新型コロナウイルスによる世界的な危機状況が続いていますが、そんな時でも、というかそんな時だからこそ、それに便乗したサイバー攻撃が激化していくという警告が発せられています。世界各国でのロックダウンによる外出禁止、日本でも首都圏などでの不要不出の外出自粛や平日の自宅勤務要請を受け、自宅からテレワークを実施する人が大勢出てきています。

「在宅勤務が増えれば、攻撃側はやりやすくなり、守る側は難しくなる」と米国セキュリティ機関SANS Internet Storm Centerの専門家が指摘しています。テレワークが急速に増えることは、攻撃者にとっては「脆弱な鍵が付いた入口」が増え、攻撃しやすくなることを意味しています。

実際、海外ではWHOの名を語って、新型コロナウイルス関連の情報アプリと称してマルウェアをダウンロードさせようとする攻撃が行われたりしています。
新型コロナウイルス関連に見せかけたドメインを登録して不正なWebサイトを作り、問題のある商品・サービスを売り付けようとする詐欺サイトや、新型コロナウイルス対策のための寄付と偽って金銭をだまし取る手口なども報告されているようです。

こうした状況の中、2020年3月31日に警視庁からテレワークでのセキュリティ対策情報が発信されました。

警視庁「テレワーク勤務のサイバーセキュリティ対策!」ページ

>警視庁 「テレワーク勤務のサイバーセキュリティ対策!」ページ

このページではテレワークに潜む危険性を「利用端末」「通信経路」「パスワード」「自宅Wi-Fiルーター」「Wi-Fiスポット」「メール」などのカテゴリーごとに注意を促しています。項目だけリストアップするとこんな感じです。



テレワークで使用するパソコン等(タブレット、スマートフォン)

  • サポートが終了しているOS(オペレーティングシステム)のパソコンを使用しない。
  • ウイルス対策ソフトを必ず導入する。
  • 毎日の業務を始める前に、使用するパソコン等のOS、ウイルス対策ソフト、アプリケーションを最新の状態にする。
  • テレワークで使用するパソコンは、自分以外に使用させない。
  • 不特定多数が利用するパソコンの使用を避ける。
  • データを暗号化して保存する。
  • ファイル共有機能をオフにする。


通信経路

  • 使用するパソコンから勤務先等の接続先までの通信経路が、VPNで暗号化されているか否かを勤務先のネットワーク担当者に確認してから業務を行う。
  • VPNサービスを利用するときは、運営者が明確であり、かつ情報が健全に取り扱われるものを利用する。


パスワード

  • 他人に推測されにくい複雑なものにする。
  • 他のサービスと使い分け、テレワーク専用にする。
  • パソコン本体内に保存しない。


自宅のWi-Fiルータを使用するとき

  • ファームウェアを最新のものにアップデートする。
  • 管理用IDとパスワードを購入したままの状態で使用しない。
  • SSID(アクセスポイント名=AP名)は、個人が特定される名前などを設定しない。
  • WEPによる暗号化方式を使わない。


Wi-Fiスポット(公衆無線LAN)やサテライトオフィスを利用するとき
  • 接続パスワード(キー)が、「ない」または「公開されている」Wi-Fiスポット(公衆無線LAN)では、セキュリティが不十分なため重要な情報のやり取りをしない。
  • 偽のWi-Fiスポットに注意する。


    • 電子メール

    • メールに添付されているWordファイル等のマクロ機能を安易に起動したり、メール本文やPDF等の添付ファイルに記載してあるURLに安易にアクセスをしない。
    • メール本文中に記載のURLから、ネットバンキング等のログイン情報等を求められても入力しない
    • 取引先から不審なメールを受けたときは、取引先に電話で確認をする。
    • 取引先から「そちらからおかしなメールが送られてきた。」等と連絡を受けたときは、すぐにパソコンをネットワークから遮断する。
    • メールで振込先の口座変更やはじめての振込先への送金を求められた場合は、メールを送った本人に電話で確認をする。


    その他

    • パソコン内のデータが勝手に暗号化され、金銭を要求されたら、パソコンをネットワークから遮断する。
    • 勤務先のシステムへログインするときは、定められた手順・方法で行う。
    • USBメモリー等の外部記録媒体は、テレワーク専用のものを使用する。
    • テレワークで使用するパソコンでは、スマートフォンの充電をしない。
    • 電車やカフェなどで業務を行う場合はのぞき見や盗撮に注意する。
    • テレワークのシステムの不具合が発生した場合に備えて、連絡先を確認しておく。


    パソコンやネットワークを担当者が管理している勤務先であれば、しっかりと設定されていることでも、テレワークではほとんどの場合、個人が管理するPCやタブレット、スマホ、Wi-Fiルーターなどの機器を使用することになり、管理が行き届かず危険性が増大してしまう恐れがあります。
    外部から勤務先のネットワークに接続する必要がある場合には、その接続方法に関するセキュリティ対策を十分に行っていないと、会社のネットワークを危険にさらしてしまうことになりかねません。

    VPNや、仮想デスクトップ・リモートデスクトップなどの利用、自宅端末の事前登録、勤クライアント証明書の利用、「PassLogic」などの認証システムの利用など、セキュリティ対策はとられていることと思いますが、オフィスよりはるかに危険が多いことを、テレワークする各個人が十分に認識している必要があります。前述の警視庁「テレワーク勤務のサイバーセキュリティ対策!」ページをぜひご覧いただくことをおすすめします。

    P.S.
    前述の警視庁サイトの記事の要約版のチラシがPDFでダウンロードできるようになっていますので、ぜひご家族やお知り合いにもどうぞ
    「ちょっと待て!そのテレワーク、セキュリティは大丈夫」
    >テレワーク勤務のサイバーセキュリティ対策チラシ(PDF形式:579KB)