テレワーク導入に伴い新たに直面するセキュリティリスク

新型コロナウイルスの感染拡大に伴い、現在多くの企業がテレワークの導入に取り組んでいます。もともとテレワークやリモートワークの仕組みを本格的に導入しており、従業員に持ち出し可能なPCを支給していた企業では、テレワーク移行も比較的スムーズに運んだようです。しかしほとんどの企業にとって、これだけ大規模なテレワーク環境の運用は初めての経験となるため、さまざまな面で課題が持ち上がっています。

弊社が2020年3月下旬に実施した「テレワーク実施におけるセキュリティ対策に関するアンケート」の結果によれば、テレワーク環境で使われる端末の種類としては「会社支給のPC」が最も多いものの、「従業員の私物PC」（BYODデバイス）の利用もかなり多いことが分かりました。BYODデバイスは会社支給デバイスと比べると、セキュリティ対策が手薄なことが多いため、テレワーク移行によっていつの間にか深刻なセキュリティリスクを抱え込んでしまう危険性もあります。

例えば、脆弱性が数多く存在する古いバージョンのOSやアプリケーションを使うBYODデバイスをインターネットに接続することで、サイバー攻撃の被害を受けるリスクは大幅に高まります。またアンチウイルスのパターンファイス更新を怠ったために、簡単に既知のマルウェアに感染してしまうかもしれません。あるいは、パスワードがデフォルト設定のままの自宅ルーターに不正アクセスされ、設定を書き換えられてしまうことで、フィッシングサイトに誘導される危険性もあります。

テレワーク端末を標的にした「RDP総当たり攻撃」の手口

このようなテレワーク端末を狙った攻撃として、最近「RDP総当たり攻撃」が増加しています。RDP（Remote Desktop Protocol）はマイクロソフトが提供するサービスで、RDS（Remote Desktop Service）を導入したサーバに対してクライアント端末からリモートデスクトップ接続する機能を提供します。社外のテレワーク環境から社内のサーバ環境にアクセスするためにこの仕組みを導入する企業が多く、これに伴いRDP端末の数も急増しています。

これを狙った攻撃がRDP総当たり攻撃です。その名の通り、RDP端末がリモートデスクトップ接続のために利用するID／パスワードに対して総当たり攻撃を仕掛け、不正アクセスを試みます。特に2019年中旬に確認された「GoldBrute」と呼ばれるマルウェアは、この攻撃手法を用いて大規模なボットネットを構成し、より大規模な攻撃の足掛かりを形成します。

総当たり攻撃に成功してターゲット端末への不正ログインに成功したGoldBruteは、PowerShellを悪用してJavaランタイムとGoldBruteのプログラムファイルをダウンロードし、端末上で実行します。次に攻撃者側から次のRDP総当たり攻撃のターゲットが指定され、これを受け取ったGoldBruteは新たなターゲットに対して攻撃を仕掛け、その結果をC＆Cサーバに報告します。以上の「感染ー攻撃」のサイクルを繰り返すことで、ボットネットを徐々に拡大していくのです。

コロナ禍に伴うテレワーク普及以降、USBモデムやSIM内蔵端末を利用するためにグローバルIPを割り当てた端末が増えた結果、こうした攻撃の標的になる端末の数も飛躍的に増加しました。こうした背景があり、現在BYODデバイスを中心にGoldBruteへの感染例が急速に増加しつつあるのです。

RDP総当たり攻撃による被害を防ぐためにやっておくべきこと

こうしたマルウェアによる被害を防ぐには、まずは攻撃の標的とならないよう、不要なポートを閉じておく必要があります。その上で、万が一総当たり攻撃によってID／パスワードが特定されてしまっても不正アクセスにまでは至らないよう、多要素認証の仕組みを導入しておけば安心です。

もちろん、総当たり攻撃によって容易にパスワードが特定されないよう、強固なパスワードを設定した上で、定期的に変更することを習慣付けるべきでしょう。また、総当たり攻撃が疑われるログイン試行を早期に検知してシャットアウトするために、適切なアカウントロックアウトポリシーを設定することも有効です。さらには、ビルトイン管理者アカウントを忘れず無効化しておくことで、管理者権限を乗っ取られてしまう危険性を減らすこともできます。

ただしこうした対策を行ってもなお、本当に自社の環境がGoldBruteに感染していないかどうか、不安に思う方も多いことでしょう。実際のところ、上記のような対策を完ぺきに行ったとしても、現時点で既に自社の端末が感染しているかどうかを確認することはできません。仮に感染を検知できたとしても、どの程度まで攻撃が進行しており、実際にどの程度のリスクが生じているかを判断する術もありません。

そこでお勧めしたいのが、弊社が提供する「テレワーク・セキュリティ・アセスメントサービス」です。弊社が提供しているEDR製品「Cybereason EDR」をお客様の端末環境に導入し、約2週間ほど運用していただくことで、現状どのようなリスクが自社の環境内に存在するのか、すべて洗い出せるというものです。

テレワーク環境においては、従業員が利用する端末は地理的に離れた場所に散在しているため、リスクを直接目で見て確認することがなかなかできません。そのような環境におけるリスクをあらためて可視化し、セキュリティ対策を根本から見直すための第一歩として、ぜひ本サービスの利用をお勧めしたいと思います。

＜緊急時対応チェックリスト＞セキュアなテレワークでビジネスを継続

新型コロナウイルスの感染拡大防止への対策として、多くの企業がテレワークを実施していますが、テレワーク実施時のIT環境の整備やルールの策定、ITセキュリティ・サイバーセキュリティの強化など、IT/セキュリティ担当者が取り組むべき課題が山積しています。

本資料は、急なテレワークの実施に対応するため、セキュリティチームとITチームが取り組むべき項目をチェックリストとしてまとめました。

テレワーク実施時の参考にぜひご活用ください。
https://www.cybereason.co.jp/product-documents/white-paper/4514/