テレワークで増加しているサイバー攻撃とは?事例と対策を解説

テレワークを導入する会社が増えるにつれて、サイバーセキュリティの事件や事故も増えています。オフィスワークとは違う新たなサイバー攻撃の件数の推移や、傾向について紹介します。またテレワーク環境でサイバー攻撃を受けないよう気をつけるべき点についても詳しく解説します。

テレワークを導入している企業の割合は令和3年で38.4%と大幅に増加

コロナの影響もあり、テレワークを導入する企業は大幅に増えています。2020年の1回目の緊急事態宣言の期間では、テレワークを実施した企業は17.6%から56.4%まで増えました。

その後、緊急事態宣言が解除されて一時的にオフィスワークが増えましたが、再び2回目の緊急事態宣言時に38.4%まで上昇しています。

(出典:総務省 テレワークの実施状況より)

緊急事態宣言に伴いすぐに従業員の働き方をテレワークに移行できた背景には、モバイルデバイスやインターネットの普及があります。従業員ひとりひとりがノートパソコンを使って業務を行っている企業では、比較的スムーズにテレワークへの移行ができました。

社内や取引先との連絡はメールやスマートフォンの通話やビデオ通話で行い、資料やデータの共有、保存はクラウドサービスを利用すれば、出社しなくても業務にほとんど支障はありません。

実際にクラウドサービスを利用している企業は、2016年には全体の46.9%でしたが2018年には58.7%まで増えています。クラウドサービスの利用目的の多くは、データ共有やファイルの保管、電子メールの利用などです。

約8割の企業が、クラウドサービスは大いに効果があった、またはある程度の効果があったと実感しています。一方で、個人でインターネットを利用する人の84.6%が個人情報が外部に漏れていないか不安を抱いています。さらに、2017年から2018年の1年間で、情報通信ネットワークに何らかの被害が発生した企業は55.6%にのぼっています。

テレワークを導入するための設備はある程度整っていても、サイバー攻撃の対策が十分ではない企業もあり、オフィスワークが主流だった頃とは違うサイバーセキュリティの事故や事件が増えていることがわかります。

このことからも、早急にテレワークに対応したセキュリティ対策を取る必要があるといえるでしょう。

引用:総務省の平成 30 年通信利用動向調査の結果 より

テレワーク普及に伴いサイバーセキュリティの事件・事故も

企業へのサイバー攻撃は以前からありましたが、テレワークの普及に伴い以前にはなかったタイプのサイバーセキュリティの事件や事故も増えています。

情報セキュリティの専門家と実務担当者約160名のメンバーが決める、情報セキュリティ10大脅威の順位は、2019年から3年間で大きく変化しています。2019年には標的型攻撃による被害が1位でしたが、2020年は標的攻撃による機密情報の窃取、2021年はランサムウェアによる被害が1位となっています。

サイバー攻撃の被害件数推移と傾向

この10年間のサイバー攻撃の被害件数を見てみると、約66倍に増えています。サイバー攻撃による被害額が1,000万円を超える日本企業は全体の33.5%、年間の平均被害額は約1億4800万円にもなっています。

(出典:【2022年最新】サイバー攻撃の最新動向や被害事例・種類・対策をすべて解より)

 

サイバー攻撃の傾向も変わってきています。2020年は「内部不正による情報漏洩の脅威」が第2位、「ランサムウェアによる被害」が第5位でしたが。2021年は、「ランサムウェアによる被害」が第1位、「内部不正による情報漏洩」は第6位となっています。

また、「テレワークなどのニューノーマルな働き方を狙った攻撃」の脅威が3位に入っています。「テレワークなどのニューノーマルな働き方を狙った攻撃」は、2019年、2020年ともに情報セキュリティ10大脅威には入っていませんでした。テレワークを導入する企業が増えたことで拡大してきた新たな脅威です。

メール攻撃によるマルウェア「Emotet」の拡大

2020年に話題となったEmotet(エモテット)によるランサムウェアは、多くの企業に大きな被害を与えました。

Emotetは、メールを通してマルウェアに感染させます。以前はWordファイルが添付されたメールをばらまき、Wordファイルに仕込まれているマクロが実行されることでEmotetに感染していました。しかし、メールのフィルタリングツールでWordファイルの添付が検知できるようになると、ZIP形式のファイルを添付されたメールが送り付けられるようになりました。ZIP形式のファイルの場合、ファイルが暗号化されているためセキュリティの検知をすり抜けてしまいます。

Emotetは攻撃の手口をさまざまに変化させて攻撃を仕掛けてくるため、引き続き対策が必要です。

情報セキュリティ10大脅威

毎年公表される情報セキュリティ10大脅威を見ていくと、その年の社会的に影響が大きかったセキュリティの事件の傾向がわかります。2021年と2022年の情報セキュリティ10大脅威を比較してみましょう。

昨年順位個人順位組織組織の昨年順位
1位スマホ決済の不正利用1位ランサムウェアによる被害5位
7位ネット上の誹謗・中傷・デマ3位テレワーク等のニューノーマルな
働き方を狙った攻撃
NEW
3位クレジットカード情報の不正利用5位ビジネスメール詐欺による金銭被害3位
4位インターネットバンキングの不正利用6位内部不正による情報漏えい2位
10位インターネット上の
サービスからの個人情報の窃取
7位予期せぬIT基盤の
障害に伴う業務停止
6位
9位偽警告によるインターネット詐欺8位インターネット上の
サービスへの不正ログイン
16位
6位不正アプリによる
スマートフォン利用者への被害
9位不注意による情報漏えい等の被害7位
8位インターネット上の
サービスへの不正ログイン
10位脆弱性対策情報の
公開に伴う悪用増加
14位

 

(参考画像:“情報セキュリティ10大脅威 2021 図解”)

2021年の1位は前年度5位からランクが上がった「ランサムウェアによる被害」です。また3位に新たに「テレワーク等のニューノーマルな働き方を狙った攻撃」が入っています。

2022年の1位も2021年と変わらず「ランサムウェアによる被害」がトップ、「テレワーク等のニューノーマルな働き方を狙った攻撃」は4位となっています。また7位にはそれまでランクインしていなかった「修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃)」が入っています。

昨年順位個人順位組織組織の昨年順位
2位フィッシングによる個人情報等の詐取1位ランサムウェアによる被害1位
3位ネット上の誹謗・中傷・デマ2位標的型攻撃による機密情報の窃取2位
4位メールやSMS等を使った脅迫
・詐欺の手口による金銭要求
3位サプライチェーンの弱点を悪用した攻撃4位
5位クレジットカード情報の不正利用4位テレワーク等の
ニューノーマルな働き方を狙った攻撃
3位
1位スマホ決済の不正利用5位内部不正による情報漏えい6位
8位偽警告によるインターネット詐欺6位脆弱性対策情報の公開に伴う悪用増加10位
9位不正アプリによる
スマートフォン利用者への被害
7位修正プログラムの
公開前を狙う攻撃(ゼロデイ攻撃)
NEW
7位インターネット上の
サービスからの個人情報の窃取
8位ビジネスメール詐欺による金銭被害5位
6位インターネットバンキングの不正利用9位予期せぬIT基盤の障害に伴う業務停止7位
10位インターネット上の
サービスへの不正ログイン
10位不注意による情報漏えい等の被害9位

 

(参考画像:“情報セキュリティ10大脅威 2022 図解”)

テレワーク環境に潜むリスクと対策

テレワーク環境は、サイバー攻撃ですでに新たに標的とされていて、さまざまな脅威にさらされています。企業側でテレワークのためのセキュリティ対策を行うだけではなく、サイバーセキュリティの事件が起こらないよう、各従業員に所持している端末のウィルスソフトやOSのアップデート、外部で接続する無線LANの適切な設定を徹底するよう周知しましょう。

テレワークのリスクと対策を1つずつ説明します。

 

クラウドサービスの利用拡大

テレワークで活用されるのがクラウドサービスです。クラウドサービスは便利ですが、公開範囲の設定を間違えると、内部の情報が漏洩するリスクがあります。クラウドサービスを利用する場合は、必ず公開の設定を確認し設定ミスが起きないようにしましょう。

 

個人端末の業務利用

テレワークで個人の端末を業務に使用している従業員も少なくありません。個人の端末を使う場合、さまざまなサイバー攻撃のリスクがあります。

OSやウイルスソフトのアップデート行っていない、推測されやすいパスワードを設定しているまたはパスワードを使い回している、定期的なバックアップを取っていないなどの理由で、機密情報が窃取される場合があります。

 

また、インターネット環境にも注意が必要です。無線LANの設定不備や偽のアクセスポイントに接続することで、サイバー攻撃を受けることがあります。同様に偽サイトへのアクセス、偽メールの添付ファイルの開封による不正アクセスのリスクもあります。

さらに、端末を電車やバスなどの公共の交通機関に忘れる、カフェで仕事をしているときに端末を放置して長時間離席する、画面をのぞき見されるなどによる、端末の紛失や情報漏洩も考えられます。

 

テレワークのデメリットの一つに従業員の管理が難しい点があげられますが、オフィス以外で個人の端末を利用して業務を行うときの注意点やリスクを定期的に周知し、一人ひとりのサイバー攻撃に対する意識を高める必要があります。

 

VPNやVDIなどの機器を狙う脅威

従来のオフィスワークでは、企業が社内と外部のネットワークを切り分けて、境界でウィルスの侵入を阻む境界防御を行ってきました。境界防御では、UTMやファイアウオールなどのセキュリティー機器を境界に設置することで、外部と企業のネットワークを遮断し情報を保護します。

 

しかしテレワークの場合は、従業員が会社から貸与された端末を使い、外部のネットワークで業務を行うケースも多く、その際に使用するネットワークを標的にサイバー攻撃を受けるケースも増えています。テレワークにおけるネットワークのセキュリティ対策には、VPNやVDIなどの装置を使う企業も少なくありません。VPNで接続すれば、従業員がテレワークで使う端末を企業ネットワークの配下に置けます。

しかしテレワークの利用者が多い場合は、VPNやVDIのコストが高額になったり、時間帯によってはネットワークの帯域を逼迫させたりすることがあります。その対策としてVPNで常時端末を接続するのではなく、必要なときに接続するようにしている企業もあります。

 

これらのテレワークで使われているネットワークを狙ったサイバー攻撃も少なくありません。VPNの脆弱性を狙ったサイバー攻撃の対策は、セキュリティパッチ有無を確認する、脆弱性診断をこまめにチェックするなど、常にセキュリティ対策の漏れがないか確認することです。

脆弱性については、以下の記事も参考にしてみてください。

情報セキュリティリスクの脅威・脆弱性とは何か?セキュリティ対策と対処方法を解説

脆弱性管理とは?セキュリティ担当者が抑えておきたい対応ポイントと課題

 

ゼロトラストセキュリティとは

テレワークの導入が進むにつれ、新たなセキュリティリスクが増えていることを受けて、従来の境界防御対策の代わりにゼロトラストのセキュリティへの注目が高まっています。

ゼロトラストとは、各端末とサーバの間の通信を暗号化しすべてのユーザーや端末、接続元のロケーションを信頼できないものとして捉えて、重要なシステムや情報へアクセスするときにその正当性や安全性を検証する方法です。

ゼロトラストセキュリティは、ネットワークの内部と外部の区別なくシステムや情報にアクセスするものはすべて信用せず検証し、攻撃を防ぐ新しい対策法です。テレワークの新たなセキュリティ対策として、さらに注目が集まり今後普及していくでしょう。

 

(まとめ)巧妙な手口により脅威への対策は新たなステージへ

テレワークを導入する企業が増えて、サイバー攻撃の方法も大きく変わってきています。脅威の手口は企業を狙うのではなく、ユーザー個人の端末やネットワークなどを対象にしているものも増えています。

今までのようなネットワークの内側と外側を切り離して防御する方法では、サイバー攻撃を防ぎきれないケースもあります。新たなステージに入った脅威から情報やシステムを守るために、情報セキュリティ10大脅威の推移も参考にしつつ、適切な対策を取りましょう。