コラム

新型コロナウイルスで急増する「リモートワーク」に潜むセキュリティの落とし穴&過去に本当にあったサイバーセキュリティ事件簿

新型コロナウイルスで急増する「リモートワーク」に潜むセキュリティの落とし穴&過去に本当にあったサイバーセキュリティ事件簿

セキュリティの落とし穴
株式会社グレスアベイル 取締役CTO 根岸 寛徳

日本国内でも感染拡大を続けている新型コロナウイルス。2020年4月7日には拡大を止めるべく、安倍首相が東京都など7都府県に対して、5月6日まで外出自粛要請などを含む「緊急事態宣言」を発出しました。

東京都は以前から小池都知事が外出自粛要請を出していたこともあり、多くの企業がリモートワークを導入するケースが増えていましたが、緊急事態宣言が出たことで、リモートワークはより一層増加していくことが予測されます。

現在はインターネットやさまざまなテクノロジーの発展に伴い、自宅で容易に仕事をできるようになっているため、リモートワークのハードルは低くなっています。ただ、「容易にできる」からと言って、「セキュリティ面が万全で不安がない」とは限りません。

そこで今回は、グレスアベイルCTOの根岸寛徳さんと、セキュリティスペシャリストの田代直樹さんに、リモートワークを行ううえで注意する点と、過去に起きたセキュリティ事件についてうかがいました。

新型コロナウイルスの拡大により多くの企業がリモートワークを導入しています。

根岸:
リモートワーク自体は以前から少しずつ増えていました。経済産業省が2018年9月に「企業のDX※が実現できない場合、2025年以降に年間最大12兆円の経済損失が生じる可能性がある」という内容の「2025年の崖」問題を提起したことに伴い、企業がDXの一環として、リモートワークを少しずつ導入するようになっていきました。

徐々に増えていたリモートワークですが、今回、突如巻き起こった新型コロナウイルスの感染拡大を受けて、多くの企業がリモートワークの「準備が完了していない」、または「準備が進んでいない」状況で導入せざるをえなくなっています。

現在は誰でも自宅にパソコンがあり、ネット環境が整っているため、リモートワーク自体を行うことは可能です。でも、だからと言って、それが万全のセキュリティ状態で行われているかというと、それは全く別問題です。

リモートワークには実際にどのような問題があるのでしょうか?

根岸:
たとえば、多くの人がよく使っているビデオ会議アプリの「Zoom」があります。これはパソコンやスマートフォンを使って、簡単に複数人でビデオコミュニケーションを行うことができるため、人気を集めています。

ただ、注意したいのは、先日、内閣サイバーセキュリティセンター(NISC)などが「セキュリティ面で脆弱性がある」として注意喚起を行いました。リモートワークの増加に伴って、昨年12月には1日最大利用者数、約1,000万人から3月には2億人まで利用者が増加したと言われております。

それに伴い、Zoomを使って機密性の高い内容を含む打ち合わせなども増加していると考えられ、攻撃者の標的になる可能性が高くなります。情報漏洩を防ぐためには、サービスを使用する前にセキュリティ関連情報や事業者の対応状況等に注意し、必要があれば、アップデートを行うなど必要に応じて臨機応変に対応することが重要です。

グレスアベイルも現在は在宅でのリモートワークが推奨されているそうですが、セキュリティカンパニーである御社はどのような点に気を付けているのでしょうか?

根岸:
弊社の場合は、自宅で作業する際もオフィスと同じセキュリティ環境下に置かれるようにしています。具体的には、自宅のネット環境をVPNゲートウェイで暗号化した通信で結び、その環境下で業務を行なっております。

弊社はセキュリティカンパニーのため、以前からセキュリティ面を意識してリモートワークの準備を進めていましたが、今回のコロナ騒動により、急遽リモートワークに入った企業は「自分個人のパソコンで作業をしている」「セキュリティの整ってないネット環境にある」など、問題点が多々あると思います。

リモートワークにおけるセキュリティ環境は専門家なしでは簡単に構築することは難しいため、緊急性を感じている場合はリモートワークの製品を提供している企業などに問い合わせをしてみることをおすすめします。

先ほど「セキュリティの脆弱性」の話が出ましたが、過去に実際にあったサイバーセキュリティ事件を教えてください。

根岸:
私が前職のSIerで働いていた2015年頃の話です。クライアントである日本の大手通信系企業が大規模のDDoS攻撃を受けたことがありました。DDoS攻撃とは複数のコンピュータから対象のウェブサイトやサーバに対して過剰なアクセスやデータを送付することで大きな負荷をかけ、アクセス遅延やサービス停止を起こすことを指します。

そのDDoS攻撃の1つに「DNS水責め攻撃」というものがあります。これは「ランダムサブドメイン攻撃」とも呼ばれるもので、実在しないサブドメインを含むドメイン名の名前解決要求をDNSサーバに大量に送信されることでキャッシュDNSサーバや権威DNSサーバに高負荷がかかり、サービスが停止してしまいます。

たとえば、弊社のWebサイトは「https://www.gresavail.com/」ですが、サブドメイン部分の「www」を実際には存在しない「www1」「wwwa」などランダムに作成して、大量に送りこんでくるというものです。

その問題はどのように解決したのでしょうか? また、犯人の目的は何だったのでしょうか?

根岸:
「DNS水責め攻撃」は実在しないランダムなサブドメインを大量に送られることで起きる問題なので、サブドメイン部分がランダムであるかどうかを識別するプログラムを提案しました。それによって問題を解決することができました。

攻撃者については結局わかりませんでした。通信元のIPアドレスも偽装されていたため、犯人を突き止めるのは非常に難しいところがあります。そのため攻撃の目的もわかりませんでした。単純にハッキングの技術力を示したかったのか、サーバを止めて何かをしたかったのか……。

他にはどのような事件がありましたか?

根岸:
これも前職時代で2017年頃の事件です。あるクライアントの検証環境が何者かに乗っ取られてしまい、勝手に外部に攻撃をしている状態になっていたことがあります。調べてみると、OSを乗っ取られて、カーネルが変更されていることがわかりました。

攻撃手法は色々とありますが、代表的な例として「OSコマンドインジェクション」という攻撃があります。具体的にはWebサイトの入力フォームなどを使って、攻撃者が不正にOSコマンドを実行し、サーバの設定を変更して、OSをリモートでログインできるように変更するなどです。これにより、OSを乗っ取り、サーバを踏み台として、外部に攻撃を行うことなどが可能です。

その問題はどのように解決したのでしょうか? また、犯人の目的は何だったのでしょうか?

根岸:
まずは外部への攻撃を止めるため、サーバを止めることを提案しました。サーバをネットワークから切り離したところに置き、プログラムなどの詳細調査を実施して、どういう攻撃が起きていたかを調査することができました。

田代:
この攻撃は悪意のあるソフトウェアやリモートコマンドを実行して、企業の機密情報だったり、顧客の個人情報を奪うことが目的であるケースが多いですね。さらに、パソコンを暗号化して、「お金をくれたらその暗号を解除する」と金銭を要求してくるケースもあります。

対策としては、リモートでパソコンにアクセスできるようになるMicrosoftのRemote Desktop Protocol(RDP)というプロトコルがありますが、脆弱性が指摘されているため、最近は利用しない流れになってきています。他にも、修正プログラムのインストールや最新バージョンにアップデートするという対策もありますが、攻撃側と防御側のいたちごっこの部分もあって、難しいですね。

ありがとうございます。最近のサイバーセキュリティ事件についてうかがいましたが、大きな時代の流れで見ると、サイバー攻撃にはどのような変化がありますか?

根岸:
10年単位で考えてみると、20年前はいたずら目的が多かったと思います。たとえば、F5ボタンを連打することでWebサイトが止まったなどが挙げられると思います。
しかし、10年前からは金銭を目的としたサイバー事件が増えて、フィッシングサイトをつくって入金させたり、DDoS攻撃を仕掛けてサーバを止めて金銭を要求したりするケースが目立つようになりました。

2020年現在はさらに深刻化していて、国家や社会インフラを担う企業を狙った攻撃が増えてきています。昨年末には日本の防衛関連施設を狙った攻撃も報告されています。攻撃も高度化していて、利用者のシステムを暗号化して、利用不可にして、解除するために身代金(ランサム)を要求するランサムウェアをつくったり、IoT機器を乗っ取ってBOT攻撃を仕掛けたりと、さまざまな攻撃が出てきています。

これから先については、新型コロナウイルスの影響により1年延期されましたが、日本では2021年に東京オリンピックを控えています。過去のロンドン、リオデジャネイロオリンピックのケースを見ても、オリンピック開催国はサイバー攻撃の対象になるもので、攻撃の数も年々増加傾向にあります。そのため、より一層、セキュリティの重要度が増していると言えると思います。

取締役 CTO 根岸寛徳
プロフィール メーカー系システムインテグレータにて計7 年間のシステム研究・開発・構築経験を有する。特に大手通信事業者向けプロジェクトにおいて、ミッションクリティカルかつ大規模システムに関する要件定義、設計、開発、運用まで一気通貫して技術リードを行い、成功裡に収めた実績を持つ。 2016 年初頭より当社製品開発に関わり、その後、 2017 年 5 月より当社正式参画。当社製品の開発・実装および顧客への導入サポート等を担当。

関連記事

まだ関連記事はありません。

トップページへ戻る

販売代理店様向け
(お試し版)Web/ネットワーク診断サービス
初回無償キャンペーン!!

販売代理店様よりご紹介のお客様向けに、
グレスアベイルが、お試し版Web/NW診断サービスを初回無償にてご提供いたします。

詳しくはこちら

当社のサービス、サポート、採用に関するお問い合わせやその他のお問い合わはこちらから承ります。
ご希望に添えるよう柔軟にご提案・対応しておりますのでお気軽にこちらよりお問い合わせください。

Contact us