コンピュータウイルスなどによるサイバー攻撃が世界各地で相次ぎ、セキュリティ対策の需要が増している。新型コロナウイルスの感染拡大を背景にオンライン会議やテレワークが増加する中、総務省によると、サイバー攻撃の数は2021年にコロナ禍前の10年に比べて3倍に増加したそうだ。

大企業は大金を投資して被害を事前に防ぐことも可能だが、そこまでの資金を投入できる中小企業はほとんどない。そこで本連載では、資金力に乏しい中小企業がサイバー攻撃を回避するためにどんな対策を取るべきなのか、実例を交えて解説する。第2回となる今回は、入居者が詐欺サイトにお金をだまし取られた介護施設の事例を紹介する。

小さな介護施設で起こった「小さくない問題」

2017年4月、福岡県にある職員10名という小さな介護施設で思わぬ問題が起こりました。入居者の山田久さん(仮名、77歳)が詐欺サイトにアクセスし、お金をだまし取られてしまったのです。

この介護施設には、入居者らが無料で使用できるパソコンコーナーがありました。このコーナーには3台のパソコンがあり、入居者は自由に使うことができました。山田さんはこのうちの1台を使った際にネット詐欺に遭ってしまったのです。

山田さんによると、パソコンで調べものをしていると「おめでとうございます!10万円分のポイントをあなたに付与します」と書かれたバナーが出てきたそうです。山田さんがそれをクリックしたところ、アダルトサイトにたどり着きました。すると急に「サイトへの登録が完了しました!料金は10万円です」「3日以内に、こちらの口座番号にお金を振り込んでください」との表示が出てきました。

  • 介護施設でも詐欺サイトの問題が

    介護施設でも詐欺サイトの問題が

広告をクリックしただけなのに……

「ただ広告をクリックしただけのつもりだったのに、こんなことになるなんて……」。山田さんは慌てました。サイトを閉じようと思いましたが、「あなたのパソコンはIPアドレスで特定されています」という表示が出ています。この表示を見て、山田さんは「相手はこのパソコンがどこにあるかを知っている。もう逃げられない」と思いつめてしまいました。

「このままでは施設に迷惑をかけてしまう。家族にも恥ずかしい思いをさせてしまう。どうしよう」。悩んだ末に山田さんは、誰にも相談せず、施設の外出日に銀行のATMに向かいました。そこで、指定された詐欺サイトの口座番号に10万円を振り込んでしまったのです。

問題が発覚したのは、山田さんの息子である隆さん(仮名)が通帳記帳をしたことがきっかけでした。いつもはあまりお金を使わないお父さんが、見慣れない口座に10万円ものお金を送金していたのです。息子の隆さんは「おかしい」と気づき、お父さんに連絡しました。家族が、山田さんの資産管理のために定期的に通帳記帳をしていたことが奏功したわけです。

介護施設にはアクセス制限も通信ログもなかった

介護施設の担当者は、隆さんから問い合わせを受けて言葉を失いました。入居者間の人間関係のトラブルは時々起こりますが、入居者用のパソコンから詐欺被害が起こるなどとは思いもよらなかったからです。

そのため、この施設では入居者用パソコンについて、アダルトサイトやギャンブルサイトなどへのアクセスを制限していませんでした。また、サイトの閲覧履歴など「通信ログ」も入居者のプライバシー保護を理由に日々削除していました。

販売店を通じて相談があったのは、問題が発生してから1カ月後のことでした。筆者たちはさっそく現場に行き、対応を開始しました。まずは施設の職員から事情を聞き取り、原因や問題がどこにあるかを調べました。通信ログが削除されていることがネックになりましたが、聞き取りである程度の原因を解明。最終的に統合脅威管理(UTM)と呼ばれるシステムでWebサイトをフィルタリングし、詐欺サイトだけでなく、要望のあった他サイトもユーザーに見せなくすることにしました。

  • Webフィルタリング

    Webフィルタリング

施設の担当者と相談して入居者がアクセスしがちな危険サイトを洗い出し、アダルトサイトやショッピングサイトのほか、あらかじめわかっている詐欺サイトなどをブロックすることにしました。

VLANでネットワークを入居者用と従業員用に分割

実は、この施設の問題はこれだけではありませんでした。配線図を見せてもらったところ、入居者が自由に使える3台のパソコンが、施設職員らのパソコンと同じネットワークに入っていることがわかりました。これでは、仮に入居者用のパソコンがマルウエア(悪意のあるプログラム)に感染すると、施設のパソコンも同時に感染するリスクが高くなります。

このため、筆者たちはVLANと呼ばれる機能を活用して、社内ネットワークを分割することにしました。VLANは「Virtual Local Area Network」の略で、ネットワークを分割してデータが転送される範囲を限定する機能です。分割されたネットワーク同士は接続されていないため、データが転送されることはありません。例えば、マルウエアの感染なども、VLANでネットワークを分割しておくことで拡大を防ぐことが可能です。

もっとも、次なる被害を確実に防ぐためには、これらの対策だけでなく入居者らへの教育と意識改革も必要です。詐欺サイトは日々増加しており、従来のフィルタリングをすり抜け、入居者がアクセスしてしまうリスクも否定できないからです。

そこで、入居者には「仮に怪しいサイトからお金を請求されても、慌てず介護士に相談してほしい」と指導しました。介護士にも「困ったことが発生したら、すぐにサクサに相談してください」とお願いしました。こうした対応を取ったおかげで、この施設では以降は詐欺サイトはもちろん、その他のサイバー攻撃の被害は発生していません。

  • ブロック画面の例

    ブロック画面の例

サイバー対策の強化が信頼性向上につながることも

残念ながら、詐欺サイトの被害にあった山田さんは、結局この介護施設を退去してしまいました。山田さんに「施設に迷惑をかけてしまった」という気持ちが募り、居づらくなったことが最大の原因です。

一方で、介護施設も山田さんの家族から「父が悪かったのは認めるが、施設側もこうした問題が起きないように環境を整備するべきではなかったのか」と不満をぶつけられたそうです。理不尽な言い分ではありますが、対策が不十分だったことが退去につながったことは確かです。

今回の事例から分かることの一つは、入居者や患者などが自由に使えるパソコンがある施設では、サイバーセキュリティの対策を行う対象として、社員や職員だけでは不十分ということです。入居者が被害に遭った場合に、それが施設の信頼性を低下させたり、施設のネットワークの被害につながったりするリスクがあるからです。

逆に言えば、社員や入居者、患者に対し、セキュリティについての知識や能力を向上させる対策を講じることが、施設や会社全体の信頼を高めることになるとも言えるのです。

(編集協力 P&Rコンサルティング)

※編集注:本稿は取材した実例に基づきますが、一部仮名や事実とは異なる描写が含まれます

佐々木 巧馬

佐々木 巧馬

ささきたくま

サクサ株式会社 マーケティングイノベーション本部 事業企画部 セキュリティエバンジェリスト
1986年生まれ、青森県出身。八戸工業大学を卒業後、新卒でサクサシステムエンジニアリングに入社し、ビジネスホンなどの開発業務に従事する。フィールドエンジニア業務にも携わり、中小企業における情報セキュリティの実態について見分を深める。2020年サクサに転籍しマーケティング・企画部門にて、現場経験を生かしたセキュリティ製品全般の企画を行う。

この著者の記事一覧はこちら