ラック 注意喚起情報・脆弱性情報

LAC WATCH
ラグビー 山田章仁です。(最終回)

ラグビーの日本代表として世界の強豪に挑み続け、その歩みそのものも「型」にはまらない山田選手。
当社は山田選手のモットーである「BREAK THROUGH=殻を破れ」に共感し、2015年から応援と交流を続けてきました。
山田選手からはこのLAC WATCHの場で、試合の様子や熱い胸の内などを現役トッププレーヤーならではの視点で毎月発信し続けていただきましたが、いよいよ最終回となりました。読者の皆さま、そして山田選手、52回にわたりありがとうございました。

ラックの皆さん、そしていつも応援してくれる多くの皆さん、こんにちは。

3月を振り返り、今年度(2019年度)を締めくくりたいと思います。と言いましても、皆さんもご存じかと思われますが、トップリーグは新型コロナウイルスの感染拡大の影響もあり、延期に延期を重ねた末に3月23日に今シーズンの中止が決まり、全日程の終了が発表されました。

例年に比べ、今シーズンはラグビーワールドカップ2019日本大会の効果で開幕前から日本中が盛り上がる中、皆さんには、所属チームであるNTTコミュニケーションズ シャイニングアークスや私、山田章仁の活動を、こちらのラックさんのブログを通じて温かく見守っていただき、本当にありがとうございます。

中止によるリーグ不成立のため、今シーズンの順位は決まらないことにはなったものの、中止が決定した時点での私たちの成績は5位。シーズン後半戦を迎えるにあたり、好カードを残し非常に楽しみなところでありました。そんな中、勝ち点を伸ばし、上位4チームで争うプレーオフ進出を目指しながら、こちらのブログで楽しい話題をお届けしたかったというのが本音であります。

度重なる延期の末に至ったリーグ中止という結論に、私たちのチームはその都度リアクションするのが精一杯で、休みと練習の繰り返しを余儀なくされ、無情にも時間だけが過ぎていきました。その中でもやるべきことを見失わず、自分がやれることだけに集中して達成できたこともあり、自分自身の選手としての成長を感じることができました。

以上のような怒涛の3月でありましたが、この流れから、今シーズンの統括もさせていただきたいと思います。

今シーズンから新たに加入した会社、チームではありましたが、周りが素晴らしい環境を整えてくれたおかげもあり、とてもスムーズにチームに溶け込むことができました。こればかりは周りに感謝しかありません。ラグビー同様に組織の中で自分自身が充実して過ごせるのは、周りの協力あってこそだということを再確認することができました。
シーズンが進み、試合を重ねれば重ねるほど、成績はもちろん、チーム内の雰囲気、選手、コーチ、マネージメントサイドを取り巻く環境も良くなってきたのが感じ取れました。

シーズン序盤には連敗した週があり、そんな時、組織の中で大切にしなければならないと気づいたのが、チーム文化の再確認でした。レガシーという言葉を最近はよく耳にしますが、チーム文化を継承し、さらに良いものにしていこうというチームの思想こそが、自分たちを支えてくれた無形の財産であり、守るべきものだと選手一人一人が自覚しました。
チーム全体にそんな自覚が芽生えてきた頃、自然と絆がより深まったように感じることができました。

私自身の試合でのパフォーマンスも、シャイニングアークスの伝統、文化を継承しながらレベルアップすることができ、短くなってしまったシーズンではありますが、学びの多い、充実した時間を過ごすことができました。

このブログを書いている3月末の現時点でも新型コロナウイルスが世の中で猛威を振るっている状況です。ラックの皆さんの健康を願いながら、今月の振り返りを終わりたいと思います。

そしてここでもう一つご報告があります。

この度、私山田章仁は、3月末をもって、株式会社ラックさんとのお仕事を終了することになりました。寂しくはなるものの、ラグビーワールドカップ2015イングランド大会の前から、長きにわたりサポートしていただけたこと、本当に感謝しております。
髙梨取締役会長、西本代表取締役社長、広報担当の岩崎さんを始め、社員お一人お一人からも、いつも温かく、優しく声をかけていただき、プロアスリート山田章仁として非常に充実した月日を過ごすことができました。

イングランド大会の時、現地で西本社長にお会いした思い出のほか、ラックさんのオフィスでの職場見学会、意見交換会、毎月こちらのブログでの情報発信など、私の中ではどれも強く胸に刻まれております。また、ワールドカップ2019日本大会に向けて必死に準備していた時も、最後までサポートしていただき、大変心強く、ラックの皆さんは私を動かしてくれる原動力の一つでありました。

本当に感謝いたします。

Break Through対談

当社髙梨会長(左)と山田選手(右)の対談の様子(2015年)
セキュリティ監視センター「JSOC」一日センター長に就任

山田選手がセキュリティ監視センター「JSOC」の一日センター長を務めました。左は西本社長(2017年)

試合以外での活動はもちろんですが、週に一度の私の大仕事「80分間のラグビーの試合」で果敢にタックルできたのは、セキュリティーが大事であると、ラックの皆さんから学べたことも大きく影響しています。「攻撃は最大の防御」という言葉がありますが、裏を返せば、強固な守備があってこそ大胆な攻撃が可能になってくるものだと思っております。
今後もこれまでラックさんから学んだことを無駄にせぬよう、充実したラグビー人生を送れるよう、日々精進していきたいと思います。

今後、こちらのブログで毎月ご挨拶させていただく機会はなくなりますが、自身のブログやSNSを通し、引き続き山田章仁のラグビー選手としての人生をのぞきにきていただければ嬉しく思います。

これまで一緒に歩ませていただき、本当にありがとうございました。

(2020-4-8 10:00:00)

LAC WATCH
JSOC INSIGHT vol.26

JSOC INSIGHTは、JSOCのセキュリティアナリストによる日々の分析結果に基づき、日本における不正アクセスやマルウェア感染などのセキュリティインシデントの発生傾向を分析したレポートです。JSOCのお客様で実際に発生したインシデントのデータに基づき、攻撃の傾向について分析しているため、世界的なトレンドだけではなく、日本のユーザが直面している実際の脅威を把握することができる内容です。

JSOC INSIGHT vol.26の内容

  • vBulletinの脆弱性を狙った任意コード実行の試み
  • 複数のSSL VPN製品の脆弱性を狙った攻撃について
  • Webminにおける任意コード実行の脆弱性

目次

  1. はじめに
  2. エグゼクティブサマリ
  3. JSOCにおけるインシデント傾向
     3.1 重要インシデントの傾向
     3.2 注意が必要な通信について

  4. 今号のトピックス
     4.1 vBulletinの脆弱性を狙った任意コード実行の試み
      4.1.1 脆弱性の検証
      4.1.2 検知状況および検知事例
      4.1.3 脆弱性の対策
     4.2 複数のSSL VPN製品の脆弱性を狙った攻撃について
      4.2.1 検知件数の推移
      4.2.2 攻撃通信の検知内容
      4.2.3 送信元の調査
      4.2.4 脆弱性の対策
     4.3 Webminにおける任意コード実行の脆弱性
      4.3.1 脆弱性の概要
      4.3.2 脆弱性の検証
      4.3.3 検知事例
      4.3.4 脆弱性の対策

  5. 終わりに

メール

最新のレポートは、ラックメールマガジンにて、
いち早く皆様にお知らせしています

配信をご希望の方はこちらからご登録いただけます。

JSOC INSIGHT vol.26

JSOC INSIGHT vol.26 ダウンロード

(2020-4-6 10:00:00)

LAC WATCH
意識の向上が鍵を握る!セキュリティ教育の進め方とは

さらに詳しく知るにはこちら

ラックセキュリティアカデミー

ラックは、一般的なセミナーに比べより実践的にセキュリティ対策を学ぶことができる教育サービスを、「ラックセキュリティアカデミー」として提供しています。今年2月には、ウェブサイトのサービスページをリニューアルオープン。オンライン研修では、新たにアニメーションを活用したコースも用意しています。

さらに詳しく知るにはこちら

ラックセキュリティアカデミー

ラックがセキュリティ教育サービスを開始した経緯をはじめ、このようなセキュリティ教育がなぜ必要なのか、またどこまで実施する必要があるのかなどについて、セキュリティアカデミーのセンター長の白井 雄一郎に話を聞きました。

Q.ラックがセキュリティ教育サービスを始めたのはいつからでしょうか?

ラック セキュリティアカデミー センター長 白井 雄一郎

ラック セキュリティアカデミー センター長  白井 雄一郎

ラックがサイバーセキュリティ事業をスタートさせたのが1995年で、1997年頃に米国の診断ツールの使い方を教えるサービスを行いました。これが教育サービスの始まりです。当時はセキュリティ対策の必要性などほとんど認知されておらず、啓発しながらサービスを提供するような状況でした。

2000年頃には、国内の情報セキュリティの審査としてISMS認証取得を目指す企業が出てきましたが、そもそも何をやればよいのか担当者が理解していないことが多く、ラックに相談がきて支援しました。私自身、このような認証取得などのコンサルティングを手掛け、その後、教育サービスを担当してきた経緯があります。

このような認証ルールを社内に周知したいというニーズへの対応や、それまで個別対応していた講演や演習などを体系化し、2005年に「ラックセキュリティアカデミー」として改めて教育サービスを開始しました。

現場でセキュリティ対策を行っているエンジニアが実践的な教育を行う「スペシャリスト」向けが軸となり、そこに実際のセキュリティ事件・事故を踏まえた教育を行う「一般社員」向けへとサービスを広げています。

※ ISMS認証:財団法人・日本情報処理開発協会(JIPDEC)が定めた評価制度。当初は国内独自の認証制度だったが、2006年からISO/IEC27001による国際標準の認証に移行。

Q.企業は何かしらセキュリティ対策を行っていると思いますが、セキュリティ教育をする必要性はどこにありますか?

そもそも、サイバー攻撃によるリスクを「経営リスク」と捉えているかどうかがポイントとなります。そのうえで、セキュリティ教育を実施する狙いは大きく2つあります。ひとつは社内の「一般社員」に対する”意識の向上“、そしてもうひとつは「スペシャリスト」としての”スキルの向上“です。それぞれもう少し具体化すると、以下のとおりになります。

セキュリティ教育する必要性

一般社員向け

  • セキュリティ意識の向上
  • 自社のセキュリティポリシーやルールの周知
  • セキュリティを組み入れたITリテラシーの向上

スペシャリスト向け

  • セキュリティ対策の実装
  • セキュリティスキルの更なる向上

「セキュリティ対策」と「ITの利便性」はどうしても相反する部分が出てきます。そのため、個人情報や機密情報の漏えいといったリスクがありセキュリティ対策は重要だとわかっていても、実施するのは「面倒くさい」と思われがちで、優先度を下げてしまう人がいます。

サイバー攻撃の実行者は、企業が実施している対策をすり抜けて常に優位な状態で攻撃を仕掛けてきます。対策への意識が低ければ、攻撃者の標的となりかねませんので、実際に事件・事故が起きた際にどのようなリスクがあるのか、またそれをどうやったら防げるかを、一般社員やセキュリティ担当者向けに私たちが教育・訓練という形で支援しています。対策するシステムや制度も大事ですが、鍵となるのは何より運用する「人」です。それは今も昔も変わりはありません。

Q.一般社員とセキュリティ担当者のそれぞれに対し、どのようにセキュリティ教育をしていくのがベストなのでしょう?

セキュリティ教育の違い

例えば、ISMS認証などでセキュリティポリシーを策定・改定した後の一般社員向け講習会で、ポリシーの内容は企業の担当者が説明し、最近のサイバー攻撃で起きた事件・事故などについては、私たちが説明するようなご依頼も多くいただきます。

サイバー攻撃は、当初は愉快犯や技術をアピールするための犯罪が大半でしたが、最近はもっぱら金銭を目的にしています。攻撃者も、十数年前はITスキルを持つ技術者は限られており、企業側もセキュリティのスペシャリストが対応すれば事足りる状況でした。

しかしながら今では、高度なITスキルを持つ技術者が増え、誰でも攻撃者となるリスクを秘めています。その象徴的な事例として、メールを悪用した標的型攻撃では、セキュリティへの意識が低い社員が狙われるケースが多発し、現在でも多くの被害の元となっています。そのため、セキュリティ対策においては、一般社員の意識を高めていくことが極めて重要です。

ただ一般社員が皆、専門家となって対策をしていく必要はありません。サイバー攻撃が日々、巧妙化・悪質化していくなかで、CSIRT(シーサート)と呼ばれる企業の専門チームないし専任の担当者がしっかり対応していくことが重要です。

しかしながら確保できる人員に限りはあるでしょうし、インシデントの規模によっては企業内ですべてを対処しきれるものではありません。そのため必要に応じて、日頃数多くのインシデントを対処している私たちのようなセキュリティ会社に任せるのが効率的だと思います。とはいえ、企業内での対策をどうするかなど、セキュリティ会社側からの状況説明や提案に対して判断できる担当者は必要です。そのような観点で教育を進めていただけるとよいと思います。

Q.標的型メール訓練などで一般社員の理解も進んでいるように思います。今後、具体的に企業内でどのように教育を進めていくといいのでしょうか?

例えば最近では、IDやPWを乗っ取って、取引先など実際にメールをやり取りしている相手に成りすましてメールを送る「ビジネスメール詐欺」が多発するなど、その手口は年々巧妙化しています。ただ、攻撃の手口を知っていれば防げる場合も多く、さらに攻撃を受けたらどう対処するかを知っていれば、被害も大幅に抑制することができます。

一般社員向けには、最新のサイバー攻撃事情を踏まえたセキュリティ意識の向上を狙い、定期的に講習などを実施することをお勧めします。この時期ですと、社会人になりたての新入社員には、基礎的な知識を学んでいただくとよいと思います。一般社員のなかで興味を持った方は、もう一段踏み込んで、技術的な知識を得るような教育・訓練を受けてもよいでしょう。ラックでは段階的に学んでいただくカリキュラムも用意しています。

ただ、あくまで一般社員は、サイバー攻撃によってどのようなリスクを想定すべきなのかを認識してもらうことが第一です。必ずしも技術の深いところまで知る必要はありません。

そのうえで、組織的に対処できるように、実際にサイバー攻撃に対応できるスキルを持った担当者(スペシャリスト)を確保・育成していくとよいでしょう。しかしながら、企業では、実際のインシデントが起きない限り、実務的な経験を積むことはなかなかできません。また起きてから対策するのでは遅く、被害が拡大する恐れがあります。

スペシャリスト向け演習の様子

スペシャリスト向け演習の様子

そのため、実際に企業のインシデント対応を数多く経験してきた私たちのような専門家が行う、実際の事故を想定した演習で経験を積んでいただくことが、自社を守るうえで重要になると思います。実際、毎月のようにセキュリティ演習を行っているお客様もいらっしゃいます。

Q.最後に、セキュリティ教育への思いについて聞かせてください。

セキュリティ教育への思い

サイバー攻撃を仕掛ける攻撃者側が圧倒的に優位のなかで、企業は継続的にセキュリティ対策の底上げをしていかなければなりません。私たちがサイバーセキュリティ事業を始めた当初は、より安心で安全な社会になってほしいという強い思いから、社会貢献の位置づけでセキュリティ教育を提供してきました。

それも、机上ではなく本質的にサイバー攻撃から自社を守っていただきたいという一心からです。試行錯誤しながらメニュー構成をつくりあげてきましたが、より実践的な教育サービスを提供できるのは、当社の他あまりないと考えています。今後もサービスの枠に留まらず、社会貢献の観点で企業を守る一助になれればと考えています。

より詳しく知るにはこちら

より詳しく知るにはこちら

専門性の高い講師陣による実践的な情報セキュリティ教育プログラムを提供することにより人材育成に貢献します。プログラムは、対面型の「集合研修」とインターネット受講の「オンライン研修」の2種類があり、ご希望の企業様には、オーダーメイドトレーニングも行なっております。

コーポレート・コミュニケーション室からのご案内

ラックが章監修したサイバーセキュリティ雑誌が3月23日に発売

サイバーセキュリティを基本から実践までわかりやすく解説する、日経ムック「サイバーセキュリティ入門」(3月23日発売)において、今回ラックが「Part.3 トピック別対策」を章監修をしています。また章監修とは別に、「ラックセキュリティアカデミー」を紹介した記事もあります。関心がありましたら、ぜひご一読ください!

日経ムック サイバーセキュリティ入門
出版社:日本経済新聞出版社
発売日:2020/3/23
定価:本体1,800円+税

(2020-3-25 10:00:00)

LAC WATCH
CYBER GRID JOURNAL Vol.9 "ニッポンのミライを救うサイバーセキュリティにおける「未病改善」の考え"

ラックの研究開発部門の「サイバー・グリッド・ジャパン」の次世代技術開発センターが制作、発行する企業経営者向けレポートの最新号「CYBER GRID JOURNAL Vol.9」を2020年3月19日に公開しました。

皆さんは、日常的に健康に気をつかっているでしょうか?
医療の分野では食事のバランスや運動などの生活習慣を整えることで、大きな疾患にかからないようにする「未病(みびょう)改善」の考え方が一般的になっています。サイバー攻撃の脅威に対する対策も、従来は事故が起きてから対処することに重点が置かれていましたが、いざ情報漏えいやシステム障害などの重大事故が発生すると企業の存続すら危ぶまれる事態に陥ることがあります。

現代のネット社会では、日常から企業や組織を重大なサイバーインシデントから守るため、つね日頃から健康的な状態に近づける取り組み、「サイバーセキュリティにおける未病改善」の考えを、より一層重視していく必要があります。

今回のCYBER GRID JOURNALでは、サイバーセキュリティ脅威に立ち向かう研究者の視点とその人物像に焦点を当て、近い将来のセキュリティ対策の方向性や、彼らが何を考えその業務に取り組んでいるかをご紹介いたします。そして、サイバーセキュリティにおける「未病改善」のヒントとなる技術要素、考え方をお伝えいたします。

CYBER GRID JOURNAL Vol.9 ニッポンのミライを救うサイバーセキュリティにおける「未病改善」の考え

1.特集:「マルウェアのDNA鑑定で系統を自動判定する」

さらに詳しく知るにはこちら

「FalconNest」サービスページ

警察の犯罪捜査においてDNA鑑定は欠かせません。サイバー攻撃でも同様に不正ツールのDNA鑑定(マルウエア解析)を行うことがリスクを判断するのに有効です。また迅速に攻撃者グループを特定することも対策を講じる上で重要です。ただしこれまでのマルウェア解析は人の経験や蓄積された知識に頼らざるを得ませんでした。

次世代技術開発センター長の小笠原は「マルウェアのDNA鑑定によって、攻撃グループの系統を自動的に判定しプロファイリングできる」といいます。冒頭の特集記事では、当社セキュリティ無料調査ツール「FalconNest(ファルコンネスト)」のマルウェア解析機能として提供されている、Intezer社のクラウド型マルウェア分析サービス「Intezer Analyze(インテザーアナライズ)」を採用したきっかけについて解説します。マルウェアやサイバーインシデントへの対策や対応を行うエンジニアやセキュリティ担当者へのヒントとなるでしょう。

さらに詳しく知るにはこちら

「FalconNest」サービスページ

APT攻撃で使用されたマルウエアの「Intezer Analyze」での判定結果

APT攻撃で使用されたマルウエアの「Intezer Analyze」での判定結果

2.連載:リサーチャーの眼 第6回
 「AIによる脅威予測 ~どこまで可能なのか~」

もし近い将来起きるサイバーインシデントを予見することができたら… そう考えたことはありませんか?

サイバーセキュリティ上の脅威を予見することを「脅威予測」と言います。これまでマルウェアのAI検知技術はあっても、AIを用いた近い将来の脅威予測はありませんでした。AI予測に用いる公開情報の収集、文章やセキュリティ用語などの特徴のベクトル化、IPアドレス判定や攻撃コードの予測などから、攻撃グループの動きを推定し次の標的となる企業を割り出す。この記事では、リサーチャーの庄司がその新しい分野の研究内容と展望を詳細に解説します。

単語のベクトル化の例

単語のベクトル化の例
文章解析結果の例

文章解析結果の例
引用:オープンソースのツール「PoshC2」を悪用した新たな標的型攻撃を確認

3.座談会:研究開発のこれまでとこれから
 ~ラックのノウハウと研究の融合で「先回り防御」を実現したい~

サイバー・グリッド・ジャパンには、視覚障がい者による研究チームがあるのをご存じでしょうか?

彼らは、次世代技術開発センターにおいて、ラックが収集する膨大な脅威データの利活用と分析研究を実現するため、脅威情報ポータルサイト「LAC Journey(ラック・ジャーニー)」を開発しました。 視力というハンディキャップを持ちながらも、悪意のあるハッカーに果敢に立ち向かう彼らの実像に、インタビューを通して迫ります。

研究開発のこれまでとこれから

4.連載:ラックの顔 第9回
 「サイバー攻撃を未然に防ぐために続ける社会の意識改革への挑戦」

日本のサイバーセキュリティ対策においては、セキュリティ強化で利便性が低下する傾向があるのに対し、海外では安全で利便性を高めるためのセキュリティ導入が進んでいると言われています。

この記事ではラックのセキュリティ事業を牽引してきた2人のリーダーがその課題について語りつくします。
セキュリティソリューション企画開発室の田原は、ラックのセキュリティ事業の黎明期から技術面で事業を支えてきた「父」のような存在。そして、関は入社3年後の2008年からサイバー救急センターにてフォレンジックの腕を磨いてきた強者。常にセキュリティの最先端を走ってきた2人による対談は、どんな展開になるのでしょうか?

ラックの顔

CYBER GRID JOURNAL Vol.9 目次

  • 巻頭言
  • 特集
    ニッポンのミライを救う サイバーセキュリティにおける「未病改善」の考え
  • マルウェアのDNA鑑定で系統を自動判定する
    次世代技術開発センター センター長
    小笠原 恒雄
  • リサーチャーの眼(第6回)
    AIによる脅威予測 ~どこまで可能なのか~
    次世代技術開発センター リサーチャー
    庄司 勝哉
  • 座談会
    研究開発のこれまでとこれから
    ~ラックのノウハウと研究の融合で「先回り防御」を実現したい~
    次世代技術開発センター リサーチャー一同
  • ラックの顔 第9回
    「サイバー攻撃を未然に防ぐために続ける社会の意識改革への挑戦」
    セキュリティソリューション企画開発室 室長
    田原 祐介
    セキュリティソリューション企画開発室 担当部長
    関 宏介
  • 巻末あとがき

CYBER GRID JOURNAL Vol.9

CYBER GRID JOURNAL Vol.9 ダウンロード

表紙の写真はサバンナに生息するミーアキャットです。ミーアキャットは外敵から身を守るために仲間同士で敵が狙ってないかを常に監視し、敵に気が付いたときは泣き声で知らせて脅威を未然に防いでいます。

(2020-3-19 11:00:00)

LAC WATCH
気を付けたい、テレワーク時のセキュリティ7つの落とし穴

情報通信技術(ICT)を活用し、自宅やカフェ、コワーキングスペースなどオフィス以外の場所で働くテレワーク。家庭での育児や介護、通勤の問題、働く時間の自由度など多様な働き方が求められる昨今では、多くの企業がテレワークの実施に取り組んでいます。

最近では、新型コロナウイルスの感染拡大や大型イベント開催に伴う交通機関への影響を想定し、政府からもテレワークの実施が推奨されています。

スマートフォンやタブレットなどのデジタルデバイスの普及や、高速インターネットの整備、クラウドサービスやリモートネットワーク、コミュニケーションツールなどのデジタルテクノロジーの進化によって、テレワークはより簡単に導入できるようになりました。

働くための時間や場所の自由度が高まることで、ワークライフバランスや生産性の向上が認められる一方、テレワークを実施する上で気をつけるべき問題があります。それは、セキュリティです。

ラックは、自社で推進するテレワークの実例や経験をもとに、セキュリティの有識者による注意点と防御策を改めて整理しました。

1. ウイルスの入り口対策
 ”インターネットに接続しただけでウイルス感染!”

仕事で使用するパソコンをインターネットに接続するには、

  • 無線LANを使用する方法
  • 有線LANを使用する方法
  • 内蔵された通信機能を使用する方法

など、いくつかの接続方法があります。

特に③の内蔵された通信機能を使用する方法では、使用するパソコンが直接インターネットに接続される場合があります。この接続形態では、悪意をもったサイバー攻撃者や感染を試みるマルウェア(コンピュータウイルス)がインターネットを経由して直接パソコンにアクセスが可能なため、注意が必要です。

マルウェア「WannaCry」

2017年に世界中で流行した身代金を要求するマルウェア「WannaCry」は、インターネットに接続されたパソコンが次々に感染し、多くの被害を発生させました。

インターネットに接続しただけで感染や攻撃の被害に遭うケースの多くが、サーバとの通信に使うポート(データの出入り口)の設定不備によるものです。無線LANや有線LANを通したインターネット接続では、ほとんどの場合気にする必要はありませんが、直接インターネットに接続する場合は、ファイヤーウォール機能を持つセキュリティソフトを導入して対策を行う必要があります。

無料の診断サービス「自診くん」

ラックでは、インターネットに開放されている危険なポートを簡単に検出できる無料の診断サービス「自診くん」を提供しています。

自診くんページ

「自診くん」を使うと、サイト上で診断したい内容をチェックするだけで、簡単にサイバー攻撃への防御状態を確認できます。

実社会における私たち人間のウイルス対策と同様、データの出入り口にも「マスク」をして感染を防ぎましょう。

2. ニセの会議招集メール ”その会議は本物ですか?”

新型肺炎コロナウイルスの感染拡大に伴い、マスクの提供やWHOを騙ったフィッシングメール、標的型攻撃メールの発生が日本サイバー犯罪対策センター*1や情報推進機構(IPA)*2から報告されています。

*1 新型コロナウイルスに乗じた犯罪|一般財団法人日本サイバー犯罪対策センター
*2 「Emotet」と呼ばれるウイルスへの感染を狙うメールについて:IPA 独立行政法人 情報処理推進機構

急速に普及が進むWeb会議もまた、その標的となりつつあります。
当社で観測した事例では、会議招集のような体裁のメールに不正なURLがリンクされたボタンが配置されていました。

会議招集のようなメール本文と不正なURLがリンクされたボタン

「会議はすでに始まっています」「あなたの参加を待機しています」など、今すぐ参加するよう促すメッセージが表示されています。待たせてはいけないと思い、焦ってクリックしてしまうかもしれません。

テレワークやWeb会議が普及している欧米諸国では、以前から会議招集やカレンダー登録を行うスパムメールが問題となってきました。

テレワークの普及が急速に進んでいる日本でも、会議招集を装ったフィッシングメールや標的型攻撃メールが登場する可能性があります。

身に覚えのない会議やネットイベントへの招待は、まず一度、疑ってみた方がよいでしょう。

3. パソコンののぞき見による情報漏えい
 ”肩越しの視線に気を付けて”

カフェやコワーキングスペース、新幹線など公共の場所でパソコンを使用するときに気をつけたいのが、肩越しに画面をのぞき見られる「ショルダー・ハック」です。

特に、通路側の席に座っている際は、背後を通る人から肩越しに画面の内容を読まれてしまう恐れがあります。画面を見えにくくするプライバシーフィルターを貼っていても、肩越しにのぞき見されると操作している利用者と同じようにフィルター越しに画面を見ることができてしまいます。

一瞬ののぞき見でも、社名やプロジェクト名、金額や時期、デザインなどの機密情報が盗まれてしまう可能性があり、注意が必要です。

長時間のパソコン作業や、他人に見られてはいけない情報を扱うときは、個室や自宅などのプライバシーが確保できる場所で作業を行うことが原則ですが、公共の場所でパソコンを使用する必要がある場合は、

  • 通路側の席に座らない
  • 隣の席とのスペースが広い場所を選ぶ
  • 大きな鏡がある壁の近くに座らない

などの配慮が必要です。

たまたま画面が見えてしまったケースでも、資料の内容だけでなく、パソコンに貼ってあるステッカーなどから会社が特定され、セキュリティモラルが見透かされてしまう恐れもあります。

ラックでは、顔認証技術を使って公共の場所で安全にパソコンを使用できるソフトウェア「顔認証のぞき見ブロッカー」を提供しています。

顔認証のぞき見ブロッカー

このソフトウェアは、パソコンの利用者を顔認証で識別することにより、利用者以外が画面をのぞいた際にのぞき見を検知。Windowsを自動的にロックします。

パソコンの利用者の識別とのぞき見の検知

他にも、なりすまし防止や不在検知など、のぞき見だけでなく、パソコンの情報管理な機能も搭載しています。

公共の空間でのパソコン作業については、他人から見えないように注意するだけでなく、一時的な離席時のWindowsロック忘れやパソコン盗難にも気をつける必要があります。

4. 公共の場所でのWeb会議 ”大声で機密を暴露”

テレワークの推進によってWeb会議の機会が増えています。
それぞれが離れて業務を行う分、これまで口頭で行っていた雑談もWeb会議になり、パソコンを通してカメラとマイクで通話をする機会がこれまで以上に増えてきています。

テレワークによる公共の場でのWeb会議で気をつけたいのが、声による情報漏えいです。

喫茶店などでパソコンの画面を開いて仕事仲間の顔を見ながら業務の話をしているうちに、ついついお客様の名前や、プロジェクトの具体的な情報を話してしまうことはないでしょうか。

たとえば外での電話では気をつけていても、イヤホンマイクを装着してしまうと周りの音が遮断され、自分の声も聞こえにくくなってしまうため、思った以上に声が大きくなりがちです。

のぞき見対策と同様、通話を行う際はプライバシーが確保できる空間で行うのが原則ですが、やむを得ず参加する場合は、スマートフォンから電話形態で参加することで声のトーンに気を配ることができます。

5. 公共無線LANやクラウドでの共有設定
 ”機密ファイルが大公開”

テレワークによって、様々な場所で会社の機密情報を扱うシーンが増えてきています。
ここで注意したいのが、設定ミスによる機密情報を含んだファイルの公開です。

特に気をつける必要があるのが、公共無線LANを使用する際のネットワークプロファイル設定と、クラウドストレージサービスを使用する場合の権限設定です。

① 公共無線LANを使用する場合のネットワークプロファイル設定

公共無線LANを使用する際にパブリックフォルダの設定を誤ると、同じ公共無線LANを使用しているパソコン利用者全員からパブリックフォルダを参照することができてしまいます。

Windows10では、初めて無線LANに接続する際に「パブリック」「プライベート」のネットワークプロファイルを選択することができます。

「パブリック」は、公共の無線LANを利用する場合に選択します。このオプションを選択すると、同じ無線LANに接続された他の人のパソコンから見えない設定となります。

「プライベート」は自宅や会社の無線LANを利用する場合に選択します。このオプションを選択すると、プリンタやファイルの共有が可能になる他、同じネットワークのパソコンからパブリックフォルダにアクセスできるようになります。

ネットワークプロファイルがパブリックに設定されている

公共無線LANを使用する際は、他の人が自分のパソコンにアクセスできる必要はありません。必ず「パブリック」を選択するよう心掛けてください。

接続時に誤って「プライベート」を選択した場合でも、ウィンドウズボタン→設定アイコン→ネットワーク→Wi-Fi→接続しているネットワーク名をクリックすることで、ネットワークプロファイルの変更が可能です。

② クラウドストレージサービスの権限設定

会社で使う業務ファイルをノートパソコンで編集したいときに、会社が用意したクラウドサービスを通してファイルを共有する場合があります。

クラウドストレージサービスでデータをやりとりする際に気をつけたいのが、ファイルやフォルダの権限設定です。

多くのクラウドストレージサービスでは、ファイルごとやフォルダごとに公開範囲を設定できる機能を備えています。

私物のパソコンにコピーする目的で、ファイルやフォルダの公開設定を「パブリック」や「限定公開」などに設定した場合、ファイルにアクセスできるURLが漏えいした場合に、簡単にファイルにアクセスされてしまいます。

意図してファイルやフォルダを公開アクセス可能な設定した場合は、必ず使用後に権限を戻す、或いはファイルを削除するなどの操作が必要です。

テレワークを実施する際に会社で使っているパソコンのデータを使用したい場合は、データのコピーを行うことなく作業ができる画面転送ソフトを使用すると安全です。

会社のネットワークに接続されたパソコンを起動しておき、社外から手元のパソコンで会社のネットワークにVPN接続を行い、Windows標準機能の「リモートデスクトップ接続」を使用して業務を行うことができます。

ラックでは、リモート接続ツールの定番ソリューションであるTeamViewer(チームビューワー)を提供しています。

TeamViewer

ドイツで開発されたTeamViewerは、プログラムをインストールするだけで使用でき、VPNなどから会社のネットワークへの接続が不要という長所があります。

テレワーク用に新しいパソコンを用意せず、社員の自宅にあるパソコンを使って安全なテレワークが実現できます。

6. ネットワーク機器やパソコンのアップデート
 ”家のネットが丸見え”

インターネットに接続されたネットワーク機器や、インターネットからダウンロードした様々なファイルを扱うパソコンは、常にサイバー攻撃の脅威にさらされています。

特に、ネットワーク機器のファームウェアと呼ばれるソフトウェアや、パソコンにインストールされたプログラムに発見された攻撃可能な脆弱性は、アップデートされたと同時に情報が公開されるため、その脆弱性を悪用した攻撃が急増する傾向があります。

脆弱性を悪用する不正プログラムに乗っ取られたネットワーク機器やパソコンは、サイバー攻撃者の侵入経路となる「踏み台」や「バックドア(裏口)」となってしまいます。

家の中でインターネットに接続されたパソコンの中身や、ネットワークカメラなどがサイバー攻撃者に筒抜けとなってしまいます。

多くの場合、サイバー攻撃は最新の状態にアップデートされたネットワーク機器やパソコンには通用しません。

テレワークの使用時はもちろん、普段からネットワーク機器やパソコンの状態を最新に保つよう心掛けることで、サイバー攻撃を受け付けない状態を保てます。

7. ニセの無料無線LAN ”無料のつもりが情報漏えい”

公共の場所で提供されている無線LANは、外出先でインターネットに接続する手段として、とても便利です。
今では多くの場所で無料の無線LANが提供されています。

この無線LANの名前である「SSID」は、どのような機器でも名前を自由に決めることができます。

多くの場合、無線LANの「無線LAN名(SSID)」と「接続パスワード」はセットで人の目につく場所に掲示されています。利用者は、自分のパソコンの無線LAN設定に表示された無線LAN名(SSID)を探し出し、パスワードを入力して、インターネットに接続します。

しかし、この無線LANは「同じ名称」「同じパスワード」で、悪意を持った攻撃者がアクセスポイントを用意している場合があります。しかも、その攻撃者が、正規のユーザーと同じようにインターネットを提供しているため、接続してしまった利用者(被害者)はまったく気づくことができません。

知らないうちに改ざんされたサイトや本物を装った偽のサイトに誘導されて、入力したIDやパスワードを悪用した成りすましや情報漏えいの被害をうけてしまいます。

このような攻撃の被害にあう可能性は高くはないものの、無料の無線LANはセキュリティ設定が適切に行われていない場合も多く、ある程度のセキュリティを自分で担保する必要があります。

会社のネットワークでVPNを提供されている場合は、無線LANに接続した後、必ずVPNに接続することで、安全にインターネットを利用できます。

安全なネットワーク社会を目指して

このように、テレワーク実施時に気になるセキュリティの落とし穴を紹介しました。パソコンなどの機器を社外に持ち出す以上、盗難や紛失、破損などの懸念もありますが、危機対応時でも事業を止めない仕組みとして、テレワークはより一層浸透するものと思います。

セキュリティ対策のラックでは、企業や組織の情報を守り、デジタルテクノロジーの利便性による恩恵を最大化するため、長年サイバーセキュリティに取り組んでいます。

昨今注目を集めるテレワークにおいても、安全に実施していただくことで初めて真の働き方の多様化が実現できると考えています。

これからテレワークを始める方や、最近テレワークを始められた方は、この「テレワーク時のセキュリティ7つの落とし穴」に注意して、テレワークを安全にご活用ください。

ラックは、在宅勤務・テレワークでもオフィスと同様に安全性の実現に貢献していきます。
導入についてのご質問などお気軽にお問い合わせください。

お問合せ

テレワーク時の製品導入や
セキュリティに関するお問い合わせ

(2020-3-18 10:00:00)