United States Computer Emergency Readiness Team (US-CERT)は2020年3月13日(米国時間)、「Enterprise VPN Security|CISA」において、新型コロナウイルスの影響で、企業は働き方の選択肢としてテレワークを提供し、そのセキュリティ対策としてVPNを導入するケースが増えている中、攻撃者がVPNを狙うリスクが高まっているとして注意を喚起した。

US-CERTは、テレワークにおいては次のようなサイバーセキュリティを考慮する必要があると説明している。

企業がテレワークにVPNを利用する場合、サイバー攻撃の標的になりやすく、これまで以上に多くの脆弱性を悪用されるおそれがある

VPNは年中無休で動作するものであるため、企業は利用しているVPNに最新のセキュリティ更新プログラムやパッチを適用する可能性が低くなる

サイバー攻撃によって在宅勤務者にフィッシング詐欺などが仕掛けられ、ユーザー名およびパスワードが窃取される可能性がある

リモートアクセスに多要素認証を採用しない企業は、フィッシング攻撃を受けやすくなる

企業のVPN接続数には上限があり、上限を超えるとテレワークができなくなる。また、可用性が低下することで、ITセキュリティ担当者がサイバーセキュリティ業務に従事する機会を減らし、重要な事業運用が損なわれる可能性がある

Cybersecurity and Infrastructure Security Agency (CISA)は、企業がテレワークやリモートワークを検討する場合に、次の事項を確認することを推奨している。

VPN、ネットワークインフラストラクチャデバイス、作業環境へのリモート接続に使用するデバイスを更新し、最新の状態にする

フィッシング詐欺の増加が予測されることを従業員へ警告する

ITセキュリティ担当者がリモートアクセスの実施によって発生しうる作業、例えばログのレビュー、攻撃の検出、インシデント対応と復旧といった作業をリモートで実施できる体制になっていることを確認する

すべてのVPNに多要素認証を使用する。多要素認証が利用できない場合は、テレワーカーに強力なパスワードを利用することを要求する

ITセキュリティ担当者に仮想プライベートネットワークの制限テストを実施してもらい、可能であれば帯域幅を必要とするユーザーが優先的に帯域を使用できるようにレート制限などの変更を実施する

CISAに連絡して、インシデント、フィッシング、マルウェア、そのほかのサイバーセキュリティの問題を報告する

Enterprise VPN Security|CISA

新型コロナウイルスの影響でテレワークを導入する企業が増加している。テレワークはITが多用されていることから、サイバー攻撃の対象にもなりやすいと考えられている。テレワークに関するサイバー攻撃について調査するとともに、随時適切な対応を取っていくことが望まれる。