新型コロナウイルスの感染拡大に伴う政府の要請などにより、リモートワークを導入する企業が増加しています。しかし、テレワークのシステムの整備や在宅勤務での働き方のルール作りに手いっぱいとなり、セキュリティの強化は後回しになりがちです。慣れないテレワークに戸惑う従業員のスキを突き、サイバー攻撃による被害が増加する可能性も指摘されています。
本人がマルウェアに感染したことに気付かずに、オフィス外からアクセスして、周囲に感染を広めてしまう危険性もあります。自宅で使っていたパソコンを会社に持ち込み、社内ネットワークをウイルス感染させてしまう恐れもあります。ちょっとした不注意で、従業員個人がセキュリティホールになってしまうのです。
パソコンのデータを暗号化し、解除するための身代金(ランサム)を要求するウイルス「ランサムウエア」の被害が増加しています。テレワークで使われるVPN(仮想プライベートネットワーク)機器の脆弱性を突いたり、ウイルスが添付されたメールを開かせることで社内ネットワークに侵入し、パソコンのみならず社内ネットワークの共有フォルダまでウイルス感染させ暗号化してしまいます。
社内ネットワーク内でのみ使用する業務システムであれば、個人を識別するために認証をするだけで、セキュリティまで気にする必要はないかもしれません。しかし、テレワーク用のシステムとなると、インターネットから接続して使用することが前提です。
それは、関係者ではない誰かから接続される可能性があるということです。つまり、誰かにログインされないように、セキュリティを考慮して認証基盤を構築することは極めて重要と言っても良いでしょう。
また、ユーザーの環境や情報から類推したパスワードを試していく類推攻撃も脅威です。ユーザー自身や家族の誕生日や会社の電話番号、住所、車のナンバープレートなどの情報から、パスワードを類推して入力する攻撃です。SNSの情報が用いられる場合もあります。
このほか、辞書攻撃にも気を配る必要があります。キーボード配列を利用した文字列や使われやすい単語の文字の一部を似た文字に置き換えた文字列など、パスワードに使われやすい単語や文字列のリストを使用して攻撃します。
すべての文字を組み合わせて、すべてのパターンのパスワードをひとつずつ総当たりで入力し、強引に正解のパスワードを割り出す総当たり攻撃や、パスワードを固定し、IDを総当たりで入力していくリバースブルートフォース攻撃も脅威です。
また、パソコンのOSやウイルス対策ソフトを最新の状態に更新し、自宅のWi-Fiルーターの管理用IDとパスワードを初期設定のままにしないことも重要です。ウイルス感染の恐れがあるためスマートフォンやUSBメモリー、USBケーブルはPCにむやみにつなげず、大事なファイルはバックアップすることが重要になります。
盗難、紛失したパスワードからアカウントが不正アクセスを受け、個人情報や企業の機密情報が盗まれる事件も増えています。強固なパスワードを運用することは重要ですが、個人の管理能力には限界があります。
従業員個人のITリテラシーやセキュリティへの意識改革を促すとともに、企業としては生体認証や二要素認証など、次世代の認証セキュリティ技術の採用を検討する時期にきています。
従業員個人がセキュリティホールに
自宅や自宅近くのカフェなど、オフィス外からIT機器を使ってアクセスするケースでは、サイバー攻撃への防御も弱く、マルウェアの侵入を完全に防ぐことは難しいと言わざるを得ません。本人がマルウェアに感染したことに気付かずに、オフィス外からアクセスして、周囲に感染を広めてしまう危険性もあります。自宅で使っていたパソコンを会社に持ち込み、社内ネットワークをウイルス感染させてしまう恐れもあります。ちょっとした不注意で、従業員個人がセキュリティホールになってしまうのです。
パソコンのデータを暗号化し、解除するための身代金(ランサム)を要求するウイルス「ランサムウエア」の被害が増加しています。テレワークで使われるVPN(仮想プライベートネットワーク)機器の脆弱性を突いたり、ウイルスが添付されたメールを開かせることで社内ネットワークに侵入し、パソコンのみならず社内ネットワークの共有フォルダまでウイルス感染させ暗号化してしまいます。
テレワークで悪意の不正ログインを防ぐ「認証セキュリティ」
テレワークを導入するに際し、業務システムのクラウド化や、VPNやVDI(仮想デスクトップ)の導入を実施する企業が増えています。それらのシステムにログインすること、つまり誰が使用するのかを判別する手順のことを「認証」と言います。社内ネットワーク内でのみ使用する業務システムであれば、個人を識別するために認証をするだけで、セキュリティまで気にする必要はないかもしれません。しかし、テレワーク用のシステムとなると、インターネットから接続して使用することが前提です。
それは、関係者ではない誰かから接続される可能性があるということです。つまり、誰かにログインされないように、セキュリティを考慮して認証基盤を構築することは極めて重要と言っても良いでしょう。
パスワードの脆弱性を突く攻撃が頻発
「認証」には、たいていの場合「パスワード」が使用されてきました。しかし、最近の認証セキュリティに関しては、パスワードの脆弱性が指摘され始めています。過去に漏洩したパスワードリストを用いた「リスト型攻撃」が観測され始めたことが、そのきっかけです。従業員がプライベートで利用しているパスワードを、テレワークで使用するシステムでも利用していると危険です。また、ユーザーの環境や情報から類推したパスワードを試していく類推攻撃も脅威です。ユーザー自身や家族の誕生日や会社の電話番号、住所、車のナンバープレートなどの情報から、パスワードを類推して入力する攻撃です。SNSの情報が用いられる場合もあります。
このほか、辞書攻撃にも気を配る必要があります。キーボード配列を利用した文字列や使われやすい単語の文字の一部を似た文字に置き換えた文字列など、パスワードに使われやすい単語や文字列のリストを使用して攻撃します。
すべての文字を組み合わせて、すべてのパターンのパスワードをひとつずつ総当たりで入力し、強引に正解のパスワードを割り出す総当たり攻撃や、パスワードを固定し、IDを総当たりで入力していくリバースブルートフォース攻撃も脅威です。
生体認証など次世代技術の活用も視野に
パスワード設定を従業員に任せたうえで、「プライベートと同じパスワードを使用してはいけない」、「パスワードは定期的に変更しなければいけない」などといった規則で管理するのは限界があり、パスワード以外の認証システムの利用も検討対象になります。また、パソコンのOSやウイルス対策ソフトを最新の状態に更新し、自宅のWi-Fiルーターの管理用IDとパスワードを初期設定のままにしないことも重要です。ウイルス感染の恐れがあるためスマートフォンやUSBメモリー、USBケーブルはPCにむやみにつなげず、大事なファイルはバックアップすることが重要になります。
盗難、紛失したパスワードからアカウントが不正アクセスを受け、個人情報や企業の機密情報が盗まれる事件も増えています。強固なパスワードを運用することは重要ですが、個人の管理能力には限界があります。
従業員個人のITリテラシーやセキュリティへの意識改革を促すとともに、企業としては生体認証や二要素認証など、次世代の認証セキュリティ技術の採用を検討する時期にきています。
関連記事
●Microsoft Office 365の多要素認証(MFA)について
●Authenticatorアプリの代替機を使った多要素認証(MFA)
●Google/Microsoft/Salesforceなど、各種MFAのAuthenticatorについて
●Amazon Web Services(AWS)MFAを必須化