 CyberScout(ICMIF協賛会員/以下、「サイバースカウト」)によるこの最新のゲストブログをシェアできることを喜ばしく思います。このブログ記事はもともとサイバースカウト社のウェブサイトに掲載されたものですが、同社の許可をいただき、ICMIF会員のためここに転載されたものです。詳細については、サイバースカウトのグローバル市場担当コマーシャルダイレクターの Tom Spier 氏(写真)までお問い合わせください。We are pleased to share this latest guest blog from ICMIF Supporting Member organisation CyberScout. The blog was originally published on the organisation’s website and the article is reproduced here for the benefit of ICMIF members with their kind permission. For more information please contact: Tom Spier, Commercial Director – Global Markets @ CyberScout
|
新型コロナウィルスの流行により、多くの都市や自治体が避難所の設置や自宅待機命令の発出を行なうようになりました。新規コロナウィルスの拡散に伴い、日常生活には前例のない影響が出てきました。在宅での勤務や学習の取り組みは、世界中で何百万人もの人々が初めてテレビ会議を利用していることを意味します。このような新規ユーザーの急増に伴い、サイバーセキュリティの課題が多く発生するでしょう。
新型コロナウィルスの発生曲線を平坦化するには、自分が何に触ったかに注意することが大切であると私たちは知っています。オンライン環境でも同じことが言えます。
そして、世界的なパンデミックを自宅で乗り切るという考えには確かな魅力がある一方で、安全にやり遂げるのは簡単なことではありません。リモートの従業員を安全に保つためのヒントをここにいくつかご紹介します。
あなたには何ができるのか?
安全なビデオ会議サービスを選択する
多くの企業、学校、組織が日常的なコミュニケーションをテレビ会議ソフトウェアに頼るようになった現在、そのセキュリティの問題は業務上極めて重大であり、常に課題となっています。リモート労働者の突然の増大に対処するために、ソフトウエア企業は無料で強化版のテレビ会議アプリの提供を始めています。
プラットフォームを選択する場合は以下の確認をしてください:
-
- フリーは決して無料ではありません: サービスが無料である場合、ソフトウェア会社は収益化できる情報を集めていることが多いのです。使用しているプラットフォームが何であっても、可能な限りプライバシーの設定を厳しくすることを忘れないでください。
- そのサービスではスクリーンショットの記録やセッションの録画ができるようになっていますか?もしそうなら、その旨の通知がありますか? 機密性の高い情報は、テレビ会議の間に生成された画像などから収集できるのです。机の後ろの壁に張ってあるパスワードを書いた付箋、あなたの私生活の写真、銀行口座の明細などが、うっかりして他の参加者と共有されることがあります。
- セッションが記録できるようになっていますか? 多くの会議サービスでは、後で参照できるようにユーザーがセッションを記録可能なため、上記のすべての事項は覚えておく必要があります。あなたや同僚についてのあらゆる録音録画は、大きなデータリスクとなって現れることがあります。
- バーチャル背景ができるようになっていますか? バーチャルな背景は、単に乱雑な家のオフィスを隠すだけでなく、これによりユーザーは、悪意のある人物によって利用される可能性のある、すぐに利用可能な情報を含む潜在的に危険な個人情報を隠すことができます。信頼できる同僚や友人と話しているのでなければ、参加者が見られるものは少ない方が良いでしょう。
- 参加者を選択してビデオを見ることができますか? 起こりうる最悪の事態は、盗み撮りショットがオンラインに投稿されることではありません。悪意ある人物によって保存された画像は、あなたの住まいの場所や人に知られたくないその他の情報を特定するために利用することができます。
- そのサービスに関連する既知のマルウェアやセキュリティ上の問題はありますか? ほとんどの企業は、公けになる前に、自社のソフトウェアの脆弱性にパッチを当てるために緊急対応を行ないます。残念ながら、最新版または安全性の高いバージョンに更新していない出席者が一人でもいると、会議全体を危険にさらす可能性があります。セキュリティへの取り組みに関する詳細な情報を提供することができ、そして参加者にソフトウェアのアップグレードを求めているプラットフォームを探しましょう。
- エンドツーエンドの暗号化を提供していますか? パブリックおよび共有wi-fiへおアクセスにより、ユーザーデータが中間者による攻撃に脆弱なままさらされる可能性があります。エンドツーエンドの暗号化は、会議や通信の傍受を大幅に困難にすることで、セキュリティをさらに強化します。(これは、物理的に近い場所にいる誰かが盗聴するのを防ぐためにはほとんど機能しないため、注意し常識を働かせてください。)
- 表示される名前を変更したり、使い捨て番号を生成したり、その他の方法で身元を隠したりできますか? ハッカーがビジネスを脅かす際に最も効果的なトリックの1つは、偽装(すなわち、同僚、仕事仲間などを装うこと)です。身元を隠したり変更したりすることが困難なプラットフォームを使用していることを確認し、情報を共有する前に、通信相手が本人であることを確認してください。会議の開始時に、出席者全員に自己紹介してもらうようお願いするのが良いやりかたでしょう。
- 会議は個人識別番号(PIN)を持つ参加者に制限されていますか? 会議へのアクセスは、招待者のみに制限することが可能ですし、そうすべきです。安全度の高いプラットフォームは、認証の手段も提供します。そうでないものを使用している場合は、別のものに変更することを検討してください。
- 大規模な会議に参加している場合、参加者が複数のページに表示されていますか? これは重要なことです。なぜなら、招待されていないゲストが遅れてログインして電話番号のみの表示で紛れ込んでいる場合があり、50人を超す出席者があるような会議では見逃しがちだからです。
ウェブカメラの安全性を確保する
ソーシャル・ディスタンスの遵守は「曲線をなだらかにする」助けとなり、新たな感染の速度を鈍らせるかもしれませんが、プレイデート、仕事のセッション、小さな画面に移行されたその他あらゆる事ををホストするために使用されるウエブカメラの多くは、ハッカーに新しい機会をもたらします。
モノのインターネット(Internet of Things(IoT))のデバイスは、サイバーセキュリティが緩いことで知れ渡っており、インターネットに接続されたカメラも例外ではありません。
心配していないですって? 心配するべきです。セキュリティで保護されていないウェブカメラは、オンライン上でのセキュリティ保護がないデバイスの特定に特化したIoT専門の検索エンジンである Shodan において、最も人気のある5つの検索結果のうち上位3つを占めています。
家庭で働いたり学習したりする際に、プライバシーを保護するためにできることを次にいくつかご紹介します。
-
- デフォルトのパスワードを更新します: 多くのウェブカメラには、ログインIDとパスワードが、通常は admin / admin のようなかたちでデフォルトで設定されています。機器を箱から取り出した瞬間にデフォルトのパスワードなどを変更しないのは、玄関ドアの鍵を掛けずに開け放しておくのとデジタル的には同じことです。これらのデフォルト設定を他者が推測しにくいものに変更し、他のアカウントのパスワードを使いまわさないようにしましょう。
- アップデートまたはパッチがあるかどうかを確認します: 製造元が製品に脆弱性を発見した場合、ソフトウェアのパッチがリリースされることがよくあります。カメラに付属するソフトウェアの最新バージョンを実行していることを確認してください。ノートパソコンやコンピュータに内蔵されたカメラを使用している場合は、オペレーティングシステムとセキュリティソフトウェアを最新のものに保つようにしてください。
- 使用していないときはオフにするかカバーをします: 外付のウェブカメラを使用している場合、ハッカーに気付かれないようにする最も簡単な方法は、使用していないときには取り外すことです。ノートパソコンを使用している場合は、カメラとマイクを使用していないときに、再利用可能なシールを入手してカメラとマイクを覆うことを検討してください。
- ファイアーウォールの設置を検討します: ハッカーが安全でないウェブカメラにアクセスする主な方法の1つは、侵入ポイントとなるネットワークを調査することです。それは思ったより簡単です。上記の例に見られるように、Google検索に比べそれほど複雑なものではないのです。不要な受信トラフィックをブロックするようにファイアウォールを設置したりルーターの設定を行なうと、家にある機器とハッカーとの間に別のレベルの保護を追加できます。
インターネットに接続されたデバイスにはある程度のサイバーリスクが存在しますが、ウェブカメラは、特にセキュリティが低い場合、ハッキングを企てている者に対し、濃密で極めて個人的なレベルのアクセスをしばしば提供してしまいます。いくつかの簡単な予防策は、あなたのプライバシーを保護し、家を覗き見られないようにするのに役立ちます。
フィッシングのリンクに注意する
新型コロナウィルスの大流行により、コミュニケーションの主な拠り所として電子メールに依存する人が増え、そこにハッカーが注目しました。添付ファイルを開いたり、メールまたはテキストメッセージで送信されたリンクをクリックする場合は、特に注意してください。
このリスクは新しいものではありません。ランサムウェアは、従業員とのコミュニケーションを効果的に断ち切る可能性があり、オンラインに戻るためのリソースが制限されてしまいます。
さらに、ハッカーたちは、行動が大幅に変化している企業に対しハッキングする機会を探しています。その他の攻撃の手段としては、テキストメッセージによるフィッシング(smishing)や、誰かが従業員になりすまして電話をかけるビッシング(vishing)などがあります。
VPNを検討する
従業員が業務用ネットワーク上にある会社のデータ資産にアクセスしている場合、接続するために仮想プライベートネットワーク(VPN)を必須とすることを検討してください。
VPNを使用すると、2つの重要なサイバーセキュリティ上の利点があります。1) VPNは、あなたのネットワークを介してトラフィックをルーティングするため、送信データに対して、オフィスで利用しているのと同じファイアウォールおよびネットワークレベルの保護を提供してくれます。2) VPNは、ネットワークにアクセスできる人の数を制限し、使用法の異常を見つけやすくします。
会社のVPNを使う時間(または必要性の認識)がない場合でも、少なくとも、公衆Wi-Fi経由でネットワークに接続している従業員には商用VPNの提供を検討することをお勧めします。普段あまり自宅で仕事をしない人たちの多くは、リモートで作業するためにカフェ、図書館、公衆インターネット接続に頼っており、優れたVPNプロバイダを使用することで、デバイスにさらなる暗号化とセキュリティのレベルを追加するのに役立ちます。
電子メール通信の確認
フィッシング詐欺で使用される主な戦術は、ビジネスメール詐欺(BEC)です。この場合、ネットワークアクセス、支払い情報、または送金などの機密情報を入手するために、既知の仕事仲間や同僚から一見当たり障りのない電子メールが送信されてきます。
「BECはフィッシングの非常に有害な形態です。これは、ハッカーの目的がリンクをクリックしたり添付ファイルを開いたりするように経営幹部を騙すことだった従来の手口を改良したものです」と Cyberout の創設者 Adam Levin 氏は言います。「BECは騙しの手口を方向転換し、上司の電子メールを偽装し、送金できる立場にある誰かに緊急の連絡を送るものです。」
GoogleとFacebookはともに、2019年にこの戦術で1億ドル程度に達する被害に見舞われました。そこでは、オフィスの誰かが、機密性の高い可能性がある何かを要求する電子メールを受け取り、引き続き電話やSlack、テキストメッセージなどでのフォローが行なわれています。たとえ正当に見えるメールであっても決して信用してはいけません。
2要素認証を求める
突然リモート接続する従業員が発生することで、正当なアクティビティと潜在的に危ういアクティビティとを区別することが難しくなります。2要素認証を追加して、テキストまたはその他の確認手段を要求し、電子メールアカウントをチェックしたり共有ネットワークドライブに接続したりしている人の身元を確かめる必要があります。
ハードウェアを従業員に提供することの検討
リモートで働く従業員のために機器を提供するのは高くつきますが、一方でサイバーセキュリティの不備のために失われる時間やリソース(データ侵害は高くつき、しばしば壊滅的な程の費用を要します)を節約することができます。もし従業員をリモートで働かせる予定があるなら、仕事用にハードウェアを提供することで、完全に最新のパッチが適用されたデバイスを確保し、未完成だったり安全でなかったりするソフトウェアのインストールに制限を加えることさえできます。
必要があれば、仕事が可能となるだけの機器が家に無い場合には、従業員にコンピューターを自宅に持ち帰らせて仕事をしてもらってください。システムが他の場所で適切に機能するための更新が必要となるかもしれないライセンスおよびその他必要な設定については、ITサポートに必ず確認してください。
グローバルなパンデミックと同様に、職場へのサイバー攻撃のことを考えると恐ろしくなりますが、対処にはパニックは禁物です。いくつかの基本的なベストプラクティスを順守することで、従業員がリモートで接続している場合でも、比較的安全な職場環境を維持することが容易になります。
なぜこのそれは必要なのか?
ハッカーや詐欺師は、危機を利用する機会を決して逃しません。新型コロナウィルスも例外ではないでしょう。ウィルスの発生が大きく報じられ始めるや、フィッシングメールは世界中のメール受信箱に現れ、その中には医療機関や保険機関を装ったものもあれば、信頼できるニュースソースを装ったものもありました。フィッシングメールは何も新しいものではありませんが、その活動は広がりを見せており、これまでのところ、米国のシークレットサービスと連邦取引委員会(FTC)が新型コロナウィルスのパンデミックに関連するメールを読んだり添付書類を開いたりするに際し最大限の注意を払うように促す警告を出すまでに至っています。
リモートワーカーはどのように考えているのか?
言うまでもなく、新型コロナウィルス以前も、すべてが安全あるいはサイバー面で安心というわけではありませんでした。少なくとも1台でもコンピューター、携帯電話、インターネットに接続された機器を使用するあらゆるビジネスは、さまざまなマルウェア、フィッシング詐欺、データ漏えい、ランサムウェアなどによって定期的に脅威を受け続けてきました。
「この新たな状況により、集団攻撃可能な範囲が劇的に増加しました。従業員全体がリモートで接続している限り、新たなサイバー攻撃の急増は避けられません」と Levin 氏は警告します。
オフィス全体は単一のネットワーク上で動作することができ、そのインターネットトラフィックの大部分がその単一のインターネット接続を介して伝えられます。これにより、疑わしいトラフィックや既知の脅威をブロックするように特別に設計されたファイアウォールおよびセキュリティソフトウェアの実装が容易になります。
オフィス環境では、ITおよびテクノロジーのサポートスタッフは通常、企業のネットワークに接続されたすべてのデバイスにアクセスできます。そのため、確実にソフトウェアとファームウェアにパッチが適用され最新の状態にすることできます。これでサイバーの脅威から完全に守られるわけではありませんが、従業員が自宅で行えるよりも強力な監視と保護を提供しています。
サイバー脅威曲線をフラット化する
労働者が職場外から自社のネットワークにアクセスすると、潜在的に脆弱なさまざまなアクセスポイントの数が指数関数的に増加します。そのことは、その組織の攻撃しうる範囲を増加させます。
オフィスであればファイアウォールで止められたであろう電子メールが、自宅で接続するノートパソコンに自由に送信可能であり、ファイルを送信する際にはマルウェアが潜んだUSBキーやリムーバブルドライブが使われるかもしれません。また、カフェ(まだ多くがオープンしている)で仕事をする従業員がノートパソコンを盗まれたり、公衆Wi-Fi接続を介してデータを傍受される可能性があります。
新型コロナウィルスによる在宅勤務の状況をめぐる調整に、サイバーセキュリティを組み込もうとするストレスが加わっていますが、これはまさにハッカーたちが期待していることです。現在の仕事環境は一時的なものですが、マルウェア感染やデータ侵害による被害は永続的なものです。状況に応じ計画を立て、オフィスの全員に同じ行動を行なうよう促しましょう。データの衛生状態とは公衆衛生に似ています。大規模な脆弱性の時にのみ、誰もがそれを実践すれば機能するものです。
