アフターコロナもテレワークを狙ったサイバー攻撃が後を絶たない(写真:wasrechimainayo/PIXTA)

新型コロナウイルスが感染症法上5類に移行し、アフターコロナの時代が始まったといわれる。出社を復活させつつ、働き方改革の観点からもコロナ禍に導入が広がったテレワークを継続する企業は多いが、テレワークを狙ったサイバー攻撃が後を絶たない。

経営者はアフターコロナのテレワークのリスクをどう捉え、どのような対策を取ればよいのか。サイバーセキュリティ研究を専門とする、横浜国立大学教授の吉岡克成氏に聞いた。

2020年下期以降増加したランサムウェアの感染経路

警察庁の資料「令和5年上半期におけるサイバー空間をめぐる脅威の情勢等について」によれば、警察庁に報告のあった「企業や団体等のランサムウェア被害」の件数は、2020年下期以降、右肩上がりで増えた。


2023年度の上期は103件と2022年度下期の116件よりやや減少したが、依然として高い水準だ。しかも、その感染経路はVPN機器やリモートデスクトップからの侵入が合わせて8割を超えており、テレワークを通じた被害が大半だと考えられる。


コロナ禍でのテレワークの普及に歩調を合わせて被害が拡大したように見えるが、やはり意図的に狙われているのか。吉岡氏は次のように説明する。

「ランサムウェアに限らず、一般的にサイバー攻撃は弱い部分を突いてきます。自宅のセキュリティは会社ほど十分ではない場合が多いので、被害につながるケースも増えているのでしょう。とくにゼロトラストを意識していないテレワークで問題が起こりやすくなっていると思います」


東洋経済Tech×サイバーセキュリティのトップページはこちら

ゼロトラストとは、文字どおり「何も信頼しない」ことを前提にセキュリティ対策に取り組むことだ。

例えば、セキュリティ対策への意識が高い企業の多くは、テレワーク用の端末やモバイル回線などを事前に準備したうえでテレワークを始めたことだろう。

一方、コロナ禍で必要に迫られ、とりあえず社員が会社のパソコンを自宅に持ち帰るなどの形で始めた企業もある。対策の甘い後者のほうが当然、サイバー攻撃に弱い。

「セキュリティ対策をしっかり行うにはそれなりのコストがかかり、技術や人員も必要です。そのため、テレワークが広がった現在でも、対策が十分ではない企業は少なからずあるでしょう」

「家庭用のルーター」が危ない!

弱いところを突くという意味で象徴的なのが、異なるネットワーク同士を接続する「ルーター」への攻撃だ。

ルーターはテレワークに必須の機器だが、社員の私物の家庭用ルーターでテレワークを行うケースも少なくない。吉岡氏によれば、その家庭用ルーターが標的の1つにされており、ここを踏み台にしたサイバー犯罪も増えているという。

「ルーターへの攻撃は、2015〜2016年頃から急激に増えました。そのため国内のルーターメーカーは2020年前後から製品に自動更新機能を搭載し、問題があると自動的に修正できるよう改善しています。

しかし、家庭用ルーターを使う人の多くは、故障でもない限り買い替えません。結果として古いものを使い続けている場合、外部からの侵入でネットワーク自体がやられてしまうと、パソコン自体のセキュリティをどんなに強固にしていても攻撃は防ぎようがありません」

また、攻撃に気付かない場合も多い。そこで吉岡氏の研究グループでは、家庭用ルーターのウイルス感染や脆弱性を診断する「am I infected?」というサービスを無償で提供している。

同サービスのウェブサイトにルーターを通じてアクセスし、必要事項を入力するだけの簡単な操作によりおよそ1分で結果が出る。感染や脆弱性が見つかった場合は対処法が案内され、要望があれば担当者が相談に応じるという。

家庭用ルーターでテレワークをしている人は、チェックしてみるとよいかもしれない。しかし、問題がないと診断されても安心しきってはいけない。初期設定のID・パスワードは変更する、ソフトウェアを最新の状態にする、古いルーターは買い替えるなどの対応はしておくべきだという。

便利なツールは、攻撃する側にとっても便利

企業は、ビジネスコミュニケーションの隙を突く攻撃にも注意したい。

コロナ禍を機に企業ではクラウド活用が加速し、ZoomやTeamsなどを使ったオンライン会議も当たり前のように行われるようになった。オンライン上でデータの共有も簡単にできるようになったわけだが、「便利なツールは、攻撃する側にとっても便利」だと、吉岡氏は警鐘を鳴らす。

「テレワークにおける外部システムの活用について会社として管理ができていないと、そのシステムが不正アクセスを受けた場合や、フィッシングなどで社員のID・パスワードが盗まれてログインされた場合などに、重要なデータや業務ファイルの漏洩が起こりえます。

ITリテラシーの高い人はSlackなどのコミュニケーションツールも駆使して仕事をされていますが、そこで重要なやり取りを行うケースもあるでしょうから、攻撃側も狙ってきます。以前はメールを中心に対策をしていればよかったのに、チャネルが多様化し、防御しなければならない範囲が広がったのです」

しかも今は、攻撃側がAIまで活用し始めている。アンダーグラウンドの世界では、サイバー攻撃をサポートするAIサービスが登場しており、なりすましやフィッシングのメール作成に生成AIを活用しているケースはすでにあるという。

「ChatGPTには『コンピューターウイルスを作って』といった指示は拒否する悪用防止機能が備わっていますが、その機能をはずす方法、いわゆるジェイルブレイク(脱獄)も出回っています。オンプレミスの構築環境も以前より整っているので、今後は自前のAIシステムを活用した攻撃も出てくると思います。

今年の8月にアメリカの学会でも発表しましたが、私たちのラボにおいてもシンプルなものであればChatGPTの悪用防止機能を迂回してマルウェアを作れてしまうことが確認されています」

サイバー攻撃による被害は多岐にわたる。業務に支障が出るだけでなく、調査・復旧費用の負担など、経済的な損害も生じる。

また、「A社が、B社とやり取りしている情報をサイバー攻撃で盗まれたとします。盗んだ側がその情報を活用してA社になりすまし、B社にも攻撃を仕掛けるなどのケースをいくつも見てきました」と吉岡氏が言うように、被害者でありながら加害者に加担したような状況にもなりかねない。取引先への影響が大きければ、社会的信用を失うこともありうるのだ。

このようにサイバー攻撃の手口が巧妙になる中、テレワークで問題が起こりやすいのは、やはり対策がまだできていない企業だと吉岡氏は指摘する。

「不審なメールは開かない、私用のパソコンを会社に持ち込まないなど、まずはルールを決めること。問題発生時の責任者や対応方法を含めた体制づくりも重要です。中には、いざというときに紙で業務にどう対応するかを決めたところもあると聞きます。また、サイバーリスクのリテラシーを高める社員教育も大切です」

企業の規模に関係なくサイバー攻撃はあるので、中小企業も情報資産がどこにあり、どう守っているかを把握しておくべきだという。

何をしてよいのかわからない、コストの負担が難しい場合は、「IPAの『中小企業の情報セキュリティガイドライン』の自社診断リストや総務省の『中小企業等担当者向けテレワークセキュリティの手引き』などを活用し、現状把握から始めてほしい」と吉岡氏は助言する。

「リスクとメリット」のバランスを取る

テレワークにリスクがあるのなら、毎日出社すればいいという考え方もある。

総務省の「テレワークセキュリティに関する実態調査(令和4年度)」によれば、今後のテレワークの活用予定について7割が活用予定である一方で、5.7%の企業が「すでに導入をやめた」、7.1%の企業が「活用しない」と回答。その理由として「情報漏洩などのセキュリティが心配だから」を挙げる企業が18.5%に上った。

しかしDXが推進される今の時代、ICTを使わずにすべての業務を行うことはほぼ不可能であり、テレワークをやめてもサイバー攻撃から解放されるわけではない。テレワークはBCP対策や生産性向上、人材確保などにおいても有効とされており、そうした恩恵を実感している企業もあるだろう。

テレワークが難しい業種でない限り、メリットを無視するのは現実的ではないのではないか。この点について、吉岡氏はこう話す。

「サイバー攻撃を完全に防御することは極めて難しいです。しかし、今のサイバー攻撃の多くは対策がまったくできていないところから狙ってきますので、まずはできる範囲で最低限の対策を施すだけでも、テレワークのリスクはだいぶ減らせるはず。押さえるべき対策のポイントを押さえてリスクとのバランスを取り、メリットを享受する形がよいと思います」

テレワークのメリットを最大限に生かすためにも、まずは無防備でいれば狙われるという現状とさまざまなリスクを、経営者や経営層が知ることが重要だ。

(崎谷 武彦 : フリーライター)