No.3915 テレワークをするなら確認したい「セキュリティ対策」
外出の自粛や制限が進む中、仕事を自宅で行うテレワークを実施する会社も増えています。その中で懸念されるのが、自宅PC(パソコン)のセキュリティや、パスワード管理の甘さを突いたサイバー攻撃のリスクです。警察庁の資料をもとに、最近の傾向と取っておきたい対策を確認しましょう。
● 不審なアクセスが急増
警察庁が先月発表した「令和元年におけるサイバー空間をめぐる脅威の情勢等について」によれば、インターネットとの接続点に設置しているセンサーで検知した不審なアクセス件数は、1日・1IPアドレス当たり4,192.0件でした。平成27年の729.3件から約5.8倍と急増しており、その中には各種サイバー攻撃を試みるための探索行為が含まれます。
PCの遠隔操作に使用される「リモートデスクトップ」は、テレワークでも用いられるサービスですが、これを標的としたアクセスも周期的に観測されています。サイバー攻撃への脆弱性が報告されることもあるため、その都度サービス元が公開する修正プログラムを適用するなどセキュリティ対策を講じることが大切です。
● 仕事関係を装ったメールに注意
個別のユーザーを狙ったものには、「標準型メール攻撃」があります。不正なプログラムをメールに添付したり、本文のURLリンクから不正なウェブサイトに接続させるなど、その手口は広く知られる所です。従来こうしたメールの特徴は、日本語の言い回しが不自然、趣旨が不明瞭など「わざわざそんな物は開かない」と判断できる内容が大半でした。
しかし最近では、「安全衛生委員会への招待」「賞与支払届」といった仕事関係を装った件名で、添付ファイルやリンク先へ接続を誘導する手口が報告されています。また、メール送信元が不正に取得したID・パスワードで操作されているケースもあることから、知っているアドレスでも正当なメールと判断できないかぎり、添付ファイルやリンクを開かないなど慎重な対応が求められます。
● PCのセキュリティ状況を把握し改善することが大切
不正アクセス行為のうち「識別符号(パスワード等)窃用型」で検挙された件数は、令和元年で785件となっており、これも平成27年の331件から急増しました。手口別に見ると、「利用権者のパスワードの設定・管理の甘さに付け込んだもの」が39.5%、「他人から入手したもの」が23.2%、「識別符号を知り得る立場にあった元従業員や知人等によるもの」が20.5%です。
パスワードを盗まれないために行うべきことは、「安易に推測できるパスワードを避ける」「複数のサイトで同じID・パスワードの組み合わせを使用しない」「不審なメールのリンクでID・パスワード等を入力しない」「PCのOSやウイルス対策ソフトを最新の状態にする」などが挙げられます。
全て基本的な内容ですが、特に自宅PCでOSやウイルス対策ソフトのバージョンが古い、サポート期間が切れているといった、セキュリティ上の見逃しは珍しくありません。テレワークではその脆弱性が狙われる可能性も高いため、注意が必要です。
また、会社でアクセスを管理する側としては、個々のPCのセキュリティ状況を把握し改善するとともに、パスワードの二段階認証や退職者のID削除など、適切な措置を講ずることが大切です。自宅作業の機会が増える状況においては、テレワーク従事者と管理者双方が、不正アクセスのリスクを減らす対策を取ることが円滑な運用のカギになります。
2020.04.20
(セールス手帖社 栗原賢二)