logo

長引くコロナ禍の生活で、在宅でのテレワークを続けている人も多い。

WEB会議システムを毎日のように使い、ビジネスツールでさまざまなファイルをチームで共有する、私たちの仕事や暮らしのデジタル化、リモート化は一気に加速している。

しかし、その影で、悪質なサイバー攻撃が猛威を振るっていることが分かってきた。いったい、なにが起きているのか。

（科学文化部記者 黒瀬総一郎 / ディレクター 前田海一）

大阪市中心部の心斎橋。

私たちが、データ復旧を専門とする会社で見せてもらったのは、山積みにされた白い箱形の端末。

ハードディスクだ。
コロナ禍に入って、ランサムウェアと呼ばれる、身代金要求型のコンピューターウイルスに感染し、客が廃棄したものだという。

この会社は、もともと、動かなくなったハードディスクの修理を得意とし、地域の企業から頼られてきたが、コロナ禍に入ってから、ランサムウェアに関する相談が劇的に増加していた。

去年1月、2月は、それぞれ3件だったのが、6月には31件に増え、去年1年間では131件に上った。

被害は、NASと呼ばれるネットワークにつなぐハードディスクに集中している。

複数のパソコンからアクセスしてデータを共有する小型のファイルサーバーとして企業や個人でも広く使われてきたもので、コロナ禍でのテレワークの導入にともなってネットにつないで利用する中小企業が増えているという。

データ復旧会社＝S＆Eシステムズによると、去年10月に依頼を受けた、不動産会社の事例では、社外からNASにアクセスできるよう、インターネットに接続した途端、NASに保存していたファイルが暗号化され、開けなくなった。

ファイルは、会社の取引先や取引口座のデータ。暗号化を解くためには連絡を取って、10万円分のビットコインを支払えと、示された。

いわば、データを引き換えに身代金を要求された形だ。

不動産会社は、身代金を支払ってデータを取り戻すことを選択せざるを得なかった。

データ復旧会社＝S＆Eシステムズによると、去年1年間で、このように身代金が要求されたという企業からの相談は131件に上り、その半数近くが要求に応じるほかに打つ手がなかったという。

攻撃者は、企業の財務状況を見透かしたかのように、支払えるギリギリの額を提示してくるという。

S＆Eシステムズの園田憲さんは次のように指摘する。

不正アクセスを許した原因は、はっきりとは分からないが、NASをインターネット接続する際に、端末に外部からログインする際のパスワードを、単純なアルファベットの配列の初期設定のままにしているケースが多いという。

テレワークをする個人が、直接攻撃を受ける事例も報告されている。

東京 日本橋に本社を置く情報セキュリティー会社「網屋」は、去年4月から7月にかけて、テレワーク中の顧客からこれまでにない相談を相次いで受けた。

調べたところ、顧客は、「ログオンチャレンジ」と呼ばれる攻撃を受けていた。

IDやパスワードを総当たりで打ち込んで、認証を突破しようとするものだ。

個人のパソコンがこのような攻撃を受けることは珍しい。なぜなら、家庭でもカフェでも、ネットにつなぐときは、一般的には、「ルーター」を介して通信するため、外から直接、パソコンに振られたネット上の住所にあたる「IPアドレス」は見えない。つまり、そのパソコンには、外からアクセスできないからだ。

しかし、攻撃を受けたケースでは、いずれも「グローバルIP」と呼ばれるアドレスが振られ、世界中から直接アクセス可能な状態になっていた。

なぜ、「グローバルIP」が振られたのか？一つのケースでは「USBモデム」と呼ばれる、パソコンのUSBポートに接続する小型のモデムを使っていた。携帯電話の電波を受信してインターネットに接続するものだ。

このUSBモデム、端末や中に入れるSIMカードの仕様によっては、ルーターの機能がなく、「グローバルIP」が振られる。

いずれも、テレワークを始めるために、急ごしらえで通信環境を用意したために、設定をよく理解せず、接続したことが原因とみられる。

網屋が調べたところ、およそ4万3000台の顧客のパソコンのうち、6％で「グローバルIP」が振られ、外からパソコンが見える状態になっていた。

網屋の石田隆二さんは警鐘を鳴らす。

テレワーク時代のサイバーセキュリティーの「意図せぬ穴」。

専門家たちが口をそろえてリスクを指摘するのが、「リモートデスクトップ」と呼ばれる、パソコンのリモート接続の設定だ。

「リモートデスクトップ」は、ウィンドウズのサーバーの機能で、自宅のパソコンから会社のサーバーなどに接続して操作できるようにするもの。
ログイン画面にIDとパスワードを打ち込んで、利用する。

企業のサーバーの保守点検などに使われる機能だったが、コロナ禍に入って、テレワークのためにも多く使われるようになっている。

ただ、この機能を使う際にアクセスできる人を制限しないで使い始めると、ログイン画面が公開状態となり、誰でもパスワードを打ち込めるようになる。

コロナ禍に入って、このログイン画面を狙ったとみられる攻撃が日本で増えていることもわかってきた。

サイバーセキュリティー会社のカスペルスキーの解析では、ログインIDやパスワードを総当たりで打ち込む攻撃が、去年10月は1月の1.6倍に増えていた。

このリモートデスクトップの穴をついて、ランサムウェア、身代金要求型ウイルスが仕掛けられたと見られるケースもある。

ある高校では、去年4月の休校中に、職員が出勤してパソコンを立ち上げたところ、英語の脅迫文が送りつけられていた。そして、生徒の進路先など重要な個人情報も含まれた共有サーバーのデータがすべて暗号化されていた。

このサーバーは保守管理のために、外部の業者が遠隔でアクセスできるよう、「リモートデスクトップ」の機能が使われていたが、設定の不備で第三者もアクセスできる状態になっていた。

私たちは、この脅迫文の文面を提供してもらい、情報セキュリティ－会社・マクニカネットワークスの勅使河原猛さんに分析してもらった。

脅迫文のタイトルや連絡先のメールアドレスの書き方などの特徴から、高校を脅迫したのは、「マトリックス・ランサムウェア」と呼ばれる攻撃を仕掛けるグループだと推測された。

「マトリックス・ランサムウェア」を詳しく分析すると、攻撃先のサーバーがロシア語圏のものと分かると、攻撃を止める特徴があることがわかった。逆に言うと、攻撃者のグループは、ロシア語圏を拠点とする可能性があるという。

これまでも特に「リモートデスクトップ」の設定の不備を狙って攻撃を仕掛けてきたグループだという。

「リモートデスクトップ」のログイン画面を開けっぱなしにすると、サイバー攻撃の格好の餌食となる。

それにもかかわらず、設定の不備で、このログイン画面が公開された状態になっているケースが多い。

アメリカのセキュリティー会社、Rapid7の観測では、日本国内でログイン画面を公開しているサーバーは去年10月時点で11万ほどあるという。

取材を通じて見えてきたのは、コロナ禍の中、急ごしらえでテレワークを導入する際などに設定の不備など、セキュリティーが甘い状態で接続してしまうケースが増えていることだった。

世界中の攻撃者たちは、その隙を逃さず、攻撃を仕掛けてきている。

サイバーセキュリティーに詳しい横浜国立大学の吉岡克成准教授は、次のように指摘する。