リモートワーク の報道におけるリスクについて

今回の新型コロナによる、一斉に始まったリモートワークはソーシャルエンジニアリングしやすい為、注意が必要です。
本来、個人情報であるはずの勤務状況ですが、全社員がリモートワークへシフトしている事がニュースで報道される為、その会社の従業員であることさえ分かれば、人事異動ニュースなどを手掛かりに会社関係者に成り済ましてビジネスメール詐欺(BEC)を仕掛けることが可能です。つまり、OSINT(Open Source Intelligence)テクニックでかなり個人的な情報が入手できる土壌があります。

更に自宅のルーターも危険です。意外にも自宅のルータのパスワードやファームウェアのアップデートまで気持ちがいかない事が多いようです。例えばルータのパスワードが脆弱なままだと例えばShodanやCensysのようなIoTスキャンツールからターゲットにされ、マルウェア「VPN Fileter」等によってルータのファームウェアを書き換え、ルータに接続した端末からファイル収集、コマンド実行、データ窃取、デバイス管理などを実施する事が可能です。しかも、VPNFilterは、再起動しても完全に消去されない為、ルータを工場出荷時へ初期化する事が必要です。
その他、こうした配慮も怠らないようにすべきです。

  • SSIDブロードキャストをオフにします。
    自宅のWi-Fiネットワークを見つけるのが難しくなります。
  • MACアドレスをフィルタリングします。
    ルーターがMACアドレスフィルタリングをサポートしている場合、許可されていないデバイスがルーターへの接続を試みることが難しくなります。

2020年3月13日 米国 国土安全保障省傘下のCISAは警告:エンタープライズVPNセキュリティを発表しました。
https://www.us-cert.gov/ncas/alerts/aa20-073a
以下は、テレワークに関するサイバーセキュリティの考慮事項です。

  • 組織がテレワークにVPNを使用するにつれて、より多くの脆弱性が悪意のあるサイバーアクターによって発見され、標的にされています。
  • VPNは年中無休であるため、組織は最新のセキュリティ更新プログラムとパッチでVPNを更新し続ける可能性が低くなります。
  • 悪意のあるサイバー攻撃者は、在宅勤務者を標的にしたフィッシングメールを増やして、ユーザー名とパスワードを盗む可能性があります。
  • リモートアクセスに多要素認証(MFA)を使用しない組織は、フィッシング攻撃を受けやすくなります。
  • 組織のVPN接続の数は限られている場合があり、それ以降は他の従業員はテレワークできなくなります。可用性が低下すると、ITセキュリティ担当者がサイバーセキュリティタスクを実行する能力など、重要なビジネス運用が損なわれる可能性があります。

ミスディレクション「ひとつの物事に注意が必要であればあるほど、視界に入っている他のものに注意を払えなくなる」ことをハーバード大学のDaniel Simons博士とChristopher Chabris博士が行った「見えないゴリラの実験」によって実証されています。つまり人はパニックに陥ると不注意になる傾向があります。普段であれば誰もがこうしたリスクは気付くものですが、こんな時こそリテラシーの高い安全確保支援士の力が必要とされるかと思います。

投稿者: 二本松 哲也

SPbD:Security&Privacy by Design Founder ー OWASP Member ー ITは人々の生活をあらゆる面でより良い方向に変化させること ー 競争原理から共創原理へ