新型コロナウイルス(COVID-19)が世界中のあらゆる組織に影響を与え不確実性を生み続ける中、サイバー犯罪者はこうした脆弱性と恐怖を悪用しようと狙っており、組織と個人双方に対してサイバーセキュリティ上の脅威が高まっています。 フィッシングやその他のソーシャルエンジニアリング攻撃は、情報と資源への需要が特に高まる危機的状況下で多発する手口です。実際、「COVID」や「コロナウイルス」を含むドメイン名の登録件数が過去最高を記録しており(1日で5,000件を超えるケースも発生)、 これらの詐欺は、標的に悪意のあるリンク・添付ファイル・アプリケーションへの接触を促すため、あるいは機密情報の漏洩や偽装慈善団体への寄付を誘導するため、コロナウイルスを餌として利用する可能性があります。こうした攻撃は個人を標的としますが、従業員やその他のエンドユーザーがリスクを生むことで組織全体に影響が及びます。人的ミスがセキュリティインシデントの主要因であり続ける中、COVID-19への世界的対応として在宅勤務や「社会的距離の確保」が求められる状況下では、リモートワークの増加によってこれらのリスクは増幅されています。
在宅勤務(WFH)の急速な導入に伴い、多くの組織はこれほど大規模なリモートワーク環境を適切に強化したり準備したりする時間がなく、サイバー犯罪者はこの状況を把握している。彼らはこうした不十分な、あるいは無防備なセキュリティ態勢を悪用し、個人・デバイス・ネットワークを標的とする攻撃を急速に拡大させている。 業務用PCの私的利用であれ、個人PCからの組織ネットワーク接続であれ、急激なWFH導入はネットワークを新たなリスクに晒している。多くの場合、こうしたリスクを適切に対処する十分な時間がなかった。例えば、多くの組織ではリモートワークに自社所有・提供のデバイス使用を義務付けていたが、新たにリモート化した従業員全員に配布できるだけのデバイスが不足していた。 十分な端末があった組織でも、全てを時間内に設定できなかったケースが多数発生。またパンデミック終息後に数千台の端末を抱え込む可能性に気付いた組織も存在した。理由の如何を問わず、数千の組織が初めて従業員の個人端末による企業環境へのリモート接続を許可。その結果、攻撃の急増が示す通り、多くの組織が準備不足であったことが露呈した。
また、組織が以前には存在しなかった脆弱性を自社の環境に生み出している事例も見受けられます。例えば、リモートログインに多要素認証を全ユーザーに義務付けていた組織では、現在リモート勤務中の全従業員に展開するのに十分なライセンスが不足していました。一方、無制限のエンタープライズライセンスを保有していた別の組織では、非社有デバイスへのインストールが許可されていませんでした。 いずれのケースも、多くの事例と同様に、組織は従業員のリモート勤務と接続維持を急ぐあまり、こうした保護策を放棄する選択をしました。これまで見てきたように、ベンダーは概して理解を示し、顧客と協力してこうした問題を迅速に解決する姿勢を見せています。
サイバー犯罪者は個人の恐怖心、知識欲、不安につけ込んでいる。例えば、これらの犯罪者はマルウェアを仕込んだ、マルウェアを装った、あるいはマルウェアへリンクした正当な新型コロナウイルス関連情報を送信している。 ユーザーは一見正当な情報へのリンクをクリックし、結果として自身の端末や企業ネットワークにマルウェアをインストールしてしまう。その他のフィッシング詐欺には、COVID-19の「治療法」を持つ企業の株投資で一攫千金を狙う手口も含まれる。また、手指消毒剤やトイレットペーパーの購入リンクやオファーを装った詐欺もあり、購入者が代金を支払ってクレジットカード情報を盗まれた後、届いたのは購入者の端末へのマルウェアのみである。
コロナウイルスを悪用しようとするサイバー犯罪者の流入と急増するリモートワーク従業員を考慮すると、組織は新たなサイバー脅威から防御しリスクを軽減するための対策を講じるべきである。
フィッシングとサイバーセキュリティ対策
ベストプラクティスを引き続き遵守する
不確実な時代が続いており、COVID-19危機が進行するにつれて今後も続くでしょう。しかし、組織はベストプラクティスを維持し、セキュリティポリシーと慣行を継続して遵守し、防御態勢を維持するとともに、従業員やエンドユーザーにも同様の行動を促すべきです。
脆弱性の特定と対応
これには、会社が所有・提供しているデバイスに対する保護策の検討と、同様の保護策をリモートワーク従業員にも適用することが含まれます。これには、会社が保有するエンドユーザーライセンスの数を増やす必要が生じる可能性があり、また個人所有のデバイスでも使用できることを保証する必要があります。
リモートワークへの適応
リモートワークの進め方とそれに伴うセキュリティ問題に関する詳細なガイダンスはこちらをクリックしてください。
エンドユーザーのセキュリティ意識を高める
技術的な予防策は必要ではあるものの、組織をサイバー攻撃から守るには不十分かもしれない。特に、多くの従業員や業界を問わずエンドユーザーにとって不慣れなリモートワークの増加を考慮すると、標的型サイバー攻撃によるセキュリティ侵害を防ぐためには、追加の意識向上トレーニングが極めて重要である。
エンドユーザー注意事項
エンドユーザーには以下の注意事項を遵守するよう注意喚起してください:
- 迷惑メール、ソーシャルメディアのメッセージ、電子通信内のリンクはクリックしないでください。また、メールの添付ファイルには注意し、特にCOVID-19に関連すると称するものは警戒してください。
- COVID-19に関する最新かつ事実に基づく情報を求める際は、信頼できる情報源(政府や組織の公式ウェブサイトなど)のみを参照してください。
- 電子メール、ソーシャルメディア、その他の電子通信手段を通じて、個人または組織の機密情報・専有情報・データを一切開示してはならない。
- いかなる機密情報または専有情報・データの提供要請にも応じず、常に報告すること。
- 不審なメール、ソーシャルメディア、その他の電子通信を報告してください。
- 寄付やその他の支援を約束する前に、慈善団体やその他の目的の正当性を確認してください。
エンドユーザーを支援し、模範を示す
組織はサイバーセキュリティにおいて率先垂範し、従業員やその他のエンドユーザーがセキュリティ侵害を防ぐために必要な支援を提供すべきである。組織は以下のことを行うべきである:
- エンドユーザーに情報を提供し続けるよう最善を尽くし、信頼できる正当な情報源のみを参照または提供し、最新かつ事実に基づいた情報を確実に提供すること;そして
- エンドユーザーが不審な通信やその他の潜在的に悪意のある活動を報告することを許可し、奨励する研究所の方針と慣行。
要約すると、組織はコロナウイルスによる悪影響を受けるリスクを軽減するため、サイバーセキュリティに関して今、追加の対策を講じることが重要です。推奨される対策の詳細については、担当のフォリー・パートナーまでお問い合わせください。コロナウイルスの世界的な感染拡大状況を監視するための追加のウェブベースのリソースについては、米国疾病予防管理センター(CDC) および世界保健機関(WHO)のウェブサイトをご参照ください。
フォーリーは、多分野・多管轄にまたがるチームを編成し、豊富なトピック別クライアント向けリソースを準備しました。新型コロナウイルス感染拡大が様々な業界のステークホルダーに生じている法的・事業上の課題に対し、クライアントが対応できるよう支援いたします。この困難な時期における事業支援のため、関連する最新動向、知見、リソースを把握するには、フォーリーの「新型コロナウイルス情報センター」をご覧ください。こちらのコンテンツを直接メール受信するには、こちらをクリックしフォームを送信してください。
