●便利な公衆Wi-Fiだけど、リスクがいっぱい

○働き方改革の取り組み、始まっていますか?

最近、政府主導で始まった働き方改革、残業削減やテレワークなどが広がってきたようです。特にテレワークは、時間や場所の制約に縛られてきたワークスタイルを変え、企業にも社員にもメリットをもたらします。総務省の調査によると、資本金50億円以上の企業では約45%が導入済みだとか。しかしその一方で、情報漏洩やマルウェア感染などのさまざまなセキュリティ上の課題もあるのが実情です。

サイバーセキュリティの脅威は、日々変化しています。もしかしたら、ベテラン・エンジニアの方でさえ知識が古くなっているかもしれません。

テレワーク、モバイルワークをこれから取り入れようと思う企業も、既に始めている企業も、あらためて、テレワークを利用する際のセキュリティ上の注意点を確認してみませんか?

○最初の一歩、見落としやすいアップデートの真実

テレワークで公共のWi-Fiスポットを利用される人もいるでしょう。五輪を直前に控え、飲食店、カフェ、公共施設では無料Wi-Fiの整備が進んでいます。有料のWi-Fiスポットも至る所で見られるようになりました。

社外のネットワークに接続する際の最重事項は、なんといってもセキュリティの3原則を守ることです。

OSをアップデートして最新の状態に

セキュリティ対策ソフトを最新の状態に

パスワード管理を適切に(強くする、使い回しをしない)

OSやセキュリティソフトのことは会社任せになっているかもしれません。しかし、実はここに大きな落とし穴があるのです。

企業では、OSやセキュリティソフトのアップデートが出てもすぐにインストールしないことはよくあります。アップデート・プログラムにバグがあったり、そうでなくても業務システムやWebアプリケーションと衝突して使えなくなったりすることを避けるため、しばらく様子を見るわけです。

しかし、深刻な脆弱性の修正が含まれている場合、数日間アップデートが遅れるだけでウイルスの攻撃から守られない可能性もあります。現に昨年、某大手セキュリティベンダーの企業向けセキュリティソフトの脆弱性が公表されたその日に、その脆弱性を狙ったゼロデイ攻撃が観測されています。

Windowsなら、毎月第2水曜日がアップデートのリリース日です。深刻な脆弱性アップデートが含まれていれば、アップデートが完了するまで社外のWi-Fiスポットの利用は控えたほうがよいかもしれません。

○公共Wi-Fiって、どうつかえば安全?

「FREE_Wi-Fi_and_Tokyo」のステッカー

これまで、公共のWi-Fiで危険なことは「通信内容の盗聴」と言われてきました。Wi-Fiスポットは不特定多数の人が一緒に利用するネットワークです。このスポット内はLAN環境と同じで、内部の通信が暗号化されていない場合、LAN内の通信を傍受して簡単に読み取れてしまいます。

もし、暗号化キーが設定されていないWi-Fiがあったら、それはビジネス用途で利用すべきではありません。そこには、ウイルスに感染したPCが接続されているリスクもあります。これは基本中の基本ですね。

東京都では、右図のように、無料Wi-Fiスポットの存在場所を知らせるステッカーを街中で数多く見かけるようになっています。こちらの無料Wi-Fiスポットは、Windows10PCでは以下のような見え方をします。

Windows10でのWi-Fiスポットの見え方

「FREE_Wi-Fi_and_Tokyo」は「オープン」と表示があります。これは暗号化キーが設定されていないという意味です。「セキュリティ保護あり」とあるWi-Fiスポットは暗号化キーを入力しなければ、接続できません。スマートフォンでは錠前のマークで表示されています。

セキュリティ保護のないWi-Fiスポットを利用する場合、IDやパスワード、個人情報入力、買い物などは避けたほうが無難です。そして、もちろんテレワークに利用するには不向きであると考えたほうがよいと思います。

○VPNを使って通信を暗号化すると安全?

テレワークを推進している企業なら、社外からオフィスのメールや業務システムに接続するために、VPN(仮想プライベートネットワーク)を使っている企業も多いと思います。VPNは会社のサーバとの通信を行う仮想の専用回線をつくる技術で、通信内容の漏洩を防いでくれます。もし、どうしても無料Wi-Fiスポットを使わざるを得ない場合は、必ずVPNで接続した上で仕事をするようにしましょう。

また、Office 365やG Suite(G-Mailの企業版)など、クラウドサービスも普及してきました。クラウドサービスについても、無料Wi-Fiスポットなどセキュリティが弱い場所からのアクセスを制限することが大切です。クラウドサービスへのログインIDやパスワードは、オフィスのセキュリティカードと同じです。公共のWi-Fiスポットだけでなく、ネットカフェの共有PCや他人のPCからクラウドへのログインを行うのは危険な行為です。

また、テレワークに限ったことではありませんが、公共Wi-Fiスポットを使う場合、一般向けのVPNサービスを利用する方法もあります。日本ではあまり普及していませんが、海外でモバイルワークするビジネスマンにとって、VPNの利用は常識ともいわれています。自身がマルウェア感染や情報漏えいの原因にならないための意識が浸透しているのかもしれませんね。

個人向けVPNサービス

カスペルスキー セキュアコネクション

ノートン セキュアVPN

マカフィーセーフコネクト

海外には無料のVPNサービスも多数あります。しかし、安全性に問題があると報告されているサービスもあるので、しっかり評判を調べた上で選びましょう。

ワンポイント知識(1)

無料Wi-Fiスポットを利用する場合、「メールアドレス」や「SNSアカウント」を用いて利用登録をするよう求められることがよくあります。これは、安全性を確保するため、観光促進の商業的な利用をするためと言われています。しかしリスクを考えると、SNSアカウントによるログインは避けたほうがいいでしょう。お勧めするのは、無料Wi-Fi登録専用のフリーメールアカウントをGmailなどで作っておき、そのメールアドレスを使うことです。

●テレワークを安全に使う9つのポイントとは?

○暗号化キーがあっても要注意「偽Wi-Fiスポット」とは?

通常のWi-Fiスポットに紛れて、事業者が提供していない偽のWi-Fiスポットが存在しているのはご存じでしょうか?

Wi-Fiの名前(SSDI)は、簡単に変更できます。悪意のある人が持ち込んだポケットWi-FiやPCと小型のWi-Fiルータを使って、SSDIを本当のアクセスポイントと同じに設定してしまえば、利用者を簡単に騙すことができます。また、偽Wi-Fiスポットにウイルス感染の罠を仕掛け、アクセスしたPCにこっそり不正プログラムを忍び込ませるなどの手口もあります。

筆者の場合、仕事で使うPCは自分で用意したポケットWi-Fiやスマホのテザリング、もしくは安全な管理がされている企業が来訪者向けに用意しているゲストWi-Fiなどに限定して利用するようにしています。

ワンポイント知識(2)

なりすましアクセスポイントに関しては、こんな話もあります。

ある国際的な会議で会場のWi-Fiになりすました偽のアクセスポイントを用意したセキュリティの研究者がいました。すると、何人もの人がその偽アクセスポイントに接続して、会議の内容そっちのけでWebサイトを閲覧したり、買い物をしたりしていたそうです。会議会場ということで安心していたのか、VPNを使っていない人の通信は丸見えだったということです。

このように、専門家、政府や官公庁関係の要人、企業のエグゼクティブなどが集まる会議場やホテルなどの公共施設は、価値のある機密情報が得られる可能性が高く、罠をしかけられやすいと言われています。

○家庭のネットワークにウイルスが?

家庭でテレワーク(在宅ワーク)をする場合についても考えてみましょう。

電柱から引き込まれたネット回線の先には、Wi-Fiルータがつながれて、外のインターネット環境と家庭内のLANを隔て、接続する玄関口となっています。皆さんの家庭の玄関は、外出時は鍵をかけると思いますが、ネットの玄関であるルータに鍵がかけられているかを確認したことはあるでしょうか?

企業であれば、ネットワークを監視するセキュリティ機器、サービスを導入しメンテナンスされていますが、Wi-Fiルータを付けたまま放置し、アップデートもしていない家庭も多いでしょう。

今、PCやスマートフォン以外のネットワーク機器、スマート家電、WebカメラなどのIoT機器へのサイバー攻撃が激化しています。国の研究機関であるNICTの調査では、家庭のWi-Fiルータも漏れなく、攻撃者のスキャン(調査)にさらされていることがわかっています。脆弱性など攻撃をするスキがあったら、IoT機器に感染するウイルスが送り込まれ、サイバー犯罪に悪用されてしまいます。

ルータの管理画面のIDパスワードが初期設定のままになっていたり、ファームウェアを1回もアップデートしていなかったりなど、無防備な機器はサイバー攻撃の格好のターゲットになります。

そのほか、家庭の中にアップデートがされていない古いPCやスマートフォンがありませんか?

Windows XPは言うまでもなく、2020年1月でサポート期間が終了したWindows 7など、久しぶりに起動したらOSの脆弱性にアップデートが当たっていなかったり、ウイルス対策ソフトの期限が切れていたりすることはありがちです。また、スマートフォンも、ユーザーを騙してインストールされる不正なアプリによってサイバー攻撃に悪用される事例が多数報告されています。

もし会社のPCを持ち帰り、ウイルスに感染したPCと同じネットワークに接続したらどうなるでしょう? ウイルス対策ソフトが入っていても、働いてくれるとは限りません。テレワークをするのであれば、自宅のWi-Fiルータや家族の使うPCやスマートフォンの安全性にもきちんと目を配って、メンテナンスしておかなくてはならないということですね。

このような問題に対処するために、最近は一般家庭や小規模オフィス向けのセキュリティWi-Fiルータも販売されています。ウイルス対策や、不正侵入、パスワード解読する攻撃など、PC用のウイルス対策ソフトでは検知できないサイバー攻撃も検知、ブロックできるものです。いくつか紹介しておきますので、確認ください。

SECURIE Home powered by Bitdefender

Bitdefenderの高速セキュリティWi-Fiルータとクライアントソフト(台数無制限)を提供。

@nifty スマートセキュリティ with F-Secure

F-Secureのセキュリティルーターとクライアント用ソフト(7台分)を提供。

BUFFALO AirStation connect WRM-D2133HS

カスペルスキーの技術を組み込んだDiXiM Securityを採用、クライアント用セキュリティソフトは付属なし。

○利用者に向けたアドバイス

ここまで、テレワークで見落としがちなセキュリティについて、説明してきました。以下、ポイントを箇条書きにしてみたので、もう一度確認してみてください。

テレワークで使うPCはOS、セキュリティソフトを常に最新に

無料Wi-Fiスポットは、暗号化なしのものが多い

利用登録には、専用のフリーメールアドレスを用いる

公共の場所には偽のWi-Fiスポットもある

公共Wi-Fiスポットは無料も有料もできるだけテレワークには使わない

使う場合はVPNを利用する

家庭のWi-Fiルーターのパスワード変更、ファームウェアアップデートは必須

自宅にセキュリティが不十分なPC、スマホがないかをチェック

できれば、セキュリティWi-Fiルータを買って安全性を高める

○企業のIT担当者向けのアドバイス

大手企業であればIT部門のセキュリティポリシーに基づいて、社員がテレワークに使用するPCは管理されていることと思います。しかし、最近のニュース(M社やN社の不正アクセス事件)で報じられているように、企業を狙ったサイバー攻撃はガードの弱い一般社員や関連会社組織から侵入していることが明らかになっています。

また、中小企業の場合、情報システム担当が1人きりという企業も多数あり、安全対策を全社員にいきわたらせることは困難かもしれません。

今、サイバーセキュリティの世界では「人間」そのものが最大の脆弱性と言われています。

どんなセキュリティ技術を使っても、利用者のセキュリティ知識、安全意識の有無で安全性が大きく左右されます。企業存続の危機にもつながりかねない情報セキュリティ事故を防ぐために、テレワーク時のネット接続環境の安全性や、犯罪手口に騙されないための予備知識の教育を徹底することが、最も低コストで効果的なセキュリティ対策と言えると思います。

著者プロフィール

○山本和輝(やまもとかずてる)

外資系ソフトウェアベンダー数社の日本支社マーケティング部門を経て、2000年よりシマンテックにて消費者むけ総合セキュリティソフトの国内普及に携わる。

ソフトバンクグループのBBソフトサービスに入社後は、セキュリティ事業の広報マーケティング業務を行うと同時に、社外のセキュリティ団体にて一般消費者のサイバー犯罪被害を無くすための啓発活動も積極的に行っている。