多くの企業とその従業員は、在宅勤務が未検証で不確実な環境であることに気付くでしょう。子供たちが自宅の回線を占領している間は、従業員はフリーWi-Fiを利用するかもしれません。あるいは、無料の会議ツールやコラボレーションプラットフォームを利用することもあるでしょう。あなたの組織のVPNは何千人ものリモートログインを処理できますか? 従業員は、コロナウイルス関連情報への関心に付け込みIDやパスワードを盗み取るソーシャルエンジニアリングの手口を見破れるでしょうか?
今回のパンデミックで、あらゆる業界の個人および組織が多くの検討すべきリスクに直面し、既存のサイバー保険の適切さが問われています。
悪意ある者はこの機に乗じて人々のCOVID-19に関する情報への関心や欲求を利用し、悪質なソフトウェアをインストールしたり個人情報を盗んだりするように設計された添付ファイルやリンクを開かせるよう誘導しています。インフラやセキュリティの脆弱性を見極め、ランサムウェアやマルウェアの拡散、その他サイバー攻撃を展開することに長けたハッカーにとって、この新しい環境は絶好の機会なのです。
米国国土安全保障省(DHS)のサイバーセキュリティ・インフラセキュリティ庁(CISA)および英国の国家サイバーセキュリティセンター(NCSC)によると、APT攻撃グループやサイバー犯罪者は、今後数週間から数ヶ月にわたってCOVID-19のパンデミックを悪用し続ける可能性が高いとのことです。観測されている主な脅威は以下の通りです。
特に注目すべきは、これらの脅威にはたいていベーシックなソーシャルエンジニアリングの手法が用いられているという点です。従業員を標的として、COVID-19関連情報を餌に悪質なデータを含むリンクや添付ファイルをクリックさせているのです。
このパンデミックについて関心を持ち、懸念するのは当然のことでしょう。既に、WHOのテドロス・アダノム事務局長から送信されたように見える、開封するとキー入力記録マルウェア「Agent Tesla」を展開する悪質なメールが確認されています。また、日本人を狙い、障害者福祉サービス事業者や保健所からの情報が含まれているとして送信されたメールには、ワームのような機能で他の接続されたコンピュータに拡散するバンキング型トロイの木馬であるマルウェア「Emotet」を展開する悪質な添付ファイルが含まれていました。DHSは、「Emotet」は最も被害が大きく破壊性の高いマルウェアのひとつであり、政府や民間企業、個人、組織に影響を与え、一掃するには1事案あたり100万ドル以上のコストがかかるとみています。
従業員のコロナウイルスに対する懸念を利用したサイバー攻撃を受けやすくなるだけでなく、平時よりも組織のセキュリティが脆弱になる可能性もあります。コロナウイルスの影響によりリモートワークが増加し、従業員が安全性の低いネットワーク、あるいは安全性の低い個人所有のハードウェアでリモートログインするかもしれません。
大勢がリモートログインしている状態では、サイバー犯罪者がリモートデスクトップサービスでネットワークに侵入し、秘密裡に機密データを含むシステムを特定、アクセスすることが容易になり得ます。また、実際にサイバー攻撃を受けた場合、現場にいる従業員の数が少なければ危機対応も手薄になるでしょう。
多くの従業員が在宅勤務している今、会社やクライアントの文書を出力し、安全なオフィス環境から無断で持ち出している人もいるかもしれません。機密情報は、自宅においてはオフィスと同じような安全対策はできないでしょうし、機密文書回収ボックスを使わずにこういった文書を廃棄するのは安全とは言えないでしょう。
在宅勤務の環境では、従業員同士の気軽なコミュニケーションも制限されます。パーテーションの向こう側にいる同僚に、彼らのアドレスから届いた送金指示メールが正規のものなのかちょっと確認することもできません。スピアフィッシングメールに釣られるリスクが高まっているのです。対面コミュニケーションができない現状においては、従業員にはこういった指示の発信元が正式に認証されたものかどうかを電話で確認してもらうしかありません。
このようなリスクの増加によって、企業のITリソースは限界に達しつつあります。パッチ管理もまた、多くの組織にとって難しい問題となっています。人手も時間も不足している状況で、システムへのパッチ適用が後回しになってしまっているのです。さらに、通常、パッチ管理ツールは対象システムへの管理者アクセス権および企業システム内ネットワークへの無制限アクセス権を保有しますが、個人所有のデバイスを使用している従業員がいると、リモートシステムへのパッチ展開に問題が生じる可能性があります。
コロナウイルスへの懸念により在宅勤務している従業員へのアドバイスとして、一般的なサイバーセキュリティの範囲のウイルス対策について言えることは平時と変わりありません。在宅勤務をする従業員は、公共の場所ではPCをはじめとする社用デバイスをロックすること、セキュリティパッチを適用し更新したソフトウェアやOSを使用すること、暗号化されたハードドライブや自動スクリーンロックを使用することを徹底しましょう。企業や団体は従業員に、業務関連のサービスにログインする際は多要素認証を、そして在宅勤務時には必ずVPN(Virtual Private Network、仮想プライベートネットワーク)を使用するよう促すことが必要です。
我々が最善の努力を尽くしたとしても、今回のパンデミックによってこれまでのセキュリティに次々と負荷がかかり、損失の可能性は高まっていくでしょう。先述したサイバー攻撃への対策として、独立型のサイバー保険に加入することで組織を保護し得るということをぜひ認識しておいてください。
パンデミックの発生によりリスク環境が高まっていることから、弊社では、セキュリティ障害やプライバシー関連の問題に起因するクレームや損失についても補償対象に含まれるとみています。例えば、ランサムウェアやその他のサイバー攻撃によって、事業中断による損失、科学的調査、事態への対応方法についての法的アドバイス、通知費用、広報活動、データ復元あるいは再現費用など、多大なコストが発生することは間違いありません。こういった事案については、パンデミックによる新たな環境下であっても、補償への問題は発生しないと予測します。
一方で、在宅勤務にともなう需要増加への対応問題に起因する企業ネットワークの速度低下へのサイバー保険による補償は限定的なものになると思われます。ネットワークの「使いすぎ」自体は、想定外・計画外の業務停止、管理上のミス、プログラミングエラーに繋がる可能性は低く、したがって、保険が発動されることはないでしょう。
同じように、補償オプションとしてシステムの自主的な遮断による業務停止に起因する損害を補償する特約がありますが、これはセキュリティやシステムに障害が発見された場合における潜在的損失を抑えるためのものです。したがって、パンデミックに起因する一般的な業務停止については、企業のサイバー保険では補償されません。
(翻訳:加藤 憲作)
Threat Update COVID-19 Malicious Cyber Activity 27 March 2020
Alert (AA20-099A) COVID-19 Exploited by Malicious Cyber Actors
Alert (TA18-201A), Emotet Malware, CISA
Malicious Cyber Activities Leveraging COVID-19 Situation