コラム

Column

2022.01.18

リモートワークに潜む脅威と脆弱性は?代表的な攻撃方法や対策も解説

  • リモートワークに潜む代表的な脅威と脆弱性を知りたい
  • リモートワークでの脆弱性を突く主な攻撃方法を把握したい
  • リモートワークを進める上での脆弱性対策を整理したい

新型コロナウイルス感染症拡大防止の観点などから、昨今リモートワークが急速に普及しています。リモートワークには、生産性向上や優秀な人材の確保など様々なメリットがあります。しかし、課題も少なくありません。その1つがセキュリティ対策です。


例えば、総務省の調査によると、アンケートに回答した会社のうち43.7%の会社が、テレワーク導入の課題として「情報セキュリティの確保」を挙げています。


参考:ICT利活用と社会的課題解決に関する調査研究 総務省


また、テレワークに用いるツールなどに脆弱性が存在すると、セキュリティ上のリスクになります。そのため、リモートワークでセキュリティを守るには、リモートワークに潜む脅威と脆弱性を十分に理解して対策を講じることが必要なのです。


本記事では、リモートワークに潜む脅威と脆弱性を紹介してから、主な攻撃方法と対策を紹介します。


STC診断
目次
リモートワークに潜む代表的な脅威と脆弱性
リモートワークでの脆弱性を突く主な攻撃方法
リモートワークを進める上での脆弱性対策
まとめ

リモートワークに潜む代表的な脅威と脆弱性

リモートワークでは、オフィスワークよりも会社が用意できるセキュリティ対策が手薄になりがちです。そのため、リモートワークで利用する端末やその利用者に、脅威に対する脆弱性が存在すると、セキュリティインシデントが発生する可能性が高まります。

ここでは、総務省のテレワークセキュリティガイドライン第5版から、リモートワークに潜む代表的な脅威と脆弱性を以下の順に紹介します。

  • 悪意のあるソフトウェア
  • 端末の紛失・盗難
  • 重要情報の盗聴
  • 不正侵入・踏み台

参考:テレワークセキュリティ ガイドライン 第5版 総務省

悪意のあるソフトウェア

リモートワークに潜む代表的な脅威と脆弱性の1つ目は、悪意のあるソフトウェアです。

マルウェアとも呼ばれ、端末に情報漏えいやデータ改ざんなどの不利益をもたらすソフトウェアを意味します。悪意のあるソフトウェアには、ウイルス、ワーム、トロイの木馬など、様々な種類があります。

脅威 悪意のあるソフトウェア
脆弱性 ・ウイルス対策ソフトの未導入、更新不備
・アップデートの未実施
・ファイル交換ソフトの利用
・偽サイトへのアクセス

端末の紛失・盗難

リモートワークに潜む代表的な脅威と脆弱性の2つ目は、端末の紛失・盗難です。

端末の紛失・盗難が発生すると、悪意のある第三者に端末に保存されている情報を閲覧される恐れがあります。端末に重要な情報が保存されていれば、企業経営に影響が出ることもあります。対策としては、ワイヤーなどで端末の紛失・盗難を防ぐだけでなく、紛失・盗難が発生しても第三者が端末に保存されている情報を閲覧できないようにすることも有効です。

脅威 端末の紛失・盗難
脆弱性 ・作業環境のリスクについての認識不足
・暗号化せずに保存
・バックアップ未実施

重要情報の盗聴

リモートワークに潜む代表的な脅威と脆弱性の3つ目は、重要情報の盗聴です。

企業活動において、情報は重要な資産です。重要な情報が盗聴されて競合他社に流出すると、企業間での競争で不利に働きます。また、顧客情報が盗聴されて流出すると、企業の社会的信用が大きく低下する恐れもあります。

脅威 重要情報の盗聴
脆弱性 ・無線LANの設定不備
・偽アクセスポイントへの接続
・暗号化せずに送信

不正侵入・踏み台

リモートワークに潜む代表的な脅威と脆弱性の4つ目は、不正侵入・踏み台です。

端末やWebサイトなどに悪意ある第三者からの不正侵入を許すと、以下の様々なリスクが生じる恐れがあります。

  • 社内のクレジットカードや銀行口座の不正利用
  • WebサイトやSNSを乗っ取り誤った情報を流布
  • 情報漏えいによる社会的信用低下

また、不正侵入された端末など不正なプログラムを埋め込まれて踏み台にされることもあります。その端末から社内システムにアクセスすることで、社内システムにセキュリティインシデントが発生する恐れがあります。

脅威 不正侵入・踏み台
脆弱性 ・ファイアウォールなし
・推測されやすいパスワードの使用
・ログイン方法を書いたメモの放置
・アップデートの未実施

リモートワークでの脆弱性を突く主な攻撃方法

ここでは、リモートワークでの脆弱性を突く主な攻撃方法を以下の順に紹介します。

  • マルウェア
  • 標的型攻撃
  • ゼロデイ攻撃
  • ランサムウェア
  • 不正アクセス

マルウェア

リモートワークでの脆弱性を突く主な攻撃方法の1つ目は、マルウェアです。

マリシャス(malicious=悪意ある)とウェア(software)を合わせた造語で、ウイルスやトロイの木馬、ワームなど、相手の端末やシステムに危害を与えるプログラムやソフトウェアの総称のことです。

メールの添付ファイルや悪意あるサイトへのアクセスなど、様々な経路で感染します。また、感染すると情報漏えいや情報改ざんなどの被害が発生する恐れがあります。リモートワークでは、エンドポイント端末に感染して乗っ取る被害が想定されます。

標的型攻撃

リモートワークでの脆弱性を突く主な攻撃方法の2つ目は、標的型攻撃です。

機密情報を盗み取ることなどを目的とし、特定の個人や組織を狙った攻撃を意味します。代表的な手口は、攻撃対象の会社あてにウイルス付きメールを送付することです。

標的型攻撃の厄介なところは、完璧な防御対策を行うことは困難であることです。なぜなら、攻撃対象が明確であるため、その攻撃対象を十分に研究することができるからです。そのため、標的型攻撃については、攻撃を防ぐだけではなく、攻撃を受けた時に素早く検知して対処できる体制も整備しましょう。それにより、攻撃の被害を最小限に食い止めることが狙いです。

ゼロデイ攻撃

リモートワークでの脆弱性を突く主な攻撃方法の3つ目は、ゼロデイ攻撃です。

ソフトウェアの脆弱性が発見されてから、脆弱性に関する情報公開や対策がなされる間に、その脆弱性に対する攻撃を行うものです。その間は無防備な状態であるため、ゼロデイ攻撃への対策は難しいことが現状です。

類語にNデイ攻撃があります。これは、ソフトウェアの脆弱性が発見されてから、脆弱性に対して修正が行われたプログラムの、リリースと適用の間に行う攻撃を意味します。修正プログラムと現在のプログラムを比較することができ、ゼロデイ攻撃よりも脆弱性の特定が容易であることに注意が必要です。

ランサムウェア

リモートワークでの脆弱性を突く主な攻撃方法の4つ目は、ランサムウェアです。

身代金要求型不正プログラムとも言います。ランサムウェアは、端末を勝手にロックしたり、ファイルを暗号化したりすることでその端末を使用できないようにします。そして、端末を元に戻すことと引き換えに身代金を要求します。

代表的な手口は、不正なWebサイトやメールからターゲットの端末をランサムウェアに感染させ、使用できないようにした後に身代金を要求する画面を表示させるものです。

不正アクセス

リモートワークでの脆弱性を突く主な攻撃方法の5つ目は、不正アクセスです。

不正アクセスとは、本来アクセス権限を持たない第三者が、サーバーやシステムにアクセスすることです。不正アクセスの結果、サーバーや情報システムの停止や、情報漏えいが発生する恐れがあります。

不正アクセスは世界中のどこからでも受ける恐れがあります。また、Wi-Fiなどのアクセスポイントから不正アクセスを試みる事例も存在します。

リモートワークを進める上での脆弱性対策

ここでは、リモートワークを進める上での脆弱性対策を以下の順に紹介します。

  • リモートワークへの対応状況の把握
  • リモートワークのルール策定
  • セキュリティに関する研修・啓蒙
  • リモートワークに適したツールの活用
  • ツールやセキュリティソフトのこまめなアップデート

リモートワークへの対応状況の把握

リモートワークを進める上での脆弱性対策の1つ目は、リモートワークへの対応状況の把握です。

具体的に脆弱性への対策を講じる前に、まずはリモートワークへの対応状況を把握しましょう。現状を正しく知ることで、以下の項目を明らかにしましょう。それにより、具体的な脆弱性対策を効果的に立案できます。

  • リモートワークのどこの部分に脆弱性が存在しているか
  • 脆弱性のリスクの大きさや緊急度
  • 脆弱性に対応する優先順位

ただし、セキュリティに関する専門知識を豊富に有するメンバーが多数そろっていないと、リモートワークへの対応状況を適切に把握することは困難です。そのため、信頼できる社外の機関に診断を依頼する方が確実です。

リモートワークのルール策定

リモートワークを進める上での脆弱性対策の2つ目は、リモートワークのルール策定です。

社内のセキュリティを守るには、ルール策定が欠かせません。リモートワークでセキュリティを守るには、オフィスワーク以上にルール策定が必要です。なぜなら、従業員が会社で離れたところで仕事を行うため、目が届きにくくなるからです。リモートワークのルールを策定した上で、そのルールを遵守するよう周知徹底を図っていきましょう。

セキュリティに関する研修・啓蒙

リモートワークを進める上での脆弱性対策の3つ目は、セキュリティに関する研修・啓蒙です。

セキュリティリスクを予防、もしくは被害を最小限にするには、従業員に対してセキュリティに関する研修・啓蒙を行っていくことが必要です。リモートワークのルールや、セキュリティインシデントが発生した時には、会社だけでなく従業員にも責任が問われるケースがあることを徹底的に教育していきましょう。

また、教育内容はリモートワークに即した内容にしていきましょう。

リモートワークに適したツールの活用

リモートワークを進める上での脆弱性対策の4つ目は、リモートワークに適したツールの活用です。

リモートワークでは、Web会議システムやストレージサービスなど、様々なクラウドサービスを活用することがほとんどです。クラウドサービスを選ぶ時には、会社が管理でき、かつ脆弱性対策も万全なツールを選びましょう。

例えば、脆弱性対策を考慮すると多要素認証ができるツールがおすすめです。多要素認証とは、認証の3要素(知識要素、所持要素、生体要素)のうち2つ以上を組み合わせた認証のことです。多要素認証を用いることで、脆弱性ゆえにパスワードが流出しても、不正アクセスのリスクを軽減できます。

ツールやセキュリティソフトのこまめなアップデート

リモートワークを進める上での脆弱性対策の5つ目は、ツールやセキュリティソフトのこまめなアップデートです。

ツールやセキュリティソフトに脆弱性が見つかった時には、メーカーやベンダーが脆弱性に対応してアップデートを行うものです。しかし、アップデートしていなければその脆弱性が残ったままになります。むしろ、すでに脆弱性が悪意ある第三者に知られている状態であるため、攻撃対象として狙われやすくなります。

そのため、面倒でもこまめに脆弱性やアップデートに関する情報をこまめに確認しましょう。そして、社内で使用しているツールやセキュリティソフトで脆弱性が見つかってアップデートされた時には、それをいち早く反映させるよう心がけましょう。

まとめ

本記事では、リモートワークに潜む脅威と脆弱性を紹介してから、主な攻撃方法と対策を紹介しました。

リモートワークは、目が届きにくくなるだけでなく、アクセスポイントやタイミングが社内業務と異なるため、攻撃されるポイントも増えます。そのため、従業員1人1人がリモートワークに潜む脅威と脆弱性を理解し、脆弱性への対策を励行していくことがオフィスワーク以上に重要になります。

なお、弊社では自社のセキュリティ状況やテレワーク環境、コミュニケーション環境を簡単に把握できる「STC診断」をオンラインで無料公開しています。よろしければ、以下よりお試しください。

STC診断