2021年のセキュリティ脅威予測をもとに
テレワークで推奨される対策を提案しよう

トレンドマイクロとマカフィーが2021年のセキュリティ脅威予測を発表している。コロナ禍の中、サイバー攻撃のリスクはオフィスだけではなく、テレワークやクラウド環境へと拡大した。すでに2020年にはテレワークの普及に乗じたサイバー攻撃も増加している。その傾向は2021年も続き、さらなる脅威への警戒が求められている。

自宅のテレワーク環境が危ない

 トレンドマイクロが発表している「2021年セキュリティ脅威予測」では、三つの大きなトピックが取り上げられている。まず第一は、「自宅のテレワーク環境がサイバー攻撃の弱点に」。具体的には、サイバー攻撃者が脆弱なホームネットワークを利用する従業員の自宅PCを乗っ取って、組織ネットワークへ侵入する脅威を指摘している。企業で運用しているファイアウォールや各種のネットワークセキュリティに比べて、家庭のルーターは、高度なサイバー攻撃を防ぎきれるだけの性能は備えていない。トレンドマイクロでは、侵入済みのルーターへのアクセス権がアンダーグラウンド市場で販売されているとも警鐘を鳴らす。

 VPNの脆弱性を狙うサイバー攻撃にも注意が必要だ。多くのVPNはIDとパスワードだけでアクセスポイントに接続しているので、デバイス認証などのセキュリティ対策を施していない企業では、容易に侵入されてしまうリスクがあるのだ。VPNの脆弱性情報を売買するアンダーグラウンド市場も存在するという。

 二つ目のトピックは「新型コロナウイルスに便乗した脅威の継続と医療機関を狙ったサイバー攻撃の深刻化」だ。2020年には、新型コロナウイルスの感染状況やワクチン関連の情報を偽装した不正なサイトやメールが確認されている。日本国内では、マスク不足に便乗した偽の通販サイトや給付金の申請サイトなども確認された。トレンドマイクロでは、新型コロナウイルスに便乗したサイバー犯罪の継続を懸念している。

 三つ目のトピックは「修正プログラム適用までの空白期間を狙う『Nデイ脆弱性』の悪用が横行」。Nデイ脆弱性とは、ベンダーによって修正プログラムが提供されている既知の脆弱性を指す。サイバー攻撃者は、既知の脆弱性に対する修正プログラムが適用されるまでの空白期間を狙って攻撃を仕掛けてくる。Nデイ脆弱性は、該当するソフトウェアやシステム開発企業から開示文書などが公開されているため、サイバー攻撃者にとって、悪用できる脆弱性の特定が容易になる。セキュリティ意識の低いユーザーや企業は、最新のパッチを適用していない傾向が高い。そうした意識の低さが狙われて、既知の脆弱性が攻撃の対象となる。テレワークの加速は、より多くのNデイ脆弱性が市中に拡大することになり、サイバー攻撃者の格好の標的となってしまう。

クラウドのリスクにも注意

マカフィーは2021年の脅威予測として、以下の六つの項目を挙げている。

・増殖するサプライチェーンバックドア技術
・家をハッキングしてオフィスをハッキング
・クラウドプラットフォームへの攻撃が高度に進化
・新たなモバイル決済詐欺
・Qshing:ウィズコロナ時代のQRコードの乱用
・攻撃経路として悪用されるソーシャルネットワーク

 注目すべき予測は、クラウドプラットフォームへの攻撃の進化だ。マカフィーが世界中の3,000万人を超えるユーザーから集積したデータによれば、2020年の最初の4カ月間で、Microsoft 365の使用率が123%増加し、Salesforceなどのビジネスサービスは61%増加した。さらにCisco Webexは600%増、Zoomは350%増となっている。そして、こうしたクラウドサービスにアクセスする管理されていないデバイスは100%増加していた。

 ホームネットワークからクラウドサービスにアクセスするケースが増える中で、何千もの異種ホームネットワークに対する攻撃の効果を高めるために、攻撃者側は高度に機械化された広範囲にわたる攻撃を開発するとマカフィーは予測する。

 セキュリティ意識の高い企業では、VPNに接続させてからMicrosoft 365などのクラウドサービスを使わせている。しかし、テレワークの急増によってVPN接続が逼迫し、ダイレクトアクセスを許容してしまうケースも出ている。こうした状況が長く続けば、さらに脅威は増していく。

 そのほかの予測の中では、攻撃経路として悪用されるソーシャルネットワークの項目にも着目したい。過去の大きなサイバー攻撃の被害でも、そのきっかけがSNSだった例は多い。攻撃者は、LinkedIn、WhatsApp、Facebook、Twitterといったソーシャルネットワークを使用して、従業員と関係を築いた上で、その勤務先の企業や組織を狙う。SNSで築いた信頼関係を悪用して、Emotet(エモテット)と呼ばれるウイルスへの感染を狙う攻撃メールを送信してくる例もある。Emotetのほかにも、メールの添付ファイルを悪用したマルウェアは数多く存在する。在宅勤務が長くなるとメールは業務の重要な導線となるので、ついつい不用意に開いてしまう危険性も増してくる。

ゼロトラストの意識付けが重要

 セキュリティ対策にゴールと完成形は存在しない。ITの活用が進むほど、サイバー攻撃の脅威は増大する。これまでは、単純なウイルス検査やファイアウォールだけで対策できていた脅威も進化していく。そのため、セキュリティ業界ではあらゆる事象を疑ってかかるゼロトラストが常識となりつつある。実現のためには、厳格なユーザー認証やアクセス制御が必要とされる。そのためのクラウド対応セキュリティ対策として、Secure Access Service Edge(SASE)なども注目されている。

 コロナ禍によるテレワークの急増は、サイバー攻撃の脅威を世界的に増大させているが、その一方で、ウィズコロナやアフターコロナに向けた企業のデジタルトランスフォーメーションを加速させていくためにも、ゼロトラストを前提としたセキュリティ対策が、あらゆる企業に求められている。

田中 亘(wataru tanaka)
東京生まれ。CM制作、PC販売、ソフト開発&サポートを経て独立。クラウドからスマートデバイス、ゲームからエンタープライズ系ITまで、広範囲に執筆。代表著書:『できるWindows 95』、『できるWord』全シリーズ、『できるWord&Excel 2010』など。