テレワークにおけるセキュリティの脅威

テレワークを行う社員が増えているすべての企業にとって、VPNサーバは重要な役割を担っています。でもそれだけで十分でしょうか。

FacebookTwitterLinkedIn
telework-security

「テレワークによって拡張されたネットワークが企業のアタックサーフェス(攻撃対象領域)を拡大している。攻撃の標的は明らかにVPNである。」

企業内のシステムにログインするテレワーカーが増えるにつれて、企業のバーチャルプライベートネットワーク(VPN)サーバは企業におけるITインフラの重要な部分を占めてきています。

VPNを使うことで、テレワーカーは企業のネットワークと安全に通信できます。一般的な会社においては、組織の労働力の10〜20%*がテレワークであるようです。

コロナ禍によって多くの人は、自宅で仕事をせざるを得なくなりました。そのため帯域幅の需要が急激に高まり、ITチームはVPNサーバを増設することでこの状況に対応しています。

しかし、こういったVPN機能の増加に伴い、サイバー攻撃にさらされることも増えました。ネットワークが拡大することによって企業のアタックサーフェスも拡大するため、VPNはハッカーにとって当然、攻撃の対象となります。

現在の状況下で、リモートアクセスの技術を急いで投入しなければならなかった企業もあります。その場合、適切なセキュリティ対策の確認テストが行われなかったり、新たなテレワーカーの認証メカニズムを実装せずに技術を投入してしまうことがあり、サイバー脅威は深刻なものとなります。

さらに悪いことに、家庭環境におけるネットワーク、Wi-Fiルーター、その他Webにアクセスできるデバイスは、企業のネットワークと同等のセキュリティを備えてはいません。テレワーカーの多くは、恐らく初めてVPNを使用するため、VPNクライアントを装った攻撃者にだまされてマルウェアをインストールし、ソーシャルエンジニアリング攻撃の標的にされてしまう可能性があるのです。

ハッカーは常にこの弱点を狙っているのです。たとえば、パッチが適用されていない脆弱なVPNサーバーをターゲットにして、企業ネットワークを襲撃し、専有データを盗み、ランサムウェアをインストールしている間、システム管理者を彼らが所有するサーバーから切り離すというエクスプロイトを起動させることができるのです。

REvil(またはSodinokibi)と呼ばれるランサムウェア・キャンペーンでは、攻撃者はゲートウェイとVPNの脆弱性につけ込んで、企業ネットワークへの侵入方法を見つけ、認証情報を盗み、権限のレベルを上位に引き上げました。その後、ランサムウェアのようなマルウェアペイロードをインストールして、安全性が低下したネットワーク内を行き来できるようにしたのです。

また、VPNサービスを狙った分散型サービス妨害(DDoS)攻撃*による恐喝*という新たな脅威も発生しています。それは、VPNサーバをクラッシュさせ、テレワーカーが切り離されて業務ができないようにすることによって、組織が機能しない状態にすることを目的としています。

コネクティビティの保護

テレワーカーを標的とするサイバー脅威が高まる中で、企業は、増加するトラフィックをサポートできる十分なVPN容量を確実に提供しつつ、データとネットワークを安全に確保できる方法を見つける必要があります。

最初にすべきことは、この状況下で予想される脅威はどんなものかを理解することです。スタッフが自宅で仕事するにあたり、起こりうる攻撃ベクトルを特定し、機密情報と業務上不可欠なアプリケーションの保護を優先することは、適切な制御システムを実装するために重要です。

制御システムの一つとして、VPNアカウントを不正アクセスから保護するために、すべてのVPN接続において多要素認証(MFA)を使用する、という方法があります。

今日、どんなに複雑なものだったとしても、パスワードの使用では、フィッシングやキーロガー、その他ハッカーがシステムのログイン認証を得るために使う手段から、システムを十分に保護することができないでしょう。

MFAは、ユーザーIDを検証するために追加認証レイヤ(携帯電話に送信されるワンタイムパスワードやセキュリティトークンなど)を提供することによりこの攻撃に対応しています。この方法により、攻撃者がたとえ有効なログイン認証を持っていてもアカウントにアクセスすることを防ぐことができるのです。

マイクロソフトによると、オンラインアカウントでMFAを有効にすると、すべてのアカウント乗っ取り攻撃のうち、通常99.9%をブロックすることができるようになるとのことです。*4

他の重要なセキュリティ対策は、確実にシステムパッチを最新のものにしておく、という普遍的なルールに従うことです。昨年、パロアルトネットワークス社、フォーティネット社、パルスセキュア社、シトリックス社などの企業が広く使用しているVPN製品に多数の脆弱性*5 が報告されたときにはすでに、企業におけるVPNのセキュリティに対する懸念材料はふくらんでいました。パッチはすぐに発行されましたが、実装されたかどうかは誰にもわかりません。

今日、リモートアクセスを展開する企業が増えるにつれて被害対象は拡大しており、パッチが適用されないままになっているVPNデバイスは攻撃者の格好の標的となっています。UK National Cyber​​ Security Center(NCSC)とUS Cyber security and Infrastructure Agency(CISA)による共同声明*6 では、ハッカーが、リモートワークを余儀なくされているテレワーカーを標的にしようと、脆弱性のあるVPNをスキャンしていると警告しています。そのため、企業のITスタッフは、自社が使っているVPN製品が適切に修正されているかどうか見直すことが不可欠です。

DDoS攻撃を防ぐために企業が取るべき予防策には、VPNのトラフィックレベルをアクティブモニタリングして、異常に高くなっていないかを検知すること、オペレーティングシステムやセキュリティプログラム、およびその他重要なソフトウェアが最新のパッチで更新されているかどうかを確認することが含まれます。これにより、攻撃者が組織のシステムを乗っ取り、さらなるDDoS攻撃を仕掛けることはなくなるでしょう。

しかしVPNだけが攻撃者にとって唯一のターゲットではありません。 セキュリティの専門家は、テレワーカーによる安全でないリモートデスクトッププロトコル(RDP)接続の利用が増えていることについても警告を発しています。

RDPとは、ユーザーがネットワーク接続を介して別のコンピューターに接続できるようにするMicrosoftプロトコルのことを言います。ハッカーは、保護されていないRDP接続を悪用して管理者権限にアクセスし、マルウェアを自由自在にインストールすることができます。したがって、VPNと同様、RDPエンドポイント及びアカウントは、適切に保護されなければなりません。

VPNにアクセスしようとしているデバイスが、企業のセキュリティポリシーを満たしているかどうかを確認するには、エンドポイント・セキュリティ・ソリューションが役立ちます。これらのソリューションが適切に構成されていれば、パッチが適用されていないオペレーティングシステムや古いウイルススキャンソフトウェア、構成エラーがあったりファイアウォールがない、その他セキュリティ上の欠陥があるデバイスへのリモートアクセスを拒否することができます。

エンドポイントにおける最も脆弱な部分(つまりユーザーである人間のことですが)に目を向けると、英国のNCSCは、スタッフが使う新しいソフトウェアや、別の用途で使われる既存のアプリケーションについては、手順書とハウツーガイドを作成することを推奨しています。*7 それには、「オンライン用のコラボレーションツールにログインして使用する方法」といったごく基本的な情報も含まれます。この情報は、ZoomなどのWeb会議ソフトウェアの使用に関して報告されたセキュリティ違反を考慮すれば、非常に重要だと言えます。

他にもテレワーカーのセキュリティ強化策について提案できることがあります。それは、デバイスを紛失したり盗まれたりしてもデータを保護できるよう、デバイスの設置時にデータを暗号化するよう設定しておくことです。デバイスが標準構成に適うことを確認するためモバイルデバイス管理ツールもデプロイすることができます。それにより、遠隔操作でデバイスをロックしたり、データを消去したり、バックアップを取得したりことが可能になります。

これらの推奨事項を守っていればすべての脅威を避けられるというわけではありません。それでも、テレワーカーが自宅で安全を確保しながらシステムに接続できるよう企業が実行できること、また実行しなければならない事項であると言えます。

シングテルは、企業の安全を守ります。テレワーク環境におけるセキュリティに関するご相談はこちらからお願いします。

シングテルでは、世界クラスのサイバーセキュリティでお客様のビジネスを守ることが可能です。シングテルのサイバーセキュリティ部門であるTrustwave(トラストウェーブ)社アナリストとエンジニアが最先端のサイバーセキュリティを専門的に支援します。

関連記事

サイバーセキュリティで AI から企業機密を保護するShare
Apr 2025 | -
サイバーセキュリティ
サイバーセキュリティで AI から企業機密を保護する
このブログでは、AI を悪用した不正侵入から企業資産を守るために、Singtel が提供するサイバーセキュリティソリューションをご紹介します。さらに、プライベートな会話を高度に暗号化することで、いかに従業員の機密性を確保するかについても取り上げます。
従来の防御の先へ:サイバーセキュリティの再考Share
Dec 2024 | -
サイバーセキュリティ
従来の防御の先へ:サイバーセキュリティの再考
企業がデジタルトランスフォーメーション (DX) を加速させるにつれ、サイバー攻撃の巧妙さも増しています。このような脅威と戦うために、企業は先進的なサイバーセキュリティのイノベーションを模索する必要があります。ここでは、通信事業者のデータがそれにどのように役立つかをご紹介します。
MSS とサイバー攻撃からの復旧Share
Oct 2024 | -
サイバーセキュリティ, Japanese, Japan
MSS とサイバー攻撃からの復旧
ソフトウェアのエラーにより発生した大規模な IT 障害の結果として、グローバル企業の脆弱性が露呈しています。では、サイバー攻撃により同様なインシデントが発生した場合、企業は何をすべきでしょうか?最初にすべきなのは、問題の存在を認識することです。以下に、マネージドセキュリティサービス (MSS) がどのように役立つかをご紹介します。