在宅勤務中を狙った攻撃が悪化する2021年、気を付けないと会社の情報漏えいにつながる恐れも

　大手セキュリティベンダーのトレンドマイクロやマカフィーは、2021年のセキュリティ脅威予測レポートを公開していますが、両社ともにホームオフィスが狙われる危険性について注意を呼び掛けています。コロナ禍においてテレワークが急速に広まりましたが、セキュリティ環境の整備が追いついていないためです。

在宅勤務中の従業員に目を付けるサイバー犯罪者

　マカフィーによると、世界中でインターネットに接続されているホームデバイスは、2020年に22％増加しており、米国だけで言えば60％も増加したそうです。通信量の内訳は70％以上がスマートフォン、PC、テレビで、30％はゲーム機、ウェアラブルデバイス、スマートライトなどのIoTデバイスでした。

　インターネットにこれだけ多くの端末がつながっていると、サイバー犯罪者から攻撃されて乗っ取られた場合の被害も大きくなりそうです。対策としては、ホームルーターを最新の状態にしたり、家庭内の端末をまとめて保護する製品やサービスを利用することが有効です。

　ネット通販を利用する際も注意する必要があります。モバイル決済サービスを悪用するための、フィッシング詐欺などに引っ掛からないようにしましょう。ソフトウェアエンジニアリング企業であるDataArtのレポートによると、電子商取引における支払いのうち41％はモバイルで決済されているとのことです。サイバー犯罪者に狙われるのも当然と言って良いでしょう。

モバイル決済の利用が2020年時点で41.8％を占めました。2023年には52.2％を超えると予測しています（DataArt公式ブログより）

　また、マカフィーは、今後は洗練されたサイバー犯罪者が、LinkedInやWhat's App、Facebook、TwitterといったSNSを利用して、機密事項を扱う個人などを直接標的にするケースが増えていくと予測しています。今はメールでの攻撃が主流ですが、2021年以降、サイバー犯罪者はSNSを活用した攻撃に注力してくるので注意が必要です。

　従業員が個人のPCで業務の情報を扱うハイブリッド環境が常態化することで、企業は自宅にいる従業員がどのように情報を扱っているのか、把握しづらくなってしまいます。今後は、情報の取り扱い方を明確化し、業務と私的利用との線引きが求められるようになるでしょう。これは、企業側が業務用にデバイスを用意することで対応できます。

　テレワークで利用している企業向けのソフトやアプリへの攻撃も増加するでしょう。コロナ禍の影響でクラウド化はさらに進みますが、比例して情報漏えいやセキュリティ侵害が急増します。しかし、これはクラウドサービス側ではなく、ユーザーの設定ミスや誤操作が原因となることが多いので注意が必要です。

コロナ禍の影響でクラウドサービスの利用率が激増しています（マカフィー公式ブログより）

　サイバー犯罪者は注目度の高いニュースに便乗して攻撃を仕掛けます。本連載でも何度か紹介したように、コロナ禍では、新型コロナウイルスに関するフィッシング詐欺などが急増しました。例えば、ワクチンに関連する報道があれば、その情報を悪用したネット詐欺が増える可能性があります。

サイバー犯罪者は情報を盗むための機会を見逃さない

　また、コロナ禍において、個人の健康状態をモニタリングするサービスの取り組みなどを政府や関係組織が進める中、個人情報の扱い要件が緩和されるため、そこをサイバー犯罪者が狙う可能性もあります。盗んだ個人情報はダークウェブなどの闇市場で販売される恐れがあります。

　外部からアクセス可能なAPIが企業の情報漏えいの攻撃経路になる可能性があります。APIとは、異なるアプリとアプリをつなぎ、データや機能を共有して便利に利用できるようにする機能です。例えば、チャットサービスからクラウドストレージのファイルにアクセスできる、というような具合です。近年、APIを公開するクラウドサービスが増加していますが、このAPIが標的になる可能性があるようです。

　ユーザーはAPIを利用する際にアクセス制御や認証機能を利用して身を守りつつ、アクセスログを定期的に監視することが推奨されています。

　本連載で紹介している対策を実践したり、サイバー犯罪者の手口を把握してデジタルリテラシーを向上させましょう。

NPO法人DLIS（デジタルリテラシー向上機構）

高齢者のデジタルリテラシー向上を支援するNPO法人です。媒体への寄稿をはじめ高齢者向けの施設や団体への情報提供、講演などを行っています。もし活動に興味を持っていただけたり、協力していただけそうな方は、「dlisjapan@gmail.com」までご連絡いただければ、最新情報をお送りするようにします。