テレワーク環境のセキュリティ、あらためて確認しよう
2020.07.20総合研究部 上席研究員 佐藤栄俊
【もくじ】
概要
1.テレワークを取り巻く脅威
2.家庭用機器への注意
3.異変の検知
4.その他、押さえてほしい確認事項
テレワーク環境のセキュリティ、あらためて確認しよう
【概要】
新型コロナウイルス感染症のパンデミックにより一気に広まったテレワークですが、半強制的に導入せざるを得ない状況だったこともあり、環境整備が追いつかないまま、実施に踏み切った企業も多くあります。緊急事態宣言の解除後、状況は緩和されつつありますが、第二波、第三波、さらには新たな感染症を想定すれば、今後も多くの企業がテレワークを何らかの形で継続、導入することにならざるを得ません。このような状況のなか、あらためて確認しておきたいのがテレワーク環境の再点検とセキュリティ対策です。
テレワークの浸透により高まるセキュリティ上のリスクや被害については、新型コロナ感染拡大以降での具体例はまだあまりなく、全貌は見えていないのが現状です。ただし、自宅で使用する機器やパソコンの安全性が確保されていない状況などを鑑みると、社内でイントラネットを利用するよりは、サイバー攻撃による情報漏えいなどの危険性は高くなります。
テレワーク環境に対するサイバー攻撃の被害があらためて認識されるまでには、もう少し時間がかかると思います。顕在化するまでは何か月も気付かれないままリスクが潜在し、深刻化している可能性があるからです。「今、何も起きていないから大丈夫」という認識は間違っており、そのリスクについては危惧されることです。また、従業員がその気になれば、重要な情報を自宅のプリンタで印刷したり、USBメモリにコピーしたりできてしまいます。さらに、悪意はなくとも、誤操作によって情報漏えいにつながる事件や事故が起きる可能性は確実に高まります。
しかも万が一、自宅に持ち帰ったPCがマルウェアに感染したり、重要な情報がUSBメモリにコピーされたりしても、企業ではそれを把握する術がありません。「それが判明するのは実際の被害や、情報漏えいが顕在化してから」という事態は、企業としても避けたいところです。
1.テレワークを取り巻く脅威
新型コロナウイルスの感染拡大を背景に、テレワーク環境を狙ったサイバー攻撃が今後ますます増加することが予想されます。2019年に日本国内で猛威を振るったマルウェアEmotetにも、あたかもテレワーク環境を標的とするかのような亜種が登場しています。
【Emotetによる過去の被害】
▼情報セキュリティトピックス「データプライバシーとコンプライアンスの動向(1)」
これまでのEmotetはメールを介して感染が広がるタイプが主流でした。Emotetに感染したデバイスから窃取したメールや宛先を悪用し、さらに感染の拡大を狙います。今回発見された亜種は、感染したデバイスからWi-Fiを経由して拡散するものです。
これまでのマルウェアは、感染した組織内やその関係者が被害の中心でした。しかし、今回発見された亜種は、テレワーク中の自宅の端末から近隣のネットワークに侵入する事が可能です。例えば自宅の端末経由で隣人の端末がマルウェアに感染してしまったり、あるいは隣人の端末経由で自宅の端末がマルウェアに感染してしまったりなど、これまでにない方法でマルウェアが拡散する恐れがあります。
テレワークの推進によって我々の働き方は大きく変わり、それに伴ってシステムを取り巻く環境や構成も「変化」します。攻撃者はそのような「変化」を観察し、攻撃の機会を窺っています。例えば社内のシステムにリモートでアクセスするためにVPN(Virtual Private Network)サービスを立ち上げたとします。IPアドレスやポートなど、アクセスに必要な情報は社外秘の情報として扱い、基本的に従業員しか知り得ない情報です。このような状況下であっても、攻撃者はどのIPアドレスでVPNサービスが稼働しているかを、比較的短時間で突き止めることが可能です。
その一例として、「Shodan」や「Censys」(IoTデバイスを探す検索エンジン)のような検索エンジンを用いる手法が挙げられます。これらの検索エンジンは、インターネット上のあらゆる機器を巡回し、どのような機器でどのようなシステムが稼働しているかの情報を収集しています。検索によって発見されるまでなら実害には至らないケースがほとんどでしょう。
しかし、例えば利用するソフトウェアに脆弱性が存在する場合や、認証などの保護機能が適切でなかった場合、不正アクセスやランサムウェア攻撃などの様々な攻撃のターゲットになる恐れがあります。特に米国を中心として、脆弱なVPNシステムを悪用したランサムウェア攻撃が実際に多数確認されています。まずはPCやその他通信機器など、セキュリティパッチを適用し、システム全体を最新の状態に保つことを対策として推奨します。
また、 また、利用されるアプリケーションに関しても、大きく変わったという利用者も多いのではないでしょうか。リモートワーク/在宅勤務のために急遽ビデオ会議システムを使い始めたという企業は少なくないはずです。新型コロナウイルスの流行を受けてグローバルに利用者数を急増させたZoomを始め、Cisco WebexやGoogle Hangout、Microsoft Teamsなどのビデオ会議システムの利用が拡大したことで、Webカメラが品薄を起こしたという話はともかく、従来はあまり気にしていなかったアプリケーションの脆弱性や意外な個人情報漏えいまで、いろいろなトラブルが出ました。
特に、Zoomでは急速に注目が高まったせいもあってか、ソフトウェア自体の脆弱性に加え、利用者側の運用や設定が適切でないことに起因するトラブルや、Zoom社側で不適切な第三者への情報提供を行っていたことが発覚するといった問題も明らかになりました。こうした問題はZoom側でも適宜対応を行っており、修正も進んでいるはずですが、IT部門やセキュリティ担当者は引き続き最新情報に注意を払っておく必要があります。
2.家庭用機器への注意
内閣サイバーセキュリティセンター(NISC)は、「新しい生活様式」に向けたセキュリティ対策の指針を公開しています。
▼内閣サイバーセキュリティセンター「テレワーク等への継続的な取組に際してセキュリティ上留意すべき点について」
具体的には(1)テレワーカーの増加や対象業務の拡大があった場合はセキュリティリスクを再評価すること、(2)支給端末・支給外端末に関わらず、利用端末のOSや関連アプリケーションをアップデートすること、(3)社員がインターネット回線や公衆通信回線経由で社内システムに接続している場合は対策を見直すことなどです。
本文書では、テレワーク時の要注意ポイントとして、家庭用ルーターのセキュリティについて触れています。
テレワーク時には、VPNを用いてエンドツーエンドで暗号化しているから安心だと考えがちです。しかし、そもそもルーターが不正アクセスを受けてしまうと、通信先を改ざんされたり、場合によっては通信自体できなくなって業務が止まってしまう恐れがあります。セキュリティの役割の一つは、企業が業務をつつがなく継続できるようにすることです。しかし、テレワークの広がりに伴って、事業継続性が家庭用ルーターのセキュリティに左右される状況になってしまうということです。
新型コロナの影響で勤務先が急きょテレワークの導入を決めたため、家電量販店や中古ショップ、通販サイトなどで販売されている安価なルーターを急いで購入したという人は多いでしょう。テレワーク環境整備を支援するため社員に補助金を支給する企業も出てきたほどです。 問題は、このとき、きちんとサポート期間内にあり、アップデートを適用して最新の状態を保ったルーターが使われているかどうかです。
ルーターのサポート体制はメーカーによってまちまちであり、きちんとファームウェアをバージョンアップし続けている企業もあれば、そうでないところもあります。安価だからとオークションサイトなどで調達したルーターを業務に使うのは危険です。
<WebカメラやルーターなどIoT機器についての具体的なセキュリティ対策方法>
① 複雑なパスワードを設定する
パスワードの設定ができるIoT機器の場合は、できる限り複雑なパスワードを設定しましょう。※初期パスワードのままは論外です。
忘れないよう、ついつい安易なパスワードを設定してしまいますが、安易なパスワードほど解読されやすく、乗っ取られてしまう確率を高めてしまいます。パスワード生成&管理ができるサービスなどを利用し、パスワードを複雑なものを設定することにより、乗っ取りのリスクを軽減しましょう。
② 使わなくなったIoT機器は電源を切る
現在利用していないIoT機器は、電源を切ってインターネットに繋がないようにしましょう。使用していないにも関わらず、インターネットに接続されている状態だと、知らない間に乗っ取られてしまう可能性があります。
さらに、普段使わないため、乗っ取りに気付くこともなく、情報が奪取されたり踏み台として利用されてしまう危険性があります。
③ 制作元が不明、問い合わせ先の情報がない機器は使用しない
万が一の場合に対応してくれるか不明な機器の使用は避け、問い合わせ先の情報やサポートの対応が明確な機器を利用するようにしましょう。
3.異変の検知
テレワークの増加に伴い、リモートから簡単にアクセスできるサーバやPCが一気に増えることとなりました。攻撃者もそれを見逃さず、リモートデスクトッププロトコル(RDP)のパスワードを破ろうとする大規模なブルートフォース攻撃が数多く観察されています。
実際、情報通信研究機構 (NICT)のNICTER観測レポート2019上半期によれば、2019年上期だけで1438億パケットを観測し、約30万IPアドレスに対して約48万パケットが送信されている計算になります。逆に攻撃を受けたことが無いという企業があるとすれば、それは攻撃が無いのではなく「気づいていない」だけであり、非常に危惧される状況であるといえます。
そうしたなか、セキュリティ対策にまず求められるのが、侵入されてしまうことを前提とした対策です。そもそもサイバー空間では攻撃側が圧倒的に有利であるため、防御策だけですべての攻撃を防ぐことは厳しいといえます。そのため、ビルの防犯にたとえると「建物内」にも監視カメラを張り巡らせておき、怪しい動きがあればあとからでも追跡できるようにしておくことが重要になってきます。
また、守るべき“境界”もワークスタイルの変化を受けて、かつてとは変わってきています。クラウドの利用やテレワークの普及により、現在では情報資産が社外にも存在する状態であることから、セキュリティのポイントは境界型からエンドポイントへと変化しています
サイバー攻撃の被害を抑えるために従業員やそのデバイスの「異変」を素早く正確に検知することが重要です。ますます高度化する標的型攻撃に備えて、SIEM(Security Information and Event Management)やEDR(Endpoint Detection and Response)等のソリューションを導入する企業が増えつつあります。 しかし、オフィス内の体制がどれだけ万全なものであったとしても、従業員やデバイスの所在や環境のコントロールが難しいテレワークにおいては、「異変」の検知が難しいケースがあります。特に対策が万全でないまま私用端末を業務に転用されるようなことがあると、全く検知の機会がないままサイバー攻撃の侵入口として利用され、情報漏えい等の被害に繋がるケースも考えられます。まずは、私用端末の位置付けを社内ルール上で明確に定義し、従業員に周知する必要があります。そして事故が発生した前提での対策を予め検討する事を推奨します。
4.その他、押さえてほしい確認事項
本来ならば、テレワーク環境下でも、アプリやツールだけでなく、従業員が使っているパソコンやスマホを含めた道具全般を企業のガバナンスの下に置くことが望ましいといえます。大手企業であれば、IT部門がこうしたIT資産の管理を行うよう、ルールも定められていることでしょう。
ただ実際の運用では、リモートでなくオフィスの中でも、本来禁止されているはずの企業の管理下にない私物のパソコンやスマートフォンをネットワークにつないだり、USBメモリーを使用してデータをやり取りをしたりといったことは、頻繁に起こりえます。
また、中小・零細企業で独立したIT部門や担当者が設けられていない場合、オフィス内でもパソコンが何台あるか、それぞれのOSは何で、バージョンはいくつかといったことを把握することは難しく、状況を可視化できていないことが数多くあります。
先ほど述べたとおり、社内でイントラネットを利用するよりテレワーク環境下のほうが、サイバー攻撃などで被害に遭うリスクは高まります。デバイスやソフトウエアのセキュリティの問題に加えて、「時間が自由に使えるため、ふと注意が散漫になったときに脅威に遭いやすい」「いざ問題が起きたときに、すぐに相談できる人がいない」といった課題もあるからです。従業員各自がリスクを認識し、今まで以上に注意してデバイスやツールを使う必要があります。
具体的な対策としては、従業員が自宅で使うパソコンのOSを最新のものにアップデートすること、ウイルス対策ソフトの定義ファイルを最新のものに更新することなどが挙げられます。そのほかに、巧妙なメールなどによるサイバー攻撃に対する注意を従業員に促すことも大切です。
世界保健機関(WHO)は、同機関へのサイバー攻撃が5倍に増加していること、コロナウイルス対策に取り組むWHOや関連組織のメールアドレスが4月に流出したことを明らかにしており、偽メールが関連する組織や団体に送られる可能性が示唆されています。
公的な機関や官公庁のメールアドレスから送信され、文面も本物そっくりの内容のメールに埋め込まれたURLをクリックしたところ、ウイルスに感染した、という事例は過去にもあります。どんなメールであっても、気を付けながら開封する必要があります。
それぞれの従業員が「気を付けよう」という意識を持つためには、組織全体でサイバーセキュリティに対する姿勢を普段から示し、発信することが大切です。労働3法をないがしろにする経営者はいないと思いますが、それと同じようにセキュリティに対する重要性を、経営者は認識しなければなりません。またリスクを抑えるための施策に対する予算、人員を十分に充てて、備えるところから対応することも重要です。
【確認事項】
<1>セキュリティリスクの認識、組織全体での対応方針の策定
- 経営者がサイバーセキュリティリスクを経営リスクの1つとして認識している
- 組織全体としてのサイバーセキュリティリスクを考慮した基本方針を策定し、宣言している
- 法令・契約やガイドライン等の要求事項を把握し、対応している
<2>外部脅威への認識
- 作業開始前に、テレワーク端末のOS及びソフトウェアについて、アップデートが適用され最新の状態であることを確認している
- テレワークにはルールに定められた情報セキュリティ対策が適用されているものを使用し、スマートフォン、タブレット等に関しては不正な改造(脱獄、root化等)を施さないようにしている
- テレワーク作業中にマルウェアに感染した場合、その報告漏れや遅れが被害拡大につながる恐れがあることを自覚し、電子メールの添付ファイルの開封やリンク先のクリックに一層の注意を払っている
<3>端末の盗難、外部サービス利用対策
- 持ち運びを行う可能性のある端末のディスクやUSBメモリなどに対して、暗号化のルールを決定している
- 重要なドキュメントファイルやフォルダに対する暗号化やパスワードの設定をルール化している
- メッセージングアプリケーションを含むSNSに関する従業員向けの利用ルールやガイドラインを整備し、その中でテレワーク時の利用上の留意事項を明示している
- ファイル共有サービス等のパブリッククラウドサービスの利用ルールを整備し、情報漏えいにつながる恐れのある利用方法を禁止している
<4>テレワーク端末の管理
- 台帳等を整備し、貸与するテレワーク端末の所在や利用者等を管理している
- パソコンなどの返却時にデータ削除およびウイルスチェックを実施している
- パソコンなどの貸出し時にパッチやウイルス定義ファイルが適切であるか確認している
<5>セキュリティリスクに対応するための仕組み
- フィルタリング等を用いて、テレワーク勤務者が危険なサイトにアクセスしないように設定している
- テレワーク先でシャドーITを利用させない対策を行っている
- テレワーク勤務者がテレワーク端末にアプリケーションをインストールする際は申請させ、情報セキュリティ上の問題がないことを確認した上で認めている
- 重要業務を行う端末・サーバ等には複数の技術的防御策を実施している
- 情報のレベル分けに応じて、電子データに対するアクセス制御、暗号化の要否や印刷可否などの設定を行っている
- システム等に対する定期的な脆弱性診断や、継続的なバッチ適用、その他の緩和策等の脆弱性対策の計画を立て、実行している
- 端末やネットワークからのログを収集・分析している。
- サイバー攻撃を検知した際に不正通信を遮断する等のインシデント対応の仕組みを導入している
- テレワーク勤務者に対して、情報セキュリティ対策事項が遵守されているか、定期的にヒアリングや監査を実施していますか。
- 従業員に対して、サイバーセキュリティの教育・演習を実施している
<6>不正アクセス、侵入対策
- 社外から社内システムへアクセスするための利用者認証について、技術的基準を明確に定め、適正に管理・運用している
- テレワーク勤務者がインターネット経由で社内システムにアクセスする際のアクセス方法を定めている。また、社内システムとインターネットの境界線にはファイアウォールやルータ等を設置し、アクセス状況を監視するとともに、不必要なアクセスを遮断している
- ルータのログはチェックして、定期的に保存している
- Webサーバーのログはチェックして、定期的に保存している
<7>インシデント発生時の緊急対応体制の整備
- インシデント対応計画を策定している
- インシデント対応の専門チーム(CSIRT等)を設置している
- 組織外に報告・公表すべき内容やタイミングを定めている
- インシデント発生時の緊急対応の演習を定期的に行っている
- インシデント発生時のログ分析・調査を速やかに行い、影響範囲を特定できるよう実施計画を策定している
<8>インシデントによる被害に備えた復旧体制の整備
- 被害が発生した際に備えた業務の復旧計画を策定している
- 定期的に復旧対応演習を行っている
<9>ビジネスパートナーや委託先等を含めたサプライチェーン全体の対策及び状況把握
- グループ企業に関するリスク分析を行い、対策をグループ内の規程等で明確にし、対策状況の報告を受け、適時見直している
- 委託先等の取引先に関するリスク分析を行い、対策を契約書等で明確にし、対策状況の報告を受け、適時見直している
- サプライチェーン全体を俯瞰した関連組織全体で、リスク分析を行い対策状況の検討を行っている。
<10> 情報収集と社内活用
- 関係団体が提供する注意喚起情報の入手や、業界のセキュリティコミュニティ等への参加を通して情報共有を行い、自社の対策に活かしている
- マルウェア感染、不正アクセス等のインシデントがあった際に、関係団体やコミュニティに情報提供や相談を実施している
最近のトピックス
◆Twitter「An update on our security incident」
バラク・オバマ前大統領やビル・ゲイツ氏など著名人のほか、多数の仮想通貨取引所のツイッターアカウントが乗っ取られた事案で、Twitter社は7月18日、事故の概要をまとめたレポートを発表しました。その中で今後、セキュリティに関するトレーニングと対策を強化することを明かにしています。
Twitter社によれば、攻撃者は特定の従業員をターゲットにし、ソーシャル・エンジニアリング攻撃をしかけたとのことです。攻撃者は、人々を誘導し、一定の行動をとらせることで、機密情報の入手に成功したということです。攻撃者は、Twitterの内部システムにアクセスできるクレデンシャル情報を従業員から取得し、2段階認証を突破したとされています。攻撃者はTwitterの社内サポートチームだけが使用できるツールを使用し、130のTwitterアカウントを標的にしました。そのうち45のアカウントについて、攻撃者はパスワードのリセットに成功し、アカウントにログイン、ツイート投稿までこぎつけました。つまり、従業員の不注意などに付け込んで管理者情報を漏えいさせてシステムを乗っ取る手法がとられたということです。
サイバー攻撃の対策というと、PCの使い方やインターネットといったサイバー空間での行動に目が行きがちですが、重要情報が保管されたサイバー空間への鍵を開ける情報(ID・パスワードなど)は意外とアナログに管理されていて、デスクの周りなど物理的な空間で入手できることもあります。
標的型攻撃は特定組織・特定個人をターゲットにして、あらゆる手段を使ってその組織・個人が持つ情報へアクセスする鍵を見つけようとします。端末などの技術的な対策だけでなく、ヒューマンエラーや心理的隙を突かれて攻撃の足掛かりを与えることのないように人的対策もしっかりおこなっていく必要があります。
◆日本サイバー犯罪対策センター「~サポート詐欺やiPhone当選詐欺の手口~」
日本サイバー犯罪対策センター(JC3)は2020年7月2日、同センターの公式ウェブサイトに「サポート詐欺」や「当選詐欺」の注意動画を掲載しました。サポート詐欺とは、アクセスしたサイトでセキュリティ企業になりすまし「ウイルスに感染した!」など呼び掛け、悪意ある「対策ソフト」の導入を促すものです。当選詐欺は、「企業の抽選に当選しました!」などと呼び掛け、メールアドレスがクレジットカード情報を抜き取ろうとするものです。
両者は近年急増しているフィッシング詐欺であるため、JC3は注意喚起の目的から、両者の詐欺行為に意図的にひっかかり、その様子を動画で公開。随所で恐怖感や期待感をあおる演出の様子や、電話番号やメールアドレスを提供した先にどのような詐欺行為が待っているかなどを公開しました。
JC3はサポートや当選を装うフィッシング詐欺への対策として、「慌てず行動」が大切としています。両者の手口はいずれも、思わず個人情報を入力してしまいかねない心理状態を狙うものであるため、電話番号やクレジットカード情報などを入力しない、勧められるがままに怪しいソフトをインストールしないなどの、落ち着いた対処が求められます。具体的な対策としては、「ブラウザを閉じる」、「PCを再起動する」などによる対処を呼び掛けています。
偽の警告画面や当選画面等は、ブラウザを閉じたり、PCを再起動することなどにより、表示されなくなりますので、慌てて画面に表示された電話番号へ連絡したり、クレジットカード情報等を入力しないようにしましょう。
また、電話の指示により遠隔操作するソフトウェアをインストールしてしまった場合、パソコン内の情報窃取やマルウェアへの感染等のリスクとなることから、各種アカウントのID・パスワードの変更、PCのリストアなどの処置を講じるようにしてください。
◆フィッシング対策協議会「宅配便の不在通知を装うフィッシング (2020/07/09)」
フィッシング対策協議会は2020年7月9日、宅配便の不在通知を騙りアクセスを促し、金融情報などを盗み取ろうとする詐欺行為が確認されたと公表しました。協議会によると、攻撃者は「荷物のお届けにあがりましたが不在のため持ち帰りました」などの文言とともにURLリンクを添付し、ターゲットにSMSで送信するとのことです。添付のURLリンクで不正なアプリのインストールを促したり、「第三者からの不正アクセスを検出しました」などの文字とともに金融機関に似せたフィッシングページを作って待ち構えるなど、情報を盗み取ろうとする動きが見られるとしています。
【参考情報 1】
▼IPA安心相談窓口 宅配便業者をかたる偽ショートメッセージに引き続き注意!
【参考情報 2】
▼【再掲】auじぶん銀行を装った不審なショートメッセージ(SMS)や偽サイト等にご注意ください
フィッシング詐欺の見分け方は、とにかく用心することが第一です。メールで送られてきたならメールアドレスは正規のものか、サイトにアクセスをうながされたのならWebアドレスが正規のものであるかどうかなどを確認するのが基本です。不自然な文章ではないか、身に覚えのある内容なのかもチェックしたいところです。
たとえば相手が金融機関を名乗っているのなら、本当にメールで個人に連絡する取り組みをしているのか、連絡先を調べて問い合わせてみるのも有効といえます。もちろん、セキュリティソフトウェアを使用し、デバイスや個人情報をフィッシング詐欺(およびマルウェア)の脅威から保護するのも大事です。
それでも、フィッシング詐欺の被害に遭うことがあります。友人や職場の人間、もしくは家族などがフィッシング詐欺の被害に遭うことがあるかもしれません。また、そのことによって自らにも悪影響が及ぶ可能性も否定できません。被害に遭わないことが一番のぞましいのは当然ですが、被害に遭ったときに何をするべきかを知っていれば、いざというときに対応や助言ができるだけでなく、新しいパターンの攻撃が流行した際の備えになるはずです。
◆情報処理推進機構「中小企業向けサイバーセキュリティ事後対応支援実証事業(サイバーセキュリティお助け隊)の報告書について」
IPA(情報処理推進機構)は6月15日、中小企業向けサイバーセキュリティ事後対応支援実証事業「サイバーセキュリティお助け隊」の報告書を発表しました。
IPAは19府県8地域の中小企業を対象に、地域の団体・企業等と連携した中小企業のサイバーセキュリティ対策支援「サイバーセキュリティお助け隊」に取り組んでいます。これによりサイバーセキュリティに関する課題や対策のニーズ、サイバー攻撃被害の実態等を把握するとともに、サイバーインシデントが発生した際の支援体制の構築等に向けた実証を実施し、報告書にまとめています。
全国8地域で事業主体が実施体制を組織し、地域の中小企業に本事業の周知及び参加を呼びかけ、計1,064社の中小企業が実証に参加しており、セキュリティ機器等によるサイバー攻撃の実態把握(727社)、およびアンケート等によるセキュリティ対策状況等の把握(1,716社)が行われました。
これにより、中小企業においても業種や規模を問わず例外なくサイバー攻撃を受けている状況が確認されるとともに、検知及び防御のための対策や社内体制の構築ができていない企業が多いことが確認されています。
また、人的リソースの不足やコストに制約がある中小企業に、必要なセキュリティ対策を促すための取組みの方向性として、「継続的な意識啓発」「導入・運用しやすい対策機器やサイバー保険の開発」「専門家の伴走型支援を含むワンパッケージ化」「コスト低廉化」が重要であることが確認されています。
◆情報処理推進機構(IPA)「2019年度 中小企業の情報セキュリティマネジメント指導業務」
IPAは、「2019年度 中小企業の情報セキュリティマネジメント指導業務」で、2019年9月~2020年1月にかけて、全国の中小企業382社を対象に、専門家による指導をIPAが実施しています。情報処理安全確保支援士(RISS)等を起用し、1社あたり4回の派遣を通して、中小企業の各現場に応じたリスクの洗い出しから、マネジメントに必要なセキュリティ基本方針や関連規定の策定に向けた支援を行うとともに、アンケート調査が行われています。その結果、多くの中小企業で、情報セキュリティ対策への意欲、セキュリティレベル、継続改善の意識が向上するとともに、身近な専門家の有効性や役割の重要性が確認されたとしています。
「中小企業向けサイバーセキュリティ製品・サービスに関する情報提供プラットフォーム構築に向けた実現可能性調査」では、製品・サービスの導入・ヒアリングを実施し、選定の際に参考となる評価項目を「導入・運用のし易さ」「費用」「得られる効果」「課題」等の観点で策定しています。報告書では、「評価項目に沿った評価や提供された情報の信頼性、妥当性の確認をすべて申請時・登録時に実施しようとすると、コスト面、労力面の負荷が大きくなるため、事後評価を上手く活用することが重要」と提言されています。
いずれの報告書も中小企業においては、自社の状況を確認する一助になるでしょう。報告書は、IPAの公式WebサイトよりPDFファイルが無償でダウンロード・閲覧可能です。
最近の個人情報漏えい事故(2020年5月、6月)
下記の表は、今年5月と6月に発生した個人情報漏えい事故一覧です。会社や組織で公表されているもので、かつ当社で把握しているものであり、国内すべての事案というわけではない点につきましてはご了承願います。
※情報セキュリティに特化したニュースサイトであるSecurity Next(http://www.security-next.com/)、その他マスコミで報道されたものをまとめたポータルサイト、各行政や企業がWebサイトで公表したものを参考に当社作成。
| 業種 | 発生原因 | 対象 | 備考 | |
| 1 | 県 | メール誤送信 | 18名の氏名、給与に関する情報 | 書類を誤って添付 |
| 2 | 市 | メール誤送信 | 市民1名の氏名、住所、電話番号等が記載された除去土壌の保管状況の報告書 | 書類を誤って添付 |
| 3 | 市立小学校 | 書類紛失 | 市民1名の氏名、住所、電話番号等が記載された除去土壌の保管状況の報告書 | 教諭が単車で家庭訪問中、単車の小物入れに収めて走ったり、手に持って歩いたりしていたところ、紛失 |
| 4 | 市立病院 | USBメモリ紛失 | 患者101名の氏名、生年月日、性別、薬剤の処方内容などが記録された私物のUSBメモリ | |
| 5 | 県警 | FAX誤送信 | 相談の内容、氏名、住所、電話番号などが記載された資料 | 、誤って県内の複数の報道機関に一斉送信 |
| 6 | 私立大学 | メール誤送信 | メールアドレス、氏名、学生番号126件 | 「Bcc」で送信すべきところを誤って「To」で送信したため |
| 7 | 府立高校 | USBメモリ紛失 | 360名の氏名、所属部活動、学習評価など | テレワークで調査書を作成するため、同USBメモリを上着のポケットに入れたまま、自転車で出張し、学校に戻ったところ、紛失していることに気付いた |
| 8 | 学習塾 | メール誤送信 | メールアドレス442件 | 「Bcc」で送信すべきところを誤って「To」で送信したため |
| 9 | 県立高校 | 誤送付 | 氏名、学校名等が記載された就学支援金の支給に関する連絡書類 | |
| 10 | 医療機関 | USBメモリ紛失 | 受診者35名の氏名、住所、生年月日、性別等 | |
| 11 | ゲーム | メール誤送信 | メールアドレス2015件 | 「Bcc」で送信すべきところを誤って「To」で送信したため |
| 12 | 福祉事務所 | メール誤送信 | 139名分の氏名、被保険者番号等が記載された2019年の名簿 | ファイルの誤添付 |
| 13 | 食品 | メール誤送信 | メールアドレス154件 | 「Bcc」で送信すべきところを誤って「To」で送信したため |
| 14 | スポーツ振興事業団 | メール誤送信 | メールアドレス615件 | |
| 15 | 市 | 書類紛失 | 市民2名分の氏名、住所、生年月日等が記載された住民基本台帳画面のコピー | |
| 16 | 府 | メール誤送信 | メールアドレス145件 | 「Bcc」で送信すべきところを誤って「To」で送信したため |
| 17 | 私立大学 | メール誤送信 | メールアドレス11件 | 「Bcc」で送信すべきところを誤って「To」で送信したため |
| 18 | 市 | 誤送付 | 116名の氏名、住所、給与額などが記載された住民税の通知書 | 市から委託を受けた業者が封入作業の際に別の会社宛ての通知を誤って入れてしまった |
| 19 | 広告代理店 | 書類紛失 | 業務委託先にデジタルデータ化を依頼していた際に紛失 | 誤廃棄の可能性 |
| 20 | 港湾局 | メール誤送信 | メールアドレス118件 | 「Bcc」で送信すべきところを誤って「To」で送信したため |
| 21 | 市 | メール誤送信 | メールアドレス42件 | 「Bcc」で送信すべきところを誤って「To」で送信したため |
| 22 | こども園 | 書類紛失 | 園児208名の氏名、生年月日等が記載された書類をとじたファイル | |
| 23 | 通信 | メール誤送信 | メールアドレス1350件 | 「Bcc」で送信すべきところを誤って「To」で送信したため |
| 24 | 区民活動センター | メール誤送信 | メールアドレス285件 | 「Bcc」で送信すべきところを誤って「To」で送信したため |
| 25 | 区 | 書類紛失 | 利用者21名分の氏名、住所、電話番号等が記載されたリスト | 事業者の配達員が移動中、利用者リストを確認しようとしたところ突風でリストが飛ばされ、そのまま見失い紛失 |
| 26 | 産業技術センター | メール誤送信 | メールアドレス113件 | 「Bcc」で送信すべきところを誤って「To」で送信したため |
| 27 | 自動車学校 | メール誤送信 | メールアドレス90件 | 「Bcc」で送信すべきところを誤って「To」で送信したため |
| 28 | 市立小学校 | USBメモリ紛失 | 児童の氏名が記載されている学級通信の原稿、学校行事に関するしおりなど | 教員が帰宅途中に同僚と飲酒を含めた飲食を行い、バス停で居眠りをしたところ、同USBメモリが入ったリュックを紛失 |
| 29 | 市立小学校 | 書類紛失 | 児童23名分の氏名、住所、家族構成などが記載された児童環境調査票 | |
| 30 | 府 | メール誤送信 | メールアドレス41件 | 「Bcc」で送信すべきところを誤って「To」で送信したため |
| 31 | 銀行 | 書類紛失 | 113名の個人と93の法人の名前や住所、口座番号等が記載された伝票 | 誤廃棄の可能性 |
| 32 | 県 | メール誤送信 | メールアドレス1件 | 参加手順の案内メールを送信する際、件名欄に1名のメールアドレスを誤って貼り付け |
| 33 | 県 | 書類紛失 | 6名の氏名、住所等が記載された登記簿謄本や印鑑証明書24点 | 職員が懇親会に参加した後、帰宅途中のタクシーで当該書類を入れた鞄を紛失していることに気付いた |
| 34 | 県 | 誤公開 | 個人事業者の自宅住所や電話番号など16人分の個人情報 | 行政文書の公開請求として食品営業や旅館の営業許可台帳を公開した際、非公開とすべき情報を誤って提供した |
| 35 | 銀行 | HD紛失 | 通帳の新規発行や繰り越しを行った約7万件の取引情報 | 保守業務を委託している業者において、同社データを記録したハードディスクの紛失 |
| 36 | 県 | 誤公開 | 495件の感染事例に関する非公開の患者情報を5月5日に誤って約45分間にわたり同サイト上で掲載 | |
| 37 | 通販サイト | 不正アクセス | 会員情報2万7270件や会員以外の一般利用者情報を含む受注情報5万9021件が流出。いずれも氏名や住所、電話番号、生年月日、性別、メールアドレス、寄附金額が被害に遭い、会員についてはID、パスワードについても流 | |
| 38 | 建設 | メール誤送信 | メールアドレス46件 | 「Bcc」で送信すべきところを誤って「To」で送信したため |
| 39 | 私立大学 | 誤配信 | 担当科目の履修学生85人に対し配信したメッセージに、講義資料ではなく学生の個人情報含む文書を誤って添付。問題の文書には、学生5人分の学籍番号、イニシャル、プライバシーに関わる情報が含まれていた | |
| 40 | 新聞社 | マルウェア感染 | ネットワーク端末を利用した同社およびグループ会社の役員、従業員、退職者、委託先従業員などの個人情報1万2514人分が流出 | |
| 41 | 県 | 書類紛失 | 世帯の収入と支出が記載 | |
| 42 | IT機器 | 不正アクセス | 氏名や会社名、部署名、住所、電話番号、ファックス番号、メールアドレス、製品型番、MACアドレス、製品のシリアルナンバーなど、約6万件 | セキュリティ上の設定に問題があり、外部からの攻撃によって同サーバ内部に保存されていた同サービスの登録者に関する情報が流出 |
| 43 | 市 | 誤配布 | 代表者の住所、電話番号、会計担当者の氏名、電話番号のほか、同団体の印影と口座情報など | 職員が個人情報や法人情報含む書類を、誤って第三者へ渡した |
| 44 | 通販サイト | 不正アクセス | クレジットカードの番号、有効期限、セキュリティコード178件 | 同サイトで利用するEC-CUBEにおける脆弱性を突かれ、偽の決済画面へ誘導するよう改ざんされた |
| 45 | 市 | メール誤送信 | 家庭教育学級保育ボランティア89人分の氏名や性別で、一部にはメールアドレス、生年月日、郵便番号 | ファイルの誤添付 |
| 46 | 経済団体 | 不正アクセス | 氏名、住所、電話番号、メールアドレス、組織名、所属、役職など含む申込者約500件 | 委託先のサイト管理会社が、改ざんされたファイルを発見。セミナーや書籍の申込者が情報を入力すると、攻撃者が指定したファイルに書き込むようにプログラムが書き換えられており、作成したファイルへ外部からアクセスした痕跡が見つかった |
| 47 | 私立大学 | メール誤送信 | メールアドレス11件 | 「Bcc」で送信すべきところを誤って「To」で送信したため |
| 48 | 市 | 不正所持 | 職員の氏名、性別、生年月日、最終学歴、採用年月日、勤務年数、所属部署、基本月給など | 職員の個人情報を外部に流出させたとして、同市総務部人事課の職員を懲戒免職処分にしたと発表 |
| 49 | 市立高校 | 誤配布 | 生徒13人や保護者24人に関する氏名、住所、生徒の生年月日と性別、保護者と生徒の続柄など | 生徒へ書類を返却した際、氏名など確認せず、誤って他生徒の書類もまとめて渡してしまった |
| 50 | 原子力規制庁 | メール誤送信 | 概算要求資料案、委託事業契約書案、政策評価資料案など、行政文書32件を送信しており、11件はパスワードで保護されていたものの、21件はパスワードが設定されていなかった。また連絡先として外部21人分のメールアドレスのほか、1人については電話番号や住所も含まれる | 放射線防護企画課の職員が5月28日にメールアドレスを誤り、関係ないメールアドレスへ送信。6月1日にメールが届いていないことに気が付き、調べたところ2カ月近く誤ったメールアドレスへ送信していたことが判明 |
| 51 | 通販サイト | 不正アクセス | 顧客94人のクレジットカード情報でクレジットカードの名義、番号、有効期限、セキュリティコードなど | |
| 52 | 映画館 | メール誤送信 | メールアドレス325件 | 「Bcc」で送信すべきところを誤って「To」で送信したため |
| 53 | ヨガスタジオ | メール誤送信 | メールアドレス304件 | 「Bcc」で送信すべきところを誤って「To」で送信したため |
| 54 | ヘルスケア | 誤公開 | イベントの開催場所、物品の送付先や返送先の住所、物品受け渡しの担当者の氏名など622件 | 委託先において、旧サーバからAmazon Web Service(AWS)のサーバへの移行時に、AWSのストレージにバックアップとしてデータを保管していたが、ストレージが公開設定になっていた |
| 55 | リゾート | メール誤送信 | メールアドレス336件 | 「Bcc」で送信すべきところを誤って「To」で送信したため |
| 56 | 県 | 書類紛失 | 3人分の「上下水道使用量のお知らせ」で、水道利用者の氏名、上下水道料金、顧客番号など | |
| 57 | 県 | メール誤送信 | メールアドレス113件 | 「Bcc」で送信すべきところを誤って「To」で送信したため |
| 58 | 大学付属病院 | 口頭(なりすまし) | 同院の医師を名乗る人物から電話があり、対応した複数の職員があわせて69人分の携帯電話番号を伝えていた | 過去に同院へ勤務した医師を名乗る人物から、患者に治療のことで連絡をしなければならないので、携帯電話番号を教えてほしいと電話があり、対応した職員が医師本人からの電話と信じて患者9人分の携帯電話番号を伝えた。
同院では過去にも同様の不審電話があり、大学全体で注意喚起を行ってきたという。同院では警察へ相談するとともに、あらためて内部で事例を共有、注意を呼びかけた |
| 59 | 医科大学 | 口頭(なりすまし) | 同大付属病院の医師を名乗る者から患者の電話番号を教えてほしいと電話があり、同大の職員が8人分の電子カルテに登録されている電話番号を伝えた | 名前を使われた医師に確認したところ、電話をしたのは本人ではないことが判明。患者情報の外部漏洩が確認された。同大では対象となる患者に事情を説明して謝罪するとともに、警察へ相談している。 |
| 60 | 市立小学校 | 書類紛失 | 児童23人分の児童環境調査票 | 市教育委員会への報告は、小学校で紛失を把握した2カ月後だった |
| 61 | 国立大学 | メール誤送信 | メールアドレス558件 | 「Bcc」で送信すべきところを誤って「To」で送信したため |
| 62 | 町 | 書類紛失 | 入籍届3件 | |
| 63 | ECサイト | 不正アクセス | クレジットカード情報530件で名義や番号、有効期限、セキュリティコードなど | |
| 64 | 町 | 不正持ち出し | 同職員は学校給食の還付業務を担当していたが、事務処理を怠り、19件9万6900円分の還付が遅延。また還付業務に使用する個人情報含むデータを私物のUSBメモリに保存し、管理職の許可なく持ち出していた | |
| 65 | 府 | 書類紛失 | 5人分の氏名、生年月日、被保険者証記号番号、被保険者氏名、指定難病受給者番号、保険者認定区分など | 誤廃棄の可能性 |
| 66 | 電器メーカー | 不正アクセス | メールアカウントが不正アクセスを受け、取引先など約800件に対し、迷惑メールが送信された |
「58」「59」の事案は、口頭での情報漏えいです。医師を名乗る者から電話があり、事務員が職員や患者の個人情報を口頭で伝えていたというものです。本事案のような、電話を利用したソーシャル・エンジニアリングは、対面しないためターゲットに近づいて情報を入手しやすいのが特徴で、昔からある代表的な手口です。何らかの方法でそのターゲットとなるサービス等の利用者名を入手したら、その利用者のふりをして、ネットワークの管理者に電話をかけ、パスワードを聞き出したり、パスワードの変更を依頼したりします。また、逆に管理者になりすまして、直接利用者にパスワードを確認するといったこともおこなえます。
ソーシャル・エンジニアリングとは、情報セキュリティ分野では、機械的(mechanical)な手段や技術的(technical)な手段ではなく、「人」の行為や行動における心理的(psychological)な弱点を狙う手法により、個人情報や機密情報などを詐取する行為や手口のことを指します。情報セキュリティにおいては、機械的な手段や技術的な手段ではなく、「人」の行為や、行動における心理的な弱点を狙う手法によって、個人情報や機密情報などを詐取する行為や手口を指し、場合によっては、フィッシングやトロイの木馬などのマルウェアを使った手法なども、ソーシャル・エンジニアリングに含まれます。これらは、不正アクセスなどを成功させるための補足手段として用いられることもあります。
ソーシャル・エンジニアリングは、「人」に錯誤を生じさせ不正プログラムをその「人」自らに実行させるための「騙しのテクニック」として、標的型攻撃において利用されています。ソースコードやプログラムの脆弱性とは異なり、「人」の心理の隙を完全に防ぐことはできないため、攻撃者にとって、人的な脆弱性を利用した悪意ある攻撃の実行可能性は高いと言えます。
また、企業における情報漏えいリスクの一つとしてクローズアップされている産業スパイやサイバースパイ活動は、攻撃の前にソーシャル・エンジニアリングを利用して標的社員に近づくともいわれており、最近では、Facebook、Twitter等のSNSを利用し、組織内の特定の従業員になりすますことにより、標的社員の情報を取得するといった手口もあるので注意が必要です。ソーシャル・エンジニアリングの手口は標的型攻撃メール以外にもさまざまな種類があり、古典的かつ典型的な手口として以下の3種類が挙げられます。
(1)なりすまして情報を聞き出す
一般的な手口として、上司になりすますことで権威に弱い人間から情報を詐取する手口や、同僚や仲間を装うことで相手が心を許し、善意から情報提供することを狙いとする手口が用いられます。原理的には、相槌を打ったり、質問をしてみたり、関心があることを装うことで、対象者に次々と情報を出させるように仕向ける手法です。例えば、以下の手口が挙げられます。
- 社内のシステム管理者になりますまして、利用者から情報を引き出す。
- 初心者の利用者や女性社員になりすまして、システム管理者から情報を引き出す。
- 取引先、見込み客、実在する顧客になりすまして、情報を引き出す。
- 公共サービス部門の関係者等、第三者になりすまして、情報を引き出す。
(2)ゴミ箱や廃棄処理されていないものをあさる
ハッキングの対象として狙ったネットワークに侵入するために、ゴミ箱やゴミ捨て場に捨てられた資料から、ユーザー名やパスワード等の情報を探し出す手口です。トラッシング(Trashing,Dumpser Diving)、あるいはスキャベンジング(Scavenging)とも呼ばれ、ゴミとして廃棄された書類などから目的の情報を盗みだす手口を指します。不用意にゴミ箱に捨てたメモ書き(得意先の担当者氏名や電話番号、住所などを書き込んだものなど)だけではなく、CD、DVD、USBメモリなどの記憶媒体をそのまま捨てたものもターゲットとなり得ます。外部からネットワークに侵入する際に、初期の手順として行われることが多いのがトラッシングといわれています。ハッキングの対象として狙ったネットワークに侵入するために、ごみ箱に捨てられた資料から、サーバーやルーターなどの設定情報、ネットワーク構成図、IPアドレスの一覧、ユーザー名やパスワードといった情報を探し出すものです。具体的には、業務終了後、従業員が帰宅した深夜などに、企業のゴミ収集場に忍び込み、収集される前にゴミをあさるということもありますので、廃棄等の手順やルール、委託先等の管理についても、このような視点であらためて確認する必要があります。
(3)肩越しや背後から入力内容を見る
パスワードなどの重要な情報を入力しているところを後ろから近づいて、覗き見る手口です。単純な手口ですが、成功すれば労せずしてパスワードやクレジットカードの番号等を入手することができます。清掃業者や運送業者を装い、社内へ侵入する場合もあれば、社外で移動中の端末操作を盗み見されることもあります。パソコンに向かっている操作者の背後に回り、入力しているパスワードや不在者の机上に置かれた手帳、重要な書類などを盗み見られることもあるので注意が必要です。
※その他、昔から言われていることですが、エレベーターの中やオープンスペース、飲食店、喫煙所での会話も要注意です。悪意はなくとも、大声で社内に関することや、業務内容を話していれば否が応でも耳に入ります。
ソーシャル・エンジニアリングの手口は、多岐にわたり、臨機応変に人間の心理につけ込み情報を詐取するため、技術的な対策は必ずしも有効ではありません。日常の業務における対策として有効なことは、ソーシャル・エンジニアリングの脅威に対する理解と警戒であり、基本中の基本である情報管理ルールの周知徹底に注意を払うことです。また「そんなあからさまな手口には騙されるわけがない・・・」との思い込みや過剰な自信を排除していくことも重要です。
2019年12月、国内最大手のECモールを展開するIT企業のグループ会社にて、従業員の氏名やメールアドレス等、複数の個人情報の流出が発覚しました。これは、グループ会社役員を名乗る人物から電話で虚偽の指示を受け、社内システムから情報を抽出し、提供してしまうという、典型的なソーシャル・エンジニアリングが原因と言われています。
攻撃者は、役員やシステム管理者を名乗る、緊急で処理が必要だと対応を急がす、未公表なので口外厳禁だと指示する等、ヒトの心理や感情を巧みに操って犯行に及びます。前述の事例も「役員が困っている」「すぐに対応してあげないと」という、ヒトの善意に付け込んだケースだと言えます。
また、口頭での情報漏えいに関する報告件数は少ないものの、家族や友人、職場の仲間内でうかつに重要情報を発言してしまい、漏えい事故に発展するケースは以前からあります。
また、本事案のように申出者が本人であるかの確認を十分におこなわないまま、本人以外の第三者に個人情報を伝えてしまった等の事故もあります。更に、業務上知り得た個人情報を、「ウワサ話」のような軽い気持ちで誰かに伝えたことによって、苦情に発展するような場合もあります。どこで、誰が、会話を見聞きしているかはわかりません。また、それを相手が、どこでその情報を拡散しているかもしれません。特に、移動中の電車内や休憩所、喫煙所、居酒屋などでの会話が重要情報の漏えいになる可能性があるので、注意が必要です。
セミナーや研修について
当社ではSNS利用上のリスクや情報管理(主に情報漏えい対策)に関して、セミナーや研修を企業・自治体・学校、病院等の分野で数多く実施しております。
セミナーや研修を通じて、新社会人(新入生)に限らず、全社的に教育を実施しインターネットの特性や情報リテラシーの理解、意識の向上を検討されている際は是非ご相談ください。
【お問い合わせ】
株式会社エス・ピー・ネットワーク 総合研究部
Mail:souken@sp-network.co.jp
TEL:03-6891-5556
