働き方改革や新型コロナウイルスの感染拡大の影響により、多くの企業が急遽テレワーク体制の構築と移行を求められました。急速な世相の変化の中、十分なセキュリティ対策が講じられないままテレワークに移行した企業も少なくありません。本記事では、テレワークを機に増加するサイバー攻撃の実態と、攻撃から組織を守るために求められる知識をご紹介します。
新型コロナウイルスの感染拡大によって、2020年4月には全国を対象にした緊急事態宣言が発出されました。緊急事態宣言下では、政府からテレワーク推進の呼びかけがなされ、急遽テレワークへの移行を余儀なくされた企業も少なくありません。
IPAによる「情報セキュリティ 10大脅威2021」では、急速に普及したテレワークを狙った、不正アクセスやマルウェア感染による被害など、社員個人を標的としたサイバー攻撃の危険性が指摘されています。急いでテレワークを導入したため、セキュリティ対策が不十分のまま移行してしまった企業もあり、情報漏洩をはじめとしたセキュリティインシデントに繋がっています。
テレワーク環境で使用される VPN やオンライン会議サービスの脆弱性を悪用した攻撃も行われており、過去には実際に悪用されて窃取された認証情報がインターネット上で公開されるなどの被害が報告されています。
たとえば、次のようなセキュリティインシデント事例が報告されています。
【事例①】マルウェア感染によるメールアドレスの悪用被害
あるメーカーの社員のPCがテレワーク中にマルウェアに感染。メーカー側はセキュリティツールのアラートで感染に気づき、感染したPCをネットワークから遮断しました。
感染が社内で拡大してしまうような二次被害は防ぐことができましたが、メールアドレスを始めとする個人情報が流出・悪用され、同社の社員を装ったメールが複数の関係者に送信されるなどの被害に遭いました。
同社は関係者に対し、なりすましメールについて注意喚起を行うなどの対応を進めています。
【事例②】マルウェア感染により複数の工場で出荷や生産が停止
大手自動車メーカーでは、サイバー攻撃を受けてシステム障害が発生し、工場の稼働にまで影響が及びました。
情報流出こそしなかったものの、国内外の複数の工場で出荷や生産が停止し、多くの損害が生じました。また、メールやファイルサーバーへの接続ができなくなり、全社員がPCの使用を制限される事態を招きました。
社内サーバーに対し、外部から進入の痕跡があったことなどから、原因はマルウェアによるサイバー攻撃であったと見られています。
【事例③】フィッシングメールを悪用した情報窃取
コロナ禍であることにつけ込み、実在する保健所や世界保健機構(WHO)の名前を騙った、新型コロナウイルスに関連する内容のフィッシングメールが多く確認されています。
フィッシングメールのURLをクリックしたり、添付されたファイルを開くことで、個人情報を窃取されたり、無自覚のうちにマルウェアをダウンロードしてしまったりする危険があります。
これらの不正アクセスやマルウェア感染による被害は、テレワーク移行を機に増加傾向にあります。
従来、企業は会社内のネットワークセキュリティを強化したり、外部からのアクセスを禁止したりすることで、社内の情報を守り、安全性を確保してきました(境界防御)。しかし、テレワークで働く社員が増えると、社内と社外の境界があいまいになり、社外からも安全にアクセスできる環境づくりが求められるようになります。
一方でサイバー攻撃の手口は高度化し続けており、テレワーク端末すべてに完全なセキュリティを施してマルウェア感染やサイバー攻撃を完全に防ぐことは現実的ではありません。
たとえば、近年導入が進むEDR(Endpoint Detection and Response)は、各端末(エンドポイント)に攻撃者が「侵入し得る」ことを前提としたセキュリティ対策です。EDRでは、サイバー攻撃をすばやく「検知」し「隔離」、そして「分析」し「復旧」する、各工程で十分な対策をとることをめざします。
また、システム上の対策を講じていたとしても、各個人のセキュリティ意識が低くては有効に機能しません。甘いセキュリティ意識につけこむフィッシングサイトや標的型メールなどの攻撃の対象となり、ひいては会社全体のシステムが危険にさらされる可能性があります。人的要因によって、重要な情報(IDやパスワードなど)が漏洩し、社内情報にまで脅威が及ぶことも考えられるのです。
こういった被害を防止するには、注意喚起や各社員の情報リテラシーの向上に努める必要があるため、社員へのセキュリティ教育が不可欠です。
企業のセキュリティ対策を牽引していく立場にあるセキュリティ担当者には、サイバー攻撃やセキュリティリスクの動向を常に追い、マルウェアなどの個人を標的とした攻撃についても知識を深めることが求められます。
エディフィストラーニングでは、企業や個人などを標的にして行われるサイバー攻撃の最新事例をもとに、攻撃者の視点に立ち、攻撃の仕組みや回避方法を学べる
「サイバーセキュリティ入門~ケーススタディ編~」をご用意しています。
企業の人材育成方針やスキルレベルに応じた研修カリキュラムのご提案も致しますので、ぜひ貴社のセキュリティ対策力を上げるためのトレーニングとしてご検討ください。
以下のような課題・ニーズをお持ちの企業様へ
・ 大手IT企業が行う、最新セキュリティを学ばせたい。
・ 取引先の業界では、セキュリティ強化のニーズが多い。
・ 案件を多く請け負うために、クライアントに信頼性を示したい。
・ セキュリティインシデントの様々な事例を学ばせ対策したい。
エディフィストの実務に活かせるIT研修
