「ニュー・ノーマル」: 企業が在宅勤務の従業員を緊急に保護する必要がある理由

2020.04.27

トピック: コロナウィルス（COVID-19）、データ保護、ネットワークおよびアプリケーションセキュリティ、リモートワーク

2020年4月17日、Phil Muncaster

新型コロナウィルス（COVID-19）の感染拡大は、青天のへきれきのように、突然生じましたが、その影響は、今後何年にも渡って影響を与え続ける可能性があります。このパンデミックは、経済の破滅に関する警告ではなく、コロナウィルスによって人々の働き方が永続的に変化する可能性があるという事実の認識です。企業にとっては、このパンデミックは、よい機会です。全般的に、リモートワーカーの幸福度と生産性は向上しており、転職の傾向は低下しています。しかし、適切なセキュリティプランを導入していない企業にとっては、このパンデミックは、問題になります。

在宅勤務の従業員に対する攻撃の増加からは、企業が直面している脅威が一挙に明らかになっています。このような脅威に対処するには、新しいテクノロジ、プロセス、およびポリシーを常識的に組み合わせる必要があります。

最悪の状況

電子メールは何十年もの間、サイバー犯罪者にとって最大の脅威ベクタであり、それは、今日でも変わりありません。しかし、現在の危機は、攻撃者が悪用するいくつかの新しい要因をもたらしました。多くの企業では、リモートワーカーが、急増しており、全従業員の10～95%になっています。このため、通常の企業のデスクトップ PCほど保護されていない可能性があるエンドポイントが攻撃を受ける状況が生じています。通常と異なり、従業員は、自宅で注意散漫になっている可能性があるため、リンクをクリックするか、添付ファイルを開く傾向があります。

IT部門の従業員も注意散漫になっている可能性があります。企業が「ニュー・ノーマル」に急速に適応しようとしているため、IT部門の従業員は、大規模な在宅勤務と他の社内プロジェクトをサポートする必要によって、限界に達しています。セキュリティ部門の従業員がコロナウィルスによって病欠せざるを得ない場合、このような問題ははるかに大きくなる可能性があります。

主要な攻撃方法

共同のアドバイザリによって、英国NCSC（National Cyber Security Centre）と米国CISA（Cybersecurity and Infrastructure Security Agency）はAPT（持続的標的型攻撃）の攻撃者と金銭が動機の攻撃者の両方が導入している主要な攻撃方法を指摘しています。主要な攻撃方法は下記のとおりです。

コロナウィルスを悪用するフィッシング。このようなフィッシングは、認証情報を盗み出すか、マルウェアを拡散するように設計されている可能性があります。
コロナウィルスに関する言及と表現を含む新規に登録されたドメイン。このようなドメインはフィッシングメールと組み合わせて使用されています。
リモートアクセス/リモートワークのインフラストラクチャに対する攻撃。

このような攻撃はバラクーダが確認しているものと一致しています。たとえば、バラクーダのフィルタはコロナウィルス関連のスピアフィッシングが1～3月末に667%増加していることを検出しています。その内訳からは、悪用されている攻撃方法の範囲がわかります。54%は詐欺、34%はブランドインパーソネーション、11%は脅迫メール、1%は BEC（ビジネスメール詐欺）です。

ビデオ会議とVPN（仮想プライベートネットワーク）インフラストラクチャは特にリスクを受けており、攻撃者は見落とされた脆弱性とセキュアではないデフォルトのユーザ設定を悪用しようとしています。NCSCは、コラボレーションアプリケーションの認証情報を盗み出し、VPN製品の脆弱性に悪用しようとするフィッシングメール/フィッシングサイトを確認しています。最近、マイクロソフトはゲートウェイとVPNアプライアンスがこのようなランサムウェアによって攻撃を受けていることを数十の病院に警告せざるを得ませんでした。

繰り返し悪用されている攻撃方法

幸いにも、ITセキュリティリーダーは上記のような攻撃方法の多くをよく知っています。ソーシャルエンジニアリングメールとフィッシングメール、脆弱性の悪用、および BECは、いずれも、繰り返し悪用されている攻撃方法であるため、このような攻撃を軽減するためのベストプラクティスがあります。また、ニュースの見出しは扇情的ですが、調査会社によると、実際は、サイバー犯罪が全体的に高度化しているわけではありません。世界中の人々が、ワクチン、マスク、および公式通知を必死に探しており、攻撃者は、現在のパンデミックへのこのような関心を悪用するために、既存のリソースと攻撃を転用しているだけです。

とはいえ、ITセキュリティ管理者にとっては、問題を複雑化する可能性がある他の要因が生じています。ほとんどの企業には、政府によるロックダウンと在宅勤務要請が実施される前に、自社のノート PCまたはデバイスをすべての従業員に提供できるほどの時間、金銭、および先見性はありません。このため、可視性とセキュリティに関する重大な問題が生じます。つまり、十分に管理および保護されていない可能性があるエンドポイントが急増するということです。シャドーIT、つまり未承認のアプリケーションとデバイスが使用されている状況は、限界を超えています。企業の ITリーダーはシャドー ITのポリシーをどうするかを迅速に考え出す必要があります。

もう一つの問題は VPNの使用に関するものと思われます。多くの企業にとっては、VPNはリモートワーカーが自社のネットワークにセキュアに接続するためのベストプラクティスです。しかし、従業員全員が、散発的ではなく、一日中、接続しようとすると、どうなるでしょうか。重要なパッチをエンドポイントに適用できなくなるほど、VPNサービス自体に負荷がかかりすぎる可能性があります。このため、最終的には、企業が、VPNに代わるサービスを見つけようとするプレッシャーを受け、Office 365などのクラウドサービスの使用を推進し、MFA（多要素認証）と「絶対に信頼せず、常に確認する」というポリシーを重視するゼロトラストアプローチを使用する可能性があります。