あの人のスマートワークが知りたい! - 第23回

在宅勤務とテレビ会議で生まれる「謎マナー」は労働効率化の敵です



三上洋さん「在宅勤務ではクラウドサービスのアカウントが狙われる」

文/編集部


三上洋
ITジャーナリスト・ライター。東京都世田谷区出身、1965年生まれ。都立戸山高校、東洋大学社会学部卒業。テレビ番組制作会社を経て、1995年からフリーライター・ITジャーナリストとして活動。専門ジャンルは、セキュリティ、ネット事件、スマートフォン、Ustreamなどのネット動画、携帯料金・クレジットカードポイント。毎週月曜よる9時に、ライブメディア情報番組「UstToday」制作・配信。Ustream配信請負、ネット動画での企業活用のお手伝いも。

在宅勤務者はOffice 365のアカウントを大事に守るべし!

―― 感染者の再拡大に伴い、テレワーク需要が再燃しています。在宅勤務に伴うセキュリティトラブルについてあらためてお聞かせください。

三上 いま、在宅勤務でありがちなのはメールによる標的型攻撃です。

 では何が標的として狙われているのかと言えば、Office 365のアカウント。2018年頃から起きていることですが、大学機関が特に狙われています。あまり報道はされていませんが、当然企業を狙った攻撃も少なくありません。

 Office 365のアカウントが狙われる理由は、保存されているファイルやメールを盗み取るため。それからメールのアカウントを使って偽メールを送ることができるから、ということが挙げられます。

―― Office 365の乗っ取りにはどのような手口が多いのでしょうか?

三上 まず最初にフィッシングメールを社員に送ります。具体的には、「メールが届きませんでした」などの偽のエラーメールを送り、「ここからログインしてやり直してください」という形で偽サイトへ誘導してIDとパスワードを盗み取るというパターンです。

 また、信頼感を増すために企業ロゴ入りの偽メールが送られてくることもあります。「ここからログインしてください」とか、「コロナ対策のためにこちらの安全なサイトにOffice 365のアカウントで入ってください」などと偽サイトに誘導し、盗むのです。

 Office 365のアカウントを盗んだ攻撃者は、そのID・パスワードでログインして、あらかじめ作っておいたOffice 365のふりをするフィッシングサイトに誘導するスパムメールを送るという行動に出ます。実在する人物のメールアドレスから送られてきますから、その会社の従業員や得意先は油断するでしょう。結果、添付されているファイルを開いたり、本文中のURLをクリックしてしまうわけです。

Google Docsへの依存もほどほどに

三上 こうしたアカウント奪取はOffice 365に限りません。クラウドサービス全般が狙われていると考えてよいでしょう。

 たとえば、簡便な資料の受渡方法は在宅勤務に必須ですが、きちんとVPNを使ってやり取りしているのかどうか。メール添付で送って大丈夫なのかというところは重要です。SlackやTeamsなどグループウェア、ビジネスチャット経由できちんと共有しているならよいのですが……。

 こうした状況で注意したいのがGoogle Docsに依存してしまうことです。限定URLを使っての共有作業は、URLさえ知ってれば誰でもアクセスできることもあり、ついつい多用してしまいがちですが、逆に言えばURLがバレてしまうと第三者に侵入されてしまいます。

 また、Google Docsで作業すると、そのファイルはそのままGoogle Docsに保存されます。なので、もしGoogleアカウントを乗っ取られてしまったらとても危ないことになります。そう考えると、Google Docsのような、誰でも使えるクラウドを利用することについてはきちんと考えたほうがいいと思います。クラウドサービスのID・パスワードは警戒しましょう。

自宅のWi-Fiルーターをアップデートした経験、ありますか?

三上 それから、在宅勤務という点でいうと、家庭内LANにつながっている古いパソコンも危険です。リビングや食卓で置きっぱなしになっている家族共用パソコンには特に注意してください。遠隔操作で同じネットワーク内にあるパソコンを攻撃される恐れがでますから、自分が仕事で使うパソコンだけでなく、家庭内LANに接続されている機器全般の定期的なアップデートは必須です。

 また、自宅のWi-Fiルーターのファームウェアが最新版になっているかも確かめていただきたいですね。こちらも必ずアップデートしてください。

―― たしかにWi-Fiルーターのアップデートは失念しやすいですし、仮に言われても面倒くさがって後回しにしがちですね。

三上 じつは、テレワーク関連のセキュリティトラブルは(春の段階では)あまり――少なくとも報道ベースでは――なかったんです。

 あえて挙げるなら、学習支援システム(LMS)の「Classi(クラッシー)」です。公式サイトによれば、いまや高校・中高一貫校の2校に1校が導入していると謳っています。これが4月に不正アクセスを受けて、およそ122万のIDが流出したとみられています。実際、7月30日には外部に漏洩していることを確認いたしましたとの声明が出されています。

 Classiの需要がオンライン授業の関係で跳ね上がっている一斉臨時休校中に不正アクセスが起こってしまった結果、混乱が大きくなりました。さらにゴールデンウィーク明けにはアクセスが集中してClassiがダウン。オンライン授業の決め手になるはずのシステムが利用できないという状態が一時発生しました。

―― この事件は在宅勤務と直接の関係はありませんが、遠隔作業を支援するシステムが不正アクセスないし利用できない場合の混乱を推し量るには十分な出来事でしたね。

三上 そしてこちらもリモートワークとは直接関係ありませんが、都市封鎖中の心の拠り所として「あつまれ どうぶつの森」が世界的に人気となったタイミングで、ニンテンドーネットワークIDへの不正アクセスが起きています。これは明らかに人気コンテンツへの便乗犯でしょう。

ClassiのID流出は、リモート作業が生命線の在宅勤務者も他人事ではない

在宅勤務者を襲う標的型メール攻撃

―― 在宅勤務を狙った大規模な攻撃は限定的だった、ということですね。

三上 とはいえ、JPCERTコーディネーションセンターのまとめによると、不正アクセスの攻撃は2020年3月から急増しているそうです。これは新型コロナによって在宅勤務が増えたことが攻撃増につながっていると考えられます。前述のWi-Fiルーターの例を挙げるまでもなく「在宅=セキュリティの甘い自宅で仕事をしている」と言えますから、広く一般家庭を狙った攻撃が増えているのではないかという推測が成り立ちますね。

 オフィスで使う分にはファイアーウォールがあって、出口対策・入口対策があって、メールに対するセキュリティも動いているわけですが、在宅勤務の環境、特にBYODの場合はそこまで求めることはできません。ですから必ずセキュリティ対策製品を導入して、不明なログがないか随時チェック&報告をしていただきたいと思います。

 JPCERTの4月発表データによりますと、緊急事態宣言前の3月時点でインシデント件数は増加しています。増加件数は前年比のおよそ倍です。毎年3月、4月は増える傾向にありますが、例年と比較して大幅に増加しています。しかしJPCERTはこれを新型コロナの影響とは言ってません。……言ってませんが、これだけ増えているとやはり影響はあるだろうと思います。

 なおいわゆる「新型コロナの影響」には2種類あると考えられます。1つは先ほど申し上げた、在宅勤務のセキュリティが甘くなっているところを狙う。もう1つは、オフィスに人がいないのでインシデント対応が遅れることを見越した攻撃です。その2つの要素が、攻撃の増加を招いている可能性はあるかなと。具体的な手口としては、やはり標的型メール攻撃ですね。メールに不正な添付ファイルをつけて、それを狙うものがあります。あとはパスワード設定のない社内会議に侵入されて、会議内容や社員IDが盗まれるといったこともあったようです。

 そして標的型メール攻撃と言えば、2019年秋から続いているEMOTET(エモテット)と呼ばれるウイルスを使った方法があります。これは「やり取り型」というかなり巧妙な攻撃メールで、パソコンを乗っ取った後、メールのやり取りを監視し、人間関係を把握してからなりすましメールを送ります。自分に届いたメールに、EMOTETが元メールの引用付きでメールを返すといった巧妙な攻撃をするのです。実は2月末時点でEMOTETは日本の保健所を騙り、新型コロナ対策をうたったメールを送信しています。新型コロナに関するメールと言えば個人向けの詐欺メールを想像する人が多いでしょうが、EMOTETのような企業向けの攻撃でも使われているのです。

 また、ちょっと話はズレますが、「在宅勤務と言われても自宅では仕事ができないよ」という人は意外と多いのです。狭くて物理的に仕事ができない、子どもが大騒ぎしているなどの理由が多いですね。「だからカフェで仕事をしています!」という人が少なくありません。緊急事態宣言中も開いている店舗はありましたからね。しかし、それが周知されてしまうと、SSIDを同一にした罠Wi-Fiが仕掛けられて業務情報が漏れる……といったことも考えられますので、カフェのフリーWi-Fiに頼ることは危険です。自前のモバイルルーターを使いましょう。

 そして最後に、ぜひチェックして欲しいのが、警視庁の「テレワーク勤務のサイバーセキュリティ対策!」。OS、パソコンの利用方法、メール、不特定多数を狙った攻撃、データ暗号化、通信経路、パスワード、Wi-Fiルーター、Wi-Fiスポットなど、考えられるトラブルと対策が事例と共に紹介されており、正直「これを読めばOK!」と言える出来です。

警視庁「テレワーク勤務のサイバーセキュリティ対策!」。在宅勤務者は必読の内容。

未だ高値安定のWebカメラ。代替機器は?

―― 何度かテレビ会議をこなすと皆悩むのがカメラとマイクです。ノートPCの内蔵カメラは角度的にイマイチですし、内蔵マイクも周囲の環境音が入り込んでしまいます。とはいえ、Webカメラは入荷した途端に売れてしまうようで、中古も高値安定です。うまい代替案はありませんか?

三上 Webカメラの代わりになるスマホアプリはいくつかあります。一番有名なのはiVCam、次にDroidCamでしょうか。テレビ会議でスマホのカメラが使えるようになるのでオススメです。また、USBキャプチャ機器を介して、ご家庭にあるビデオカメラとPCをつなげば、Webカメラよりも圧倒的に高画質でテレビ会議に参加できます。

 なお、テレビ会議はZoomを使うことも多いのですが、まずやるべきことがあります。それは主催者側の設定です。パスワードはマストですし、URLを限定した人だけが見られる場所に書くことも重要です。参加する人だけにSlackで個別に送るとか、そのくらい限られた手段で渡してください。それから待機室を有効にして、待機室で招待したメンバーのみが揃ったことを確認してから入室させるという手順を踏みましょう。あとはロックですね。人数が揃った時点でロックしてしまえば、それ以上入り込めなくなります。上記の設定をすべてこなすことで、いわゆるZoom Bombingなど知らない人に侵入されて起こる被害を防げます。

 そしてワンポイントアドバイスとして……背景を暗くしてみましょう。顔が明るく映りやすくなるので、美白効果が発生します。ですから今日の私のように、背後の窓から光があふれている状態は……避けましょう(笑)。

報道番組などへのリモート出演も多い三上さん。テレワーク用の部屋にスイッチャーやリングライトまで常備しており、テレビ会議のシステムも本格的。ただし、今回はご多忙の合間を縫って急きょテレビ会議を実施したため、だいぶラフな画像をキャプチャすることになってしまいました。申し訳ございません! でも謎マナーに真っ向から反対する意思表明に見えないことも……ない!?

在宅勤務の効率を上げたいなら、無駄な謎マナーを増やさないこと

―― テレビ会議を中心に、在宅勤務における余計なマナー、気遣いといったものが生まれているようですが、それらについてどのようにお考えですか?

三上 「上長がログアウトするまではログアウトしないよう待ちましょう」に代表される「謎マナー」がたくさん生まれています。こういった謎マナーはほんとに無意味です。なぜかというと、私たちがなぜリモートワーク、テレワークをするかと言えば、効率化を目指しているからです。よりビジネスのチャンスを広げるために、短い時間で作業を終わらせようと。ここに謎マナーが入ると、コストが上がってしまいます。

 特にテレビ会議というのは、みんなの仕事を無理矢理中断させて行う作業なので、最も人的コストがかかります。その場で時間を無駄にすることは許されません。謎マナーは「気持ちが悪いから」という理由で反対されているのではありません。「無駄な出費になっているから」反対されているのだということを、ぜひ理解してもらいたいと思います。着る物は別にTシャツでもいいし、挨拶もどうでもよいのです。そこを上長が率先して徹底しないと改まりません。

 今回、新型コロナウイルスの感染拡大防止という社会的なプレッシャーによって、多くの企業が在宅勤務を嫌でも始めざるを得ませんでした。これは、ある意味ですごくよい機会です。こんな機会でもない限り、社会って変わらないんです。

 これまで「判子です、FAXです、朝晩に部内会議をやります」というアナログなビジネススキーム、ビジネススタイルにずっと慣れていましたし、日本の社会全体がそうした形でずっとやってきたわけです。そこにITを入れなさい、デジタルトランスフォーメーションをしなさいと言われても、すぐにはできません。そこは理解してあげましょう。でも、今回の有事は全部ひっくり返して再構築をするチャンスなのです。テレワークは高効率でコストを抑えられますし、その空いた時間とお金で新しいビジネスを生むことができるんです。このタイミングこそ会社と社員が一緒に変わるときです。

 ただ、変化するタイミングでセキュリティが一歩下がってしまう気もするので、そこはちょっと不安はありますけどね。

在宅勤務中の息抜きは……ともかく寝ろ!?

―― 在宅勤務が続いて外出もままならないと、ストレスが馬鹿になりません。長年、テレワークで仕事をこなしている三上さんの対策・経験を教えてください。

三上 まず休憩時間に身体を動かすのが有効です。YouTubeやInstagramでは、ヨガ動画が流行っています。それを見ながら自分でも身体を動かしてみるのはいかがでしょう。また、コーヒーを飲むにしても、インスタントコーヒーにお湯を注ぐのではなく、きちんと豆を挽くところから始めると、それだけで気分転換になります。

 そして、在宅勤務が続くと忘れがちですが「着替える」ことは重要です。すでに何十年とリモートワーカーをやってる私にとっては当たり前のことなんですが、ラフな格好で起き抜けで仕事を始めると必ずダレてしまいます。あと、どんなに狭くても部屋を分離する。趣味のゲームをやる場所と仕事をする場所は別にしましょう。この切り替えも大事です。

 最後に。せっかくの在宅勤務ですから、積極的に仮眠を取りましょう。午後になって眠くなったら寝てしまえばいいんです。15分も寝れば頭がすっきりします。せっかくのテレワークの利点を活かして、仮眠を取って仕事、仮眠取って仕事……というやり方でかまわないと思います。