新型コロナウイルスの感染が広がり、企業でテレワークの導入が始まった時期はもちろん、しばらくたった今もしばしば「安全性が心配だ」という声を耳にします。テレワーク導入が決まってから、急ピッチでセキュリティを強化している企業も多いでしょう。

 ただこの先、仮に新型コロナが落ち着き、緊急事態宣言が解除され、テレワークから従来の働き方に戻ることになった場合も、セキュリティ面では油断禁物です。まだ終息のめどは立たない状況ですが、企業はきたるべき“新型コロナ後”を見据えてセキュリティ対策を整備することが望ましいと言えます。

 マクニカネットワークスはこのほど開いた会見で、「テレワーク浸透に伴って自宅に持ち帰った社用PCがすでに何らかの侵害を受けている恐れがあり、再び企業ネットワークに接続した時に重大な影響を及ぼすかもしれない」と指摘しました。侵害・感染の有無を調査しないまま、多くの社員が会社のネットワークにPCを再び接続すると、マルウェアなどの感染拡大、いわば“クラスタ”が発生する恐れがあるというわけです。

●企業ネットワークよりも弱い自宅ネットワーク

 マクニカネットワークス セキュリティ研究センターの政本憲蔵氏は、「テレワーク中の社員は、今まで企業ネットワークにつないでいたPCを自宅に持ち帰っているわけですから、セキュリティレベルは下がらざるを得ません」と警鐘を鳴らします。

 企業ネットワークの場合、ファイアウォールやIPS(不正侵入検知防御システム)、Webフィルタリングといった複数の境界防御が導入されており、自宅ネットワークに比べると攻撃者が侵入するのは困難です。また、万が一侵入された場合でも、外部の不正なサーバとのアウトバンド通信をブロックしたり、SOCやネットワーク型センサーで監視を行ったりし、不審な挙動をいち早く発見できる仕組みを整えている企業も増えています。

 これに対し、政本氏は「自宅ネットワークの場合は、境界防御はブロードバンドルーターのみです。その多くは脆弱(ぜいじゃく)性を抱えたままだったり、ファームウェアをアップデートしていなかったりしますし、中には管理画面がインターネットに公開されている状態のものもあります。さらに、ブリッジ設定にされていて、インターネットから直接PCにリーチできてしまうものまであります。そもそもブロードバンドルーターを使っていないケースも意外に多いです」 と話します。

 これまでもファイル共有サービスの通信プロトコル(SMB)に使われるTCP/445ポートや、外部からのリモートアクセスに使われるRDP(TCP/3389)といったポートは、たびたび攻撃のターゲットになってきました。数年前に猛威を振るったランサムウェア「WannaCry」はSMBv1の脆弱性を悪用して拡散しましたし、RDPは、可能な組み合わせを全て試すことで、弱いパスワードを無理やり解除する攻撃「ブルートフォースアタック」のターゲットになっています。また、リモートデスクトップサービスには、遠隔地から第三者にコードを実行されうる脆弱性「BlueKeep」「DejaBlue」などが指摘されています。

 それでも企業ネットワークで運用している限りは、ファイアウォールで制御するなどして、これらのポートが外部に公開されることはまれです(実際には、やむを得ない事情やミスで空いているケースがないわけではなく、それがインシデントにつながることもありますが……)。ですが、「自宅に持って行った瞬間、状況は変わります。ブロードバンドルーターがないままつないだり、ブリッジ設定だったりすると、SMBやRDPに外部から直接リーチできてしまうのです」(政本氏)といいます。

●“弱い環境”に置かれたPCが増えている

 テレワークの普及に伴って、こうした“弱い環境”に置かれたPCが増えている事実は、Shodanなどを使った調査から裏付けられています。Shodanは、インターネットに接続しされているPCやデバイスを調査できるツールです。

 政本氏がShodanを使って調べたところ、国内でこれらのポートを公開しているデバイスの数は、「テレワーク導入以降、右肩上がりで増えています。3月11日から4月22日までの間に、SMBが公開されているデバイスは44%、RDPは50%増加しており、そのほとんどがWindowsのPCだと思われます」とのことです。

 そして、攻撃者はこの状況を把握し、盛んに活動しているようです。マクニカネットワークスが国内外でハニーポット(悪意ある攻撃者を引き寄せるために、意図的に設置した脆弱性)を使って調査し、取得したデータを解析したところ、直近の1週間で1つのIPアドレスに対し50万回を超える攻撃があったことが確認されました。RDPにも3万7000件を超える攻撃が観測されたといいます。攻撃が具体的に何を指しているのか、ポートスキャン的なものを含むかどうかは明言していませんが、少なくともこれらのポートを狙った活動が活発化していることは確かだと言えそうです。

●ブロードバンドルーターの脆弱性が標的型攻撃の踏み台に

 政本氏はさらに、家庭用ブロードバンドルーターの脆弱性が悪用されるリスクに言及しました。ルーターなどの脆弱性を狙う攻撃といわれてぱっと思い付くのは、マルウェア「Mirai」をはじめとするボットネット(多数のデバイスを感染させてネットワーク化し、大規模なサイバー攻撃を可能にする仕組み)でしょうが、「実は、標的型攻撃の踏み台としても使われています」と政本氏は述べました。

 その一例が「BlackTech」(あるいはTick)と呼ばれる攻撃キャンペーンです。「BlackTechは、家庭用のブロードバンドルーターや企業のVPN装置といったネットワーク機器の脆弱性を突いて侵入し、別の感染PCからC2サーバへの通信を受け取って転送するように設定を変更する攻撃です。こうして攻撃者のロケーションを隠蔽し、テイクダウン(停止措置)を逃れようとするのです」(政本氏)。つまり、ビジネスパーソンがテレワークで使っているルーターやネットワーク機器が、標的型攻撃の踏み台やインフラとして悪用されかねないというわけです。

 政本氏は、「急きょテレワーク環境を整えることになって、ブロードバンドルーターを家電量販店で急いで調達したり、物置から引っ張り出したりした人も多いと思うのですが、これが攻撃者にとっては攻撃インフラを作る絶好のチャンスになっています」と指摘。「COVID-19」の文字列を盛り込んだドメイン名・件名を使ったフィッシング詐欺が横行していることにも触れ、注意を呼びかけました。

 現在は、総務省が情報通信研究機構(NICT)や民間のプロバイダーと連携し、サイバー攻撃に悪用される恐れのある機器の利用者に注意喚起を行う施策「NOTICE」を行っている他、メーカー側も攻撃対策に注力しています。そのため、ブロードバンドルーターのセキュリティ対策は進み始めています。けれど、NOTICEの注意喚起対象となるのは、推測可能な弱いパスワードやデフォルトのパスワードが用いられている環境で、特定の脆弱性の有無までは踏み込んでいませんし、古い機器もまだまだ現役です。

 「NOTICEでは利用者に通知するまでにいくつかの壁があり、まだ脆弱なルーターは残っているのが現状です。何より、使っているファームウェアが最新で脆弱性がなくても、ブリッジ設定で使われていたり、管理画面が外部に公開されたりといった設定の不備が多々残っています。全体として改善していますが、まだまだといった状況です」(政本氏)

●早めに検知と対策を終えておくのも手

 こうした懸念が残されていることが、 “コロナ明け”に備えたセキュリティ対策が必要な理由です。政本氏は「すでに脆弱な環境でテレワークを始めて一定期間たってしまっているため、ビジネスパーソンはPCが感染している前提で行動すべきだと考えます。いずれ状況が落ち着き、自宅に持ち帰ったPCを会社のネットワークにつなぐときには、侵害されていないか、その痕跡がないか確認することが望ましいです」と話します。

 マクニカネットワークスは、テレワーク中に社用PCが攻撃に遭うことを防ぐため、情報通信、金融、航空、鉄道、電力、ガス、医療、物流――など14分野の企業や公共機関を対象に、従業員のPCを無料でリモート調査し、脅威を検出する取り組みを始めました。その他のベンダーも、テレワーク環境でのセキュリティ診断サービスを相次いで始めています。テレワーク終了後のセキュリティインシデント発生を防ぐ上では、こうしたサービスを使い、早めに検知と対策を終えておくのも一つの手ではないでしょうか。

 新型コロナそのものへの対策でも、「自分が感染しているかもしれないという前提で行動すべき」と呼びかけられています。同じことが、PCのウイルス対策、攻撃対策にも当てはまりそうです。終息はまだ先ですが、同僚と一緒に働ける日が来た時に安心して仕事ができるよう、ビジネスパーソンはサイバー攻撃についての知識を深め、セキュリティ面に気を付けながらテレワークに取り組んでいくべきだと言えます。