2020年3月、新型コロナウイルス感染症(COVID-19)の大流行は100か国以上に広がり、正式にパンデミック(世界的大流行)が宣言されました(英語記事)。それ以来、世界がこの未曾有のウイルスと戦い続けて丸1年。この感染症の拡大は、個人の健康や国全体の経済状態に明らかな影響を及ぼしただけでなく、何百万という人々の日常生活に突然の急激な変化をもたらしました。仕事や勉強の場は自宅に移り、仕事関係の人や友人との会合はビデオ会議になり。活動の場がオンラインへと大規模なシフトを遂げたことで、サイバーセキュリティに関する懸念は増しています。
在宅勤務におけるサイバーセキュリティの脅威
業務プロセスにおける最大の変化は、強制的に在宅勤務に切り替わったことではないでしょうか。2020年4月に当社が実施したグローバル調査では(英語レポート)、それまで在宅勤務の経験がなかった人は回答者6,000人のうち半数近くに上ることが分かりました。にもかかわらず、インターネット経由で社内リソースへ安全にアクセスする方法について会社側から特別なトレーニングを受けていない従業員は73%に上っています。このようなトレーニングを実施していれば、人的要因から生じたインシデントの数を減らすことができた可能性があります。企業のITサービス部門が社員のデバイス、ソフトウェア、ユーザー操作を管理できる程度が下がったために、リスクが増加したのでした。
自宅のデバイス
業務用のPCを社員に支給しなかった会社は、少なくありませんでした。その代わり、自宅で使っているPCを業務用に使用することや、自宅のPCから会社のネットワークに接続することが許可されましたが、このようなデバイスは十分に保護されていないことが多々あります。当社の調査によると、回答者の68%が、在宅勤務の際に個人持ちのPCを使用していました。昨年秋にはまた別の調査を実施しましたが(英語レポート)、その時点では個人持ちのPCを使用する人の数がさらに増加していました。必要な機器を会社から支給されていた人が全体の半分以上(51%)を占めていたにもかかわらず、自分個人のPCを仕事に使用していると回答した人は約80%でした。
テレワークする人々は、個人のPCをオンラインゲーム(31%)や映画鑑賞(34%)など娯楽目的にも使用していました。一方で、会社のノートPCやスマートフォンを、会社が想定する範囲を超えた目的に使用した人もいます。例えば回答者の18%は、会社支給のデバイスでアダルトコンテンツを視聴していました。サイバー犯罪者は、オンラインの娯楽に対する関心の増加を積極的に悪用し(英語記事)、偽サイトに人々をおびき寄せたり、映画のファイルや何かのインストーラーに見せかけたマルウェアをダウンロードさせようとしたりしています。秋の調査では、回答者の61%がトレントサイトからソフトウェアをダウンロードしたことを認めています。トレントサイトから音楽をダウンロードした人は65%、映画をダウンロードした人は66%でした。当社のテレメトリデータによると、2020年春に最も悪用のターゲットになったのは、『マインクラフト』とテレビドラマの『ストレンジャー・シングス』でした。
無防備なテレワーク用チャネル
オフィス内では、IT管理者がインターネットチャネルの保護を管理しています。しかし在宅勤務の場合は、社員が各自で自宅のルーターやネットワークをセットアップするので、これがセキュリティのリスクを高める要因となっています。
そのような背景から、2020年3〜4月には、保護されていないRDPポート(Windowsを実行するコンピューターで最もよく利用されているリモート接続プロトコル)に対する攻撃の数は、ロシアでは10倍、米国では7倍に増加しました(英語記事)。
コラボレーションツールの脆弱性
オフィス内では、ドキュメントの編集も会議の参加も、直接対面でできました。テレワークになったことで共同プロジェクトの編集や会議がオンラインに移行し、ビデオ会議用ソフトウェアやコラボレーションツールの需要が劇的に高まりました。この需要の増加が、サイバー犯罪者の関心を引くこととなりました(英語記事)。
正規のビデオ会議用ソフトでセキュリティのほころびが見つかってもいます。例えば1年前、部外者が組織内の全アカウントにアクセス可能になるという脆弱性がMicrosoft Teamsに見つかり、修正されました。同じころにZoom for macOSも、部外者によるデバイスの乗っ取りを可能にするバグが修正されています。
Googleドキュメントなどの無料サービスで、個人用のアカウントを使用してドキュメントの共同作業やファイルの交換を行う社員もいましたが、このような無料サービスでは権限を中央で管理する機能が備わっていないことが多いため、社外秘データを保護できない可能性があります。
攻撃者に狙われる医療機関
パンデミックの間、医療分野に膨大な負担がのしかかりました。この状況を見て、医療関連機関や病院、時には医師をも直接攻撃しようとする動きが見られました。
2020年3月、米国保健福祉省(Health and Human Services Department:HHS)のサーバーが大規模なDDoS攻撃の標的となりました(英語記事)。同じ月にはチェコ共和国で、新型コロナウイルスの主要な血液検査センターであるブルノ大学病院のデータベースがサイバー攻撃の影響を受けました(チェコ語記事)。その結果、医師らは新型コロナウイルスの試験を行うことができなくなり、何件もの手術が中止されました。
新型コロナウイルスと戦う組織は、高度な技術を持つサイバー犯罪者の標的となってきました。2020年9月には、新型コロナウイルスのワクチンを開発していた製薬会社をLazarusグループに属する何者かが攻撃し(英語記事)、その1か月後には保健省もその攻撃を受けました。
医療機関と従業員個人の両方が標的となっています。英国では、「命にかかわる新型コロナウイルス」に関する架空のセミナーへの登録を促すという手口で医療従事者をだまし、メールアドレスとパスワードを盗み取るケースがありました(英語記事)。
新型コロナウイルスの脅威をよく理解しているはずの人物が、医療業務を妨害した事例もありました。2020年の春、米国の医療器具メーカーStradis Healthcareから解雇された同社元幹部が、その報復として医師が使用する個人用防護具の供給を数か月にわたって停止させるという事件がありました。FBIの情報によると、この元幹部は、保持していた秘密のアカウントを利用して元同僚たちの業務を妨害(英語記事)。2021年1月には、懲役1年の判決が下されたと報じられています。
新型コロナウイルスにかこつけたフィッシング
世界各地の政府がCOVID-19と戦い、企業や国民を支援する政策を打ち出す中、ウイルスに対する恐怖心や支援を求める人々の心理に付け込こもうとするサイバー犯罪者の動きが見られました。当社の調査によると、ユーザーの4分の1が、COVID-19に関する内容の悪意あるメールを受け取っています。
顧客や行政機関からの偽メール
例を挙げましょう。米国疾病対策予防センター(Centers for Disease Control and Prevention:CDC)から発信されたように見せかけた偽メールは、近隣で最近発生したCOVID-19感染事例について情報を確認するように促す内容でした。確認するには、メールに記載されたリンクをクリックし、Microsoft Outlookのログイン画面のように見せかけられたWebページにメールアドレスとパスワードを入力する必要がありますが、入力したアカウント情報は最終的に犯罪者の手に渡ってしまいます。
ロックダウンの波が広がりつつある中では、商品の発送を求める顧客からの要望を装ったメールの数が増加しました。メールの信憑性を高めるために、「新型コロナウイルス感染症の影響を受け物流に問題が起きた」と訴えたり、「中国の供給業者に問題が発生したので代わりに物品の納入を至急お願いしたい」と打診したり、といった文面になっています。このようなメールにはだいたいトロイの木馬やバックドアが添付ファイルの形で添付されており、こういったものにデバイスが感染すると、攻撃者は感染デバイスを遠隔操作できるようになります。
偽のCOVID-19関連支援金
当社のデータによると、2020年に観測した給付金関連の悪意あるメールの数は、前年の5倍でした(英語記事)。こういったメールも、送信元は政府機関や国際通貨基金(International Monetary Fund:IMF)から届いたように見せかけられており、中には世界保健機関(World Health Organization:WHO)を装ったものもありました。
こういった手口は昔からありますが、補償金を約束した上で、送金にかかる少額の手数料を要求するという新たな形が見られました。
サイバー犯罪者は、Facebookが中小企業に助成金を提供するという実際のニュースも利用しています。このニュースを引用し、Facebookの利用者全員が助成金の対象になるという偽物のニュース記事を作成する手口が観測されました。応募用のWebサイトへのリンクとして記載されたリンクをクリックすると、助成金申請のためだとして、アカウントのユーザー名とパスワード、住所、社会保障番号、身分証明書の顔写真の提供が求められます。これら一式の情報は、闇市場でかなりの額で取引されています。
自衛のためにできること
コロナ禍の1年、サイバー犯罪者たちは、まったく新しい攻撃の手法を編み出すことはありませんでしたが、COVID-19という話題を積極的に悪用しました。そして、業務がオンラインへ移行した人が増えたために、オンライン攻撃の数も当然ながら上昇しました。
テレワーク環境で仕事をする中、サイバー攻撃の被害者にならないために、Kaspersky Dailyではさまざまなヒントをお届けしてきました。目を通して参考にしていただければ幸いです。
最後に、セキュリティの基本中の基本をいくつかお伝えしたいと思います。
- 知らない人物から送られてきたリンクはクリックしない。また、メールを送ってきた人が信頼できる相手かどうか不明な場合は、メールに添付されたファイルを開いたりダウンロードしたりしない。
- 仕事には、会社の承認を受けた業務用デバイスとソフトウェアを使用する。使用するデバイスおよびソフトウェアは適切に設定する。
- 会社から支給される業務用デバイスには、信頼できるセキュリティ製品をインストールしてもらう。自分の個人用コンピューターとスマートフォンのセキュリティについては、自分で保護手段を講じる。