新型コロナの拡大によって急激に導入が進んだニューノーマルな働き方「テレワーク」。
従業員の自宅・カフェでのWi-Fi利用、共有デバイスやBYODなどのニーズも増え、企業は従来のそれとは全く違うセキュリティ事故のリスクに晒されるようになりました。
実際、総務省も「サイバー攻撃の最近の動向等について」で、テレワークへの移行に関係してセキュリティ事故の事例が増加している事を報告しています。
安全性の高いテレワーク環境の構築には、まずはリスクの把握が必須。
そこで、テレワーク化によって発生するセキュリティ事故の具体的な事例と、そのリスクから機密情報を守る方法まで詳しく見ていきましょう。
この記事の目次
セキュリティ事故事例①「フィッシングでテレワーク中に認証情報を盗まれた!」
まず、テレワーク中に従業員がフィッシングによって認証情報の盗難被害に遭った事例です。
フィッシングによるセキュリティ事故・事例
新型コロナが拡大してから、その恐怖を利用したフィッシング事例が急増しています。
例えば「コロナの治療に有効な医療機器の販売」を装ったり、治療法についての情報が載ったWEBサイトを騙り、添付ファイルやリンクをクリックするよう巧みに誘導します。
フィッシングに騙されてリンクなどをクリックすると、偽のページに誘導されて認証情報を盗まれてしまいます。
不正アクセスを許してしまうと機密情報がダークウェブへ流出したり、情報を人質に多額の金銭を要求される場合もあります。
最近では、テレワークの増加に伴ってAzureテナントの数が急増していることを受けた、偽のAzureアプリへ誘導するフィッシングも登場しています。
YubiKeyは認証を強化してフィッシングに対抗
あらゆるデバイスで強力な二要素認証を展開できるセキュリティキー【YubiKey】は、FIDO2認証標準を活用してフィッシングによる不正アクセスからテレワーク業務を保護します。
Google・NYU・UCSDが行った調査によると、SMSや認証アプリを用いた二要素認証は、フィッシング等によるアカウントの乗っ取りを防ぐにあたってあまり効果的ではありません。
YubiKeyの二要素認証は、一般的な二要素認証よりはるかに安全性の高い「公開鍵暗号方式」を採用。YubiKeyを実際に持っていなければ認証できない状態を作ることで認証を大幅に強化し、フィッシングに対抗します。
セキュリティ事故事例②「フリーWi-Fiを使用したら通信内容が傍受されていた」
テレワークではカフェ・公共施設など場所を選ばずに仕事ができるため、フリーWi-Fi等セキュリティ対策が不十分なネットワークの使用リスクがあります。
Wi-Fiの使用によるセキュリティ事故・事例
パスワードのないフリーWi-Fiは、アクセスポイントまでの通信が暗号化されていません。
そのため、同じタイミングで回線を利用している他者からは比較的簡単に通信内容が傍受できてしまいます。
これにより、メールに添付した重要情報の流出といった事故が多発しています。
通信内容を傍受された結果起きるのは、こういった一時的な機密情報の漏洩だけではありません。
例えば会社のアカウントへのログインをフリーWi-Fiで行った場合、攻撃者はサーバーから認証トークンを傍受し、そのトークンを使用してログイン認証を突破します。
攻撃者がひとたび社内ネットワークに入れば、C2攻撃や他のユーザーへのマルウェア感染、機密データ盗難などにより、会社に甚大な被害をもたらす恐れがあるのです。
YubiKeyの「傍受できない」二要素認証
YubiKeyは認証の強度を底上げすることにより、万が一認証情報が傍受された場合でも不正なログインを防ぐことができます。
YubiKeyを設定すると、中間者攻撃によりID・パスワードやログインコードが盗み見られたとしても、攻撃者は登録済みのYubiKeyが手元に無い限りログインできません。
また、秘密鍵をYubiKeyに保存することで、秘密鍵のコピー作成や、遠隔からの盗難、デバイス上のマルウェアからアクセスすることもできなくなります。
万が一不正ログインを許してしまった場合でも、被害の拡大を防げるのです。
セキュリティ事故事例③「テレワーク中にVPNから不正に侵入された!」
VPNは中間者攻撃を防ぐために有効ですが、VPNに脆弱性がある場合、そこに付け込まれて内部ネットワークに侵入されるリスクをはらんでいます。
VPNの脆弱性によるセキュリティ事故・事例
テレワーク化でVPN利用者が増加した結果、VPNの脆弱性から社内ネットワークに侵入する攻撃の手口が増加傾向に。
例えば公共のフリーWi-Fiなどに接続する際、VPNの保護を脆弱なパスワードに依存していたことで、ハッキングによって認証を突破されてしまうような場合が考えられます。
実際、2020年にはJPCERT/CCから米国Pulse Secure社のVPN機器における脆弱性により、日立化成など複数企業が不正アクセスを受けたとして注意喚起がありました。
また、脆弱性があるVPNサーバを探すのは非常に容易なため、企業の大きさ・業種に関係なくターゲットにされうる可能性がある事は知っておきましょう。
YubiKeyはVPNの認証を保護
ネットワークの安全を守るはずが、場合によってはむしろリスクの温床になってしまうのがVPNです。
この課題を解決するにはVPNサーバの認証を強化し、正規ユーザーだけがログインできる状態を確立することです。
YubiKeyは、国家機関でも活用される高度な安全性を提供し、VPNの認証を格段に強化します。
例えば、YubiKeyの機能である「スマートカード (PIV)」もしくは「ワンタイムパスワード (OTP)」 を使用し、お使いのVPNを強力な二要素認証で保護します。
一般的な二要素認証では認証手順が煩雑になり従業員の生産性に悪影響ですが、YubiKeyなら「ワンタッチ」で認証できるため、テレワークでも従業員の生産性を高く保ちます。
セキュリティ事故事例④「テレワークで移動中に端末を置き忘れて情報を盗まれた!」
テレワークによって社内端末の持ち出しが増える事で、不慮の紛失などの事故が発生する可能性も高くなります。
置き忘れや紛失によるセキュリティ事故・事例
テレワークで社内のパソコンを社員が外部に持ち出す、持ち歩く機会が増えた結果、出先でパソコンを紛失してしまった、盗難に遭ったという事例も報告されています。
会社の端末が悪意のある人の手に渡れば、不正利用されたり重要な情報を盗み取られて公開される危険があります。
「ついうっかり」の不注意であっても、その損害は甚大になり得ます。
取引先や顧客の信用をなくし、賠償問題に発展する可能性もあるため、確実な対策が必要です。
YubiKeyで端末自体へのログインも強力に保護
そもそも仕事用端末を紛失しないよう注意するのは当然として、その上で万が一盗難や紛失に遭っても機密情報が流出しないような状態を保つ必要があります。
YubiKeyなら、テレワークで使用するMac・Windowsのロックとしても強力な多要素認証・パスワードレス認証を提供します。
例えばYubiKeyのスマートカード機能を用いて、PINコード・キー本体を使った端末ロックが実装出来ます。また、Microsoft Azure ADならYubiKeyでFIDOベースの強力なパスワードレス認証が実装可能。
仮にYubiKeyの方が紛失・盗難に遭ったとしても、YubiKeyからアカウント情報を取り出すことはできません。
仕事用端末をローカルな危険からも守り切る、それがYubiKeyなのです。
あらゆるセキュリティ事故を防止!テレワーク環境の安全はYubiKeyで守る
テレワーク化によって頻発している多数のセキュリティ事故・事例を見てきました。
こういった事故を防止したいのであれば、YubiKeyがお手伝いできます。
企業はあらゆる場所・端末からアカウントを保護する必要に迫られていますが、YubiKeyはあらゆる環境へ柔軟に導入でき、即座にテレワーク環境を安全に保護します。
また、テレワーク環境を保護するだけではなく、オフィスでの業務と同様に高い生産性を維持できる環境の確立はもはや不可欠。
YubiKeyなら、たった1本でサイバーリスクを最小化しつつ、スムーズな認証でテレワーク中の従業員が高い生産性を保てるようサポートできます。
YubiKeyを導入して、テレワークでのセキュリティ事故に戦々恐々とする日々に終わりを告げましょう。
この記事へのコメントはありません。