追跡 記者のノートから狙われる リモート社会

2021年3月16日事件

長引くコロナ禍の生活で、在宅でのテレワークを続けている人も多い。

WEB会議システムを毎日のように使い、ビジネスツールでさまざまなファイルをチームで共有する、私たちの仕事や暮らしのデジタル化、リモート化は一気に加速している。

しかし、その影で、悪質なサイバー攻撃が猛威を振るっていることが分かってきた。いったい、なにが起きているのか。

(科学文化部記者 黒瀬総一郎 / ディレクター 前田海一)

中小企業を狙い撃ちか

「験が悪いといいますか、もう廃棄してほしいというご依頼を受けております」

大阪市中心部の心斎橋。

私たちが、データ復旧を専門とする会社で見せてもらったのは、山積みにされた白い箱形の端末。

ハードディスクだ。
コロナ禍に入って、ランサムウェアと呼ばれる、身代金要求型のコンピューターウイルスに感染し、客が廃棄したものだという。

この会社は、もともと、動かなくなったハードディスクの修理を得意とし、地域の企業から頼られてきたが、コロナ禍に入ってから、ランサムウェアに関する相談が劇的に増加していた。

去年1月、2月は、それぞれ3件だったのが、6月には31件に増え、去年1年間では131件に上った。

被害は、NASと呼ばれるネットワークにつなぐハードディスクに集中している。

複数のパソコンからアクセスしてデータを共有する小型のファイルサーバーとして企業や個人でも広く使われてきたもので、コロナ禍でのテレワークの導入にともなってネットにつないで利用する中小企業が増えているという。

データ復旧会社=S&Eシステムズによると、去年10月に依頼を受けた、不動産会社の事例では、社外からNASにアクセスできるよう、インターネットに接続した途端、NASに保存していたファイルが暗号化され、開けなくなった。

ファイルは、会社の取引先や取引口座のデータ。暗号化を解くためには連絡を取って、10万円分のビットコインを支払えと、示された。

いわば、データを引き換えに身代金を要求された形だ。

「データが無ければ業務が続けられず、倒産してしまう」

不動産会社は、身代金を支払ってデータを取り戻すことを選択せざるを得なかった。

データ復旧会社=S&Eシステムズによると、去年1年間で、このように身代金が要求されたという企業からの相談は131件に上り、その半数近くが要求に応じるほかに打つ手がなかったという。

攻撃者は、企業の財務状況を見透かしたかのように、支払えるギリギリの額を提示してくるという。

S&Eシステムズの園田憲さんは次のように指摘する。

ハッカー(攻撃者)はビジネスライクに話をしてきます

園田さん

会社が倒れかねず、背に腹は代えられないことから、支払わざるをえない状況になってしまう会社が多いんです

不正アクセスを許した原因は、はっきりとは分からないが、NASをインターネット接続する際に、端末に外部からログインする際のパスワードを、単純なアルファベットの配列の初期設定のままにしているケースが多いという。

テレワーク中に南米からパスワード総当たり攻撃?

テレワークをする個人が、直接攻撃を受ける事例も報告されている。

東京 日本橋に本社を置く情報セキュリティー会社「網屋」は、去年4月から7月にかけて、テレワーク中の顧客からこれまでにない相談を相次いで受けた。

調べたところ、顧客は、「ログオンチャレンジ」と呼ばれる攻撃を受けていた。

IDやパスワードを総当たりで打ち込んで、認証を突破しようとするものだ。

個人のパソコンがこのような攻撃を受けることは珍しい。なぜなら、家庭でもカフェでも、ネットにつなぐときは、一般的には、「ルーター」を介して通信するため、外から直接、パソコンに振られたネット上の住所にあたる「IPアドレス」は見えない。つまり、そのパソコンには、外からアクセスできないからだ。

しかし、攻撃を受けたケースでは、いずれも「グローバルIP」と呼ばれるアドレスが振られ、世界中から直接アクセス可能な状態になっていた。

なぜ、「グローバルIP」が振られたのか?一つのケースでは「USBモデム」と呼ばれる、パソコンのUSBポートに接続する小型のモデムを使っていた。携帯電話の電波を受信してインターネットに接続するものだ。

パソコンに接続したUSBモデム

このUSBモデム、端末や中に入れるSIMカードの仕様によっては、ルーターの機能がなく、「グローバルIP」が振られる。

いずれも、テレワークを始めるために、急ごしらえで通信環境を用意したために、設定をよく理解せず、接続したことが原因とみられる。

網屋が調べたところ、およそ4万3000台の顧客のパソコンのうち、6%で「グローバルIP」が振られ、外からパソコンが見える状態になっていた。

網屋の石田隆二さんは警鐘を鳴らす。

意図せぬ通信の穴で、決して小さい数字ではなく、6%のパソコンが攻撃を受けて、侵入され、そこをきっかけに社内のシステム全体に攻撃が拡大するおそれもあります

石田さん

自分がどういう通信方法でテレワークをしているか、確認することが重要です

リモートデスクトップの設定にも注意を

テレワーク時代のサイバーセキュリティーの「意図せぬ穴」。

専門家たちが口をそろえてリスクを指摘するのが、「リモートデスクトップ」と呼ばれる、パソコンのリモート接続の設定だ。

「リモートデスクトップ」は、ウィンドウズのサーバーの機能で、自宅のパソコンから会社のサーバーなどに接続して操作できるようにするもの。
ログイン画面にIDとパスワードを打ち込んで、利用する。

企業のサーバーの保守点検などに使われる機能だったが、コロナ禍に入って、テレワークのためにも多く使われるようになっている。

ただ、この機能を使う際にアクセスできる人を制限しないで使い始めると、ログイン画面が公開状態となり、誰でもパスワードを打ち込めるようになる。

コロナ禍に入って、このログイン画面を狙ったとみられる攻撃が日本で増えていることもわかってきた。

サイバーセキュリティー会社のカスペルスキーの解析では、ログインIDやパスワードを総当たりで打ち込む攻撃が、去年10月は1月の1.6倍に増えていた。

リモートデスクトップの穴をついたランサムウェアも?

このリモートデスクトップの穴をついて、ランサムウェア、身代金要求型ウイルスが仕掛けられたと見られるケースもある。

ある高校では、去年4月の休校中に、職員が出勤してパソコンを立ち上げたところ、英語の脅迫文が送りつけられていた。そして、生徒の進路先など重要な個人情報も含まれた共有サーバーのデータがすべて暗号化されていた。

このサーバーは保守管理のために、外部の業者が遠隔でアクセスできるよう、「リモートデスクトップ」の機能が使われていたが、設定の不備で第三者もアクセスできる状態になっていた。

ロシア語圏のものか

私たちは、この脅迫文の文面を提供してもらい、情報セキュリティ-会社・マクニカネットワークスの勅使河原猛さんに分析してもらった。

脅迫文のタイトルや連絡先のメールアドレスの書き方などの特徴から、高校を脅迫したのは、「マトリックス・ランサムウェア」と呼ばれる攻撃を仕掛けるグループだと推測された。

「マトリックス・ランサムウェア」を詳しく分析すると、攻撃先のサーバーがロシア語圏のものと分かると、攻撃を止める特徴があることがわかった。逆に言うと、攻撃者のグループは、ロシア語圏を拠点とする可能性があるという。

これまでも特に「リモートデスクトップ」の設定の不備を狙って攻撃を仕掛けてきたグループだという。

勅使河原
さん

もともとリモートデスクトップを狙っている攻撃者が、コロナ禍に入ってリモートデスクトップの利用が増え、設定の不備も増えたことで、攻撃を強め、多くの被害を生んでいる可能性があります

「リモートデスクトップ」のログイン画面を開けっぱなしにすると、サイバー攻撃の格好の餌食となる。

それにもかかわらず、設定の不備で、このログイン画面が公開された状態になっているケースが多い。

アメリカのセキュリティー会社、Rapid7の観測では、日本国内でログイン画面を公開しているサーバーは去年10月時点で11万ほどあるという。

リモート社会のリスクにどう向き合っていくのか

取材を通じて見えてきたのは、コロナ禍の中、急ごしらえでテレワークを導入する際などに設定の不備など、セキュリティーが甘い状態で接続してしまうケースが増えていることだった。

世界中の攻撃者たちは、その隙を逃さず、攻撃を仕掛けてきている。

サイバーセキュリティーに詳しい横浜国立大学の吉岡克成准教授は、次のように指摘する。

吉岡准教授

さまざまな形でネット接続が行われる中、接続の不備も増え、そこが狙い目であることに攻撃者も気付き始めています

しかし、実態は分かっていない部分も多く、被害が目に見えにくく、実感がわきにくいのです。常にリスクは隣り合わせにあることを認識して、基本的な対策を講じるとともに、一歩先に対策をとるという心構えが重要です

また、リモート社会において、ユーザー側だけが常に気を張って警戒するのも望ましいことではなく、リモート接続のサービスを提供する側も安全機能を高めていくことが重要です

  • 科学文化部 黒瀬 総一郎 サイバー犯罪の取材は、福岡県警担当時代から。現在は、ホワイトハッカーを中心にサイバー攻撃の取材にあたる。サイバー空間とともに水辺空間の取材もライフワークとし、うなぎの取材にもあたる。

  • ディレクター 前田 海一

  • 追跡 記者のノートから

    GHQの秘密資金?「M資金」詐欺を調べてみた事件

    「手口はいわゆる『M資金』と呼ばれるものです」。深夜に開かれた記者レクで警察の幹部が口にしたこの言葉。「M資金って何?」・・・ 正直、知りませんでしたが、なぜか耳に残って離れません。私は「M資金」の持つ“魔力”を追うことにしました。

    2021年3月9日

  • 追跡 記者のノートから

    11月27日 同じ日に2つの家族が死んだ(後編)事件

    東京・町田市で夫婦が亡くなったのと同じ日、遠く離れた九州でも、家族の心中が起きていた。亡くなったのは、仲の良かったシングルファーザーと高校3年生の1人娘。全国各地で相次いでいる心中・・・「何かが起きている」。そう思いながら、取材を続けている。

    2021年3月5日

  • 証言 当事者たちの声

    息子が遺した1冊 ~ガラスが刺さった本が教えてくれたもの~事故

    突然のバス事故で亡くなった息子が、死の直前まで読んでいた1冊の本。ガラスの破片が刺さった本の一節には・・・ ―社会を変えるには、あなたが変わること。あなたが変わるには、あなたが動くことー こう書かれていました。その言葉に背中を押された男性の思いです。

    2021年3月3日

  • 父親の遺体と6年暮らした 息子が語ったのは…事件 社会

    「あなたにも気の毒な事情があったのではないかと思いました」 私は“背景事情を含めてもっと理解したい”と突然の訪問の趣旨を伝えた。55歳の息子は少し驚いたような様子だったが、「まあ、汚いですが」と言い招き入れてくれた。

    2021年9月16日

  • 上智大生殺害から25年 遺族に寄せられた新証言事件

    1996年に東京 葛飾区の住宅で上智大生が殺害され放火された事件は、未解決のまま9月9日に25年になります。警視庁は不審な人物についての新しい目撃情報をもとに似顔絵を作成、情報の提供を呼びかけています。

    2021年9月7日

  • 主婦は盗みを繰り返した~彼女が向かった先は事件

    2400万円もの現金を盗んだとして実刑判決を言い渡された30代の被告。法廷に立つ彼女は、夫と子どもがいる主婦だ。明らかになったのは生活苦をきっかけに盗みを始め、深みにはまっていった実態だった。

    2021年9月1日