯罪者はメールを開いてもらわないことには収入にはならないので、流行に非常に敏感です。
当然、新型コロナウイルスは大きな話題ですので 1 月から新型コロナウイルスをテーマにした迷惑メールが増加しています。同じくマスク不足等も関心事項ですので、マスクをテーマにしたメールも増えています。
昨年流行した Emotet も「新型コロナウイルス」に関する情報を装う攻撃メールを送信するようになっており、 IPA が追加の注意喚起を行いました。

「Emotet」と呼ばれるウイルスへの感染を狙うメールについて

コロナに限らず、今後もキャッシュレス還元終了、マイナポイント、オリンピック、万博など手を変え品を変え迷惑メールが送られてくると思いますが、特別な対応は必要ありません。今まで同様に身に覚えのないメールは無視してください。

最近気になっていますが、 2 要素認証の影響で SMS がやたらと増えています。迷惑メールも SMS を利用するものが増加していますが、迷惑 SMS はリンクを踏ませる方式がほとんどとなっています。

このような中、正規の SMS の中でもリンクを踏まなければいけないものが一部にあります。このような方式は犯罪者に悪用される可能性もありますので、少なくとも SMS でリンクを送る方式は全廃してほしいと感じています。

いかがでしたでしょうか。新型コロナと同じくセキュリティも正しく恐れる事が大事です。
テレワークやメール配信、あるいは迷惑メールなど、情報収集を行えばそれほど恐れるものでもありません。正しい情報をリアルタイムに取得するように努めていただければと思います。

それでは、また次回をお待ちください。

当サイトの内容、テキスト、画像等の転載・転記・使用する場合は問い合わせよりご連絡下さい。

エバンジェリストによるコラムやセミナー情報、
IDグループからのお知らせなどをメルマガでお届けしています。

メルマガ登録ボタン

藤原 和紀

株式会社インフォメーション・ディベロプメント 先端技術部 テクニカルスペシャリスト

この執筆者の記事一覧

関連するナレッジ・コラム

地味に見えて優秀!マネージドプレフィックスリストでアドレス管理を効率化

DockerでJupyterLabの環境を作ろう

残された攻撃の痕跡を追え! ~Post-Exploitationで起きていること~