4 分 2020年3月20日
テーブルサッカー台を下から見たところ

新型コロナウイルス感染症の危機下においてサイバー攻撃者から身を守るための5つの対策

執筆者 Kris Lovejoy

EY Global Consulting Cybersecurity Leader

Cybersecurity guru. Married mother of four. Enjoys diving, hiking and refinishing furniture. Lives in McLean, VA.

4 分 2020年3月20日

パンデミックを悪用したサイバー攻撃により、世界中の企業においてサイバー攻撃に対しての脆弱性がかつてないほどに高まっています。

 EY Japanの視点

新型コロナウイルス感染症は、全世界で猛威を振るい市民の健康を脅かすとともに、企業の業績へ計り知れない影響を及ぼしています。感染の拡大を防ぐためには、人と人との接触を減らすことが有効であり、日本政府もテレワークへの移行を推奨しています。日本では東京2020オリンピック・パラリンピック競技大会での都内混雑の回避のためにテレワークを推進してきたとはいえ、依然普及率は高くはなく、現在、テレワークのインフラを急ピッチで整えている企業が少なくありません。企業は、ITインフラに対しての急な変更とユーザーの業務形態の変化のすきを狙ったさまざまなサイバー攻撃のリスクにさらされていることを認識すべきです。

EYでは、この環境変化に乗じたサイバー攻撃のリスク軽減策をまとめました。この対策は、新たな脅威に対しての企業におけるサイバーレジリエンスの確保とともに、アフターコロナにおいて、働き方改革のさらなる推進など企業の業績復旧の支えとしても欠かせません。

EY Japan の窓口

ゲスト編集者 松下 直

EY ストラテジー・アンド・コンサルティング株式会社 サイバーセキュリティリーダー パートナー

グローバルコラボレーションと協調性を大事にする。週末はテニスとゴルフに興じる。

新型コロナウイルス感染症(COVID-19)が世界的に流行する中、従業員と顧客の密接な物理的接触による健康リスクを最小限に抑えるため、企業では新たな業務モデルの導入を進めています。これによって数百万もの人々が一度にテレワークに移行し、顧客と企業がオンラインでやり取りを行うようになりました。こうした変化に伴い、重要な情報システムの機密性、完全性、可用性を危うくする情報セキュリティリスクも高まりを見せています。

EYのクライアントの皆さまがこのようなリスクに対応する際の参考となるように、リスク要因と業務上の課題を洗い出し、企業におけるサイバーレジリエンスの実現に役立つ5つのリスク軽減策をまとめました。

テレワークの急激な拡大による、リスクの増大

テレワーク用のインフラを構築するため、情報技術(IT)チームが急務として対応にあたる状況では、リクエストの増加に対応しなくてはならないプレッシャーに急がされ、情報セキュリティのベストプラクティスを無視してしまうITチームやユーザーも現れるでしょう。具体的には、次のような課題が考えられます。

  • 使用が認められているテレワーク用のソリューションに不満があるユーザーあるいは不慣れなユーザーが、無断でソフトウェアをインストールしたり私物の機器を使用したりする「シャドーIT」が発生する、つまり、企業の情報セキュリティ管理やプライバシー管理の手が届かないソフトウェアや機器が使用されてしまう可能性があります。
  • ネットワークの稼働状況を安定させ、可用性を維持する上で必要不可欠な機器にパッチをあてる作業をITチームが延期してしまう恐れがあります。テレワークを実現するためのリソースの負荷が高くなっているため、パッチ適用時に許容されるダウンタイムに制限が発生する可能性があるのがその理由です1
  • 企業内で共有するリソースの接続を確保するためにセグメンテーション(ネットワークの論理的な分離)が犠牲になる恐れがあり、「ネットワークのフラット化」につながります。このため、複数のセキュリティレイヤーが無効となるため、通常であれば、防ぐか検出できる不正アクセスを許してしまい、重要なIT資産へ侵入されてしまう可能性があります。

従来、対面で行ってきた活動やプロセスを別の場所から行うことは企業の課題の1つであり、業務プロセスを変更し、業務継続を可能にする柔軟な対応が必要になります。

  • アカウントの作成や削除、セキュリティ設定の変更など、強い権限を必要とするような特定の活動を、オンプレミス環境からのみ実施できるよう制限している場合、手順を変更してリモートから実施できるようにする必要があります。新たに発生するリモートアクセス通信によってネットワークのベースラインが変わるため、リモートアクセス通信を監視するセキュリティ解析プラットフォームにおいて調整が必要になります。新しいベースラインを確立し、こうした解析プラットフォームで定期的な監視と調整を行い、異常な、悪意のある可能性があるネットワークトラフィックを見分ける必要があります。
  • リモート作業の急増によって、テレワーク中のユーザーからのヘルプデスクへの問い合わせ件数が増え、ITサポートチームの負荷が上がります。プレッシャーが強まる中、問い合わせ件数の増加に対処するために認証や承認の手順を省略してしまう恐れがあります。さらに、ITサービスを物理的に提供することが不可能になるため、ノートパソコンのアップグレードや証明書の発行、ハードウェアの修理といったサービスは延期を余儀なくされます。
  • こうした課題に直面するのは従業員や顧客だけでなく、サードパーティーのサプライヤーや契約業者もまた、ここに挙げたリスクを高める要因となります。

あらゆる種類の攻撃者が、パンデミックがもたらす不安と関心を悪用

政府の支援を受けたグループから組織的な犯罪者集団に至るまで、あらゆるサイバー攻撃者たちは、パンデミックに対する人々の恐怖や先行き不透明感、好奇心につけ込む形で、攻撃の手段、戦術、標的の特定方法を変えています。

  • パンデミックに乗じたフィッシング、不正サイト、ビジネスeメール詐欺といった攻撃が増加していることが複数の情報源から報告されています。こうした悪意あるコンテンツは、ニュースの更新、予防策の案内、ウイルスマップ、検査結果、会社からの連絡事項などを装うことがあります2,3,4,5
  • 恐喝を目的とした情報の詐取やランサムウェアによる攻撃、企業のブランドに損害を与えようとする攻撃者は、パンデミックによる影響を受けていると予想される企業を標的にしています6 。さらに、企業の活動や発言が不適切と見られた場合も、社会的・政治的な主張を目的としたハッキング活動を行う「ハクティビスト」や内部関係者からの攻撃を引き起こし、ITシステムの侵害や情報漏えいなどにつながる可能性があります。

攻撃者の動機や手口、目標は従来と変わりませんが、攻撃者はパンデミックに関する情報を求めるユーザーの指向を悪用しています。場合により、ユーザーは情報を得るために技術的なセキュリティ対策を怠ったり、セキュリティについての注意を払わなかったりする可能性ががあります。

  • すでに名を知られたプロのサイバー犯罪グループも、新手のサイバー犯罪グループも、パンデミックに関する情報を悪用して、悪意あるツールをユーザーにダウンロードさせる攻撃を仕掛けていることが、複数の情報源から報告されています7,8,9。このようなツールには、不正ソフトをダウンロードさせるダウンローダー、キーワードを傍受するキーロガー、詐欺目的のフィッシングサイトへの誘導スクリプト、パソコンを動作不能にして身代金を要求するランサムウェア、遠隔アクセスツールなどがあります10,11
  • こうしたグループの目的はいずれも同じです。個人の健康情報(PHI)、個人を特定できる情報(PII)、アカウントの認証情報、寄付、身代金などを狙っています12
  • 政府による支援を受けた攻撃者グループは、パンデミックに関する情報を利用し、悪意のある独自の攻撃ツールを用いて組織を標的にしています13,14,15 。このような活動の多くは継続的なスパイ活動を目的としたものですが、これらのグループを支援する政府側は、おそらく自国の保健行政に役立てるため、ウイルスに関する保健情報を収集するよう指示を出しています16

企業では、多面的なリスク軽減策の採用が不可欠

  1. 一元管理された安全なテレワーク用ソリューションを浸透させることによって従業員と顧客、サードパーティーの業務を支援する。
  2. 働く場所ではなく、役割を基準にした個人の識別・アクセス管理ソリューション、解析手法、管理手法を活用する。
  3. 従来の業務プロセス、例えば電話での通話や、パスワード認証で使うシステムをテレワークに置き換えるにあたり、2要素認証により認証を強化する。
  4. 組織内に誤った情報が流布しないよう、パンデミック関連情報の公式リンクを提供する17,18,19
  5. 透明性の高い公式の広報チャネルを構築して、会社におけるパンデミックへの対応状況を公開する。

新型コロナウイルス感染症危機を乗り越えるために

EYは、重要な問題提起を通じ、効果的な事業の継続とレジリエンス(回復力/復元力)を実現します。

詳しい内容を知る

サポートが必要な方は、ご連絡ください。

危機管理、事業の継続、レジリエンスの構築をサポートします。

 

お問い合わせ

サマリー

新型コロナウイルス感染症により、企業は働く場所を変更するニーズに対応しています。EYではこのような状況下で企業がサイバー攻撃への耐性を高めるサイバーレジリエンスの維持のために注意すべきリスク要因を洗い出しました。

この記事について

執筆者 Kris Lovejoy

EY Global Consulting Cybersecurity Leader

Cybersecurity guru. Married mother of four. Enjoys diving, hiking and refinishing furniture. Lives in McLean, VA.