狙われる リモート社会

狙われる リモート社会
長引くコロナ禍の生活で、在宅でのテレワークを続けている人も多い。WEB会議システムを毎日のように使い、ビジネスツールでさまざまなファイルをチームで共有する、私たちの仕事や暮らしのデジタル化、リモート化は一気に加速している。しかし、その影で、悪質なサイバー攻撃が猛威を振るっていることが分かってきた。
いったい、なにが起きているのか。
(科学文化部記者 黒瀬総一郎 / ディレクター 前田海一)

中小企業を狙い撃ちか

「験が悪いといいますか、もう廃棄してほしいというご依頼を受けております」
大阪市中心部の心斎橋。

私たちが、データ復旧を専門とする会社で見せてもらったのは、山積みにされた白い箱形の端末。
ハードディスクだ。
コロナ禍に入って、ランサムウェアと呼ばれる、身代金要求型のコンピューターウイルスに感染し、客が廃棄したものだという。

この会社は、もともと、動かなくなったハードディスクの修理を得意とし、地域の企業から頼られてきたが、コロナ禍に入ってから、ランサムウェアに関する相談が劇的に増加していた。
1月、2月は、それぞれ3件だったのが、6月には31件にのぼった。
被害は、NASと呼ばれるネットワークにつなぐハードディスクに集中している。
複数のパソコンからアクセスしてデータを共有する小型のファイルサーバーとして企業や個人でも広く使われてきたもので、コロナ禍でのテレワークの導入にともなってネットにつないで利用する中小企業が増えているという。
データ復旧会社=S&Eシステムズによると、先月、依頼を受けた、不動産会社の事例では、社外からNASにアクセスできるよう、インターネットに接続した途端、NASに保存していたファイルが暗号化され、開けなくなった。
ファイルは、会社の取引先や取引口座のデータ。
暗号化を解くためには連絡を取って、10万円分のビットコインを支払えと、示された。
いわば、データを引き換えに身代金を要求された形だ。
「データが無ければ業務が続けられず、倒産してしまう」
不動産会社は、身代金を支払ってデータを取り戻すことを選択せざるを得なかった。

データ復旧会社=S&Eシステムズによると、3月以降、こうした身代金が要求された企業の相談は109件に上り、その半数近くが要求に応じるほかに打つ手がなかったという。

攻撃者は、企業の財務状況を見透かしたかのように、支払えるギリギリの額を提示してくるという。
園田さん
「ハッカー(攻撃者)はビジネスライクに話をしてくる。会社が倒れかねず、背に腹は代えられないことから支払わざるをえない状況になってしまう会社が多い」
不正アクセスを許した原因は、はっきりとは分からないが、NASをインターネット接続する際に、端末に外部からログインする際のパスワードを、単純なアルファベットの配列の初期設定のままにしているケースが多いという。

テレワーク中に南米からパスワード総当たり攻撃?

テレワークをする個人が、直接攻撃を受ける事例も報告されている。

東京 日本橋に本社を置く情報セキュリティー会社「網屋」は、ことし4月から7月にかけて、テレワーク中の顧客からこれまでにない相談を相次いで受けた。
調べたところ、顧客は、「ログオンチャレンジ」と呼ばれる攻撃を受けていた。
IDやパスワードを総当たりで打ち込んで、認証を突破しようとするものだ。
個人のパソコンがこのような攻撃を受けることは珍しい。
なぜなら、家庭でもカフェでも、ネットにつなぐときは、一般的には、「ルーター」を介して通信するため、外から直接、パソコンに振られたネット上の住所にあたる「IPアドレス」は見えない。
つまり、そのパソコンには、外からアクセスできないからだ。
しかし、攻撃を受けたケースでは、いずれも「グローバルIP」と呼ばれるアドレスが振られ、世界中から直接アクセス可能な状態になっていた。

なぜ、「グローバルIP」が振られたのか?
一つのケースでは「USBモデム」と呼ばれる、パソコンのUSBポートに接続する小型のモデムを使っていた。
携帯電話の電波を受信してインターネットに接続するものだ。
このUSBモデム、端末や中に入れるSIMカードの仕様によっては、ルーターの機能がなく、「グローバルIP」が振られる。

いずれも、テレワークを始めるために、急ごしらえで通信環境を用意したために、設定をよく理解せず、接続したことが原因とみられる。
網屋が調べたところ、およそ4万3000台の顧客のパソコンのうち、6%で「グローバルIP」が振られ、外からパソコンが見える状態になっていた。
網屋の石田隆二さんは警鐘を鳴らす。
石田さん
「意図せぬ通信の穴で、決して小さい数字ではなく、6%のパソコンが攻撃を受けて、侵入され、そこをきっかけに社内のシステム全体に攻撃が拡大するおそれもある。自分がどういう通信方法でテレワークをしているか、確認することが重要だ」

リモートデスクトップの設定にも注意を

テレワーク時代のサイバーセキュリティーの「意図せぬ穴」。
専門家たちが口をそろえてリスクを指摘するのが、「リモートデスクトップ」と呼ばれる、パソコンのリモート接続の設定だ。
「リモートデスクトップ」は、ウィンドウズのサーバーの機能で、自宅のパソコンから会社のサーバーなどに接続して操作できるようにするもの。
ログイン画面にIDとパスワードを打ち込んで、利用する。
企業のサーバーの保守点検などに使われる機能だったが、コロナ禍に入って、テレワークのためにも多く使われるようになっている。

ただ、この機能を使う際にアクセスできる人を制限しないで使い始めると、ログイン画面が公開状態となり、誰でもパスワードを打ち込めるようになる。

コロナ禍に入って、このログイン画面を狙ったとみられる攻撃が日本で増えていることもわかってきた。
サイバーセキュリティー会社のカスペルスキーの解析では、ログインIDやパスワードを総当たりで打ち込む攻撃が、10月は1月の1.6倍に増えていた。

リモートデスクトップの穴をついたランサムウェアも?

このリモートデスクトップの穴をついて、ランサムウェア、身代金要求型ウイルスが仕掛けられたと見られるケースもある。
ある高校では、ことし4月の休校中に、職員が出勤してパソコンを立ち上げたところ、英語の脅迫文が送りつけられていた。
そして、生徒の進路先など重要な個人情報も含まれた共有サーバーのデータがすべて暗号化されていた。
このサーバーは保守管理のために、外部の業者が遠隔でアクセスできるよう、「リモートデスクトップ」の機能が使われていたが、設定の不備で第三者もアクセスできる状態になっていた。

ロシア語圏のものか

私たちは、この脅迫文の文面を提供してもらい、情報セキュリティ-会社・マクニカネットワークスの勅使河原猛さんに分析してもらった。
脅迫文のタイトルや連絡先のメールアドレスの書き方などの特徴から、高校を脅迫したのは、「マトリックス・ランサムウェア」と呼ばれる攻撃を仕掛けるグループだと推測された。
「マトリックス・ランサムウェア」を詳しく分析すると、攻撃先のサーバーがロシア語圏のものと分かると、攻撃を止める特徴があることがわかった。
逆に言うと、攻撃者のグループは、ロシア語圏を拠点とする可能性があるという。
これまでも特に「リモートデスクトップ」の設定の不備を狙って攻撃を仕掛けてきたグループだという。
勅使河原さん
「もともとリモートデスクトップを狙っている攻撃者が、コロナ禍に入ってリモートデスクトップの利用が増え、設定の不備も増えたことで、攻撃を強め、多くの被害を生んでいる可能性がある」
「リモートデスクトップ」のログイン画面を開けっぱなしにすると、サイバー攻撃の格好の餌食となる。
それにもかかわらず、設定の不備で、このログイン画面が公開された状態になっているケースが多い。
アメリカのセキュリティー会社、Rapid7の観測では、日本国内でログイン画面を公開しているサーバーは先月時点で11万ほどあるという。

リモート社会のリスクにどう向き合っていくのか

取材を通じて見えてきたのは、コロナ禍の中、急ごしらえでテレワークを導入する際などに設定の不備など、セキュリティーが甘い状態で接続してしまうケースが増えていることだった。
世界中の攻撃者たちは、その隙を逃さず、攻撃を仕掛けてきている。
吉岡准教授
「さまざまな形でネット接続が行われる中、接続の不備も増え、そこが狙い目であることに攻撃者も気付き始めている。しかし、実態は分かっていない部分も多く、被害が目に見えにくく、実感がわきにくい。常にリスクは隣り合わせにあることを認識して、基本的な対策を講じるとともに、一歩先に対策をとるという心構えが重要だ。また、リモート社会において、ユーザー側だけが常に気を張って警戒するのも望ましいことではなく、リモート接続のサービスを提供する側も安全機能を高めていくことが重要だ」
科学文化部記者
黒瀬 総一郎
ディレクター
前田 海一