テレワークを狙ったVPN不正アクセス被害増加|対策方法とは?

vpn_access

新型コロナウイルス影響によるテレワークを狙い、新たなサイバー攻撃被害が増加しています。

つい最近でも、「国内38社がVPNで不正接続被害」というニュースが取り上げられました。

日立化成や住友林業など38社から、VPNのパスワードやID情報が漏洩した。VPNは通信データを暗号化し、社外から業務システムに接続する際に使う。多くの企業が在宅勤務に取り入れる情報インフラとなりつつあるが、今回はその死角を突かれた。

出典元:在宅時代の落とし穴 国内38社がVPNで不正接続被害|日本経済新聞


安全性が高いと言われているVPNでの被害は、今後のテレワークを継続していく上で、大きな問題を投げかけています。

 

新しい生活様式を取り巻く環境の中で実際に起こっているセキュリティ被害状況を把握し、個人が取れる対策について考えてみます。

 

情報セキュリティの現状

では、「安全性が高いと言われているVPNでの被害」について、どのような点が問題なのでしょうか。

 

安全性が高いと言われているVPNとは?


VPNとは、「Virtual Private Network(バーチャルプライベート・ネットワーク)」の頭文字を取った略語で、 “仮想的”に構築された専用ネットワークを、暗号化などの技術で安全な通信回線として実現し、提供する方法です。

VPNについての詳細は、以下の記事を参考にしてみてください。

「VPN」とは-意外と知らないIT用語の基本

VPNは「データの安全なやり取りのための仕組み」として扱われている上に、自宅から社内環境へ専用線を設置するよりも導入コストが安いため、各社でVPNを利用したテレワーク環境の拡充が進んでいます。

 

今回のようにVPNの脆弱性を突かれ、日本を代表する企業38社に不正接続あったということは、社内システムに侵入されて情報が流出されるだけでなく、踏み台としてさらなる2次被害も想定されるため、企業側の対策が急務とされています。

 

日本企業を取り巻く情報セキュリティ被害状況

 

さらに、「情報漏洩で日本企業が被る損失額が世界で5位」というニュースも取り上げられました。

日本IBMは25日、情報漏洩の発生時に日本企業が被る損失額が1件当たり約419万ドル(約4億4400万円)に上ったとする調査結果を発表した。同じ調査を実施した17カ国・地域の平均を上回り、米国、ドイツなどに続いて世界5位だった。ランサムウエア(身代金要求ウイルス)による攻撃の増加などで損失額は上昇傾向にあり、企業に警戒を呼びかける。

出典元:情報漏洩の損失、日本は4億円で世界5位 IBM調べ|日本経済新聞

 

この記事によると、サイバー攻撃は「国や企業の規模」に応じて増える傾向がある上に、日本企業のセキュリティ対策の遅れが指摘されています。

 

個人で情報流出に備える対策

このように、テレワークのVPNを狙った被害や、企業レベルの大規模セキュリティリスクの増加傾向を考えると、テレワーク中の端末を守るために個人でも出来る対策を打っておく必要性があります。

では、いったいどのような対策が取れるでしょうか。

 

パスワードの使いまわしを避ける

 

一度ID・パスワードの情報が流出してしまうと、他サイトでの使い回しを想定した「パスワードリスト攻撃」に合う可能性が高まります。

 

パスワードリスト攻撃とは、漏洩したIDとパスワードのリストを手にした悪意ある攻撃者が、ほかのオンラインサービスに手当たり次第に不正ログインを試みるというもので、同じパスワードを使い回しているユーザーが多いほど、成功率は高くなるといわれています。

 

そのリスクを回避するためにも、パスワードの使いまわしは避けなければなりません。

複数のパスワードを管理するにあたりおすすめしたいのが、「@niftyパスワードマネージャー」(月額400円)のような、パスワード管理セキュリティツールです。

 

すべてのパスワードを覚えておく手間から解放される「パスワード保存機能」、安全で強固なパスワードを提案してくれる「パスワード生成機能」だけでなく、メールアドレスに関連付けられた、パスワード情報、クレジットカード番号、名前、住所、電話番号、生年月日の流出を監視する「モニタリング機能(情報流出監視機能)」など、パスワードを安全に管理してくれるツールです。


@niftyパスワードマネージャー」機能の詳細は、以下の記事を参考にしてみてください。

覚えられないから…とパスワードの使い回しは危険! 想定されるリスクと対策方法

※パスワード管理セキュリティツールの使用にあたっては、事前に所属する会社へ使用の可否についてご確認ください。

 

ほかにも出来るセキュリティ対策とは

 

オフィスとは異なる在宅環境におけるセキュリティ対策の甘さを狙ったサイバー攻撃の具体的事例と、テレワーク時に必要とされるセキュリティ対策については、以下の記事にまとめています。

拡大するテレワークを狙うセキュリティリスク|事例と対策について解説

テレワークで使用するパソコン等は、以下のようなセキュリティ対策が必要です。

・サポートが終了しているOS(オペレーティングシステム)のパソコンを使用しない
・使用するパソコン等のOS、ウイルス対策ソフト、アプリケーションを最新の状態にする
・テレワークで使用するパソコンは自分のみが使用する
・許可されていないソフトウェアを利用しない
・ウイルス対策ソフトを必ず導入する

 

テレワークをVDI(デスクトップ仮想化)環境で実施している場合、ウイルス対策ソフトを使用してVDIを利用するパソコン自体を保護させることが可能です。

ウイルス対策ソフトについては、ニフティが提供する「常時安全セキュリティ24」(月額500円)に注目してみてください。ひとつのライセンスで最大7台まで対応しているので、自分の端末だけでなく、家族のスマホやパソコンを守ることが可能です。

新型コロナウイルスによる働き方の大きな変革に合わせていくためには、企業と個人の双方での対策が求められます。

 

※2020年8月時点の情報です。
※表示価格は税抜きです。

@niftyのおすすめインターネット接続サービス

  • @nifty光
  • ドコモ光
  • auひかり