SPECIAL
追跡!ネットアンダーグラウンド

コロナ禍のサイバーリスク 見つけた穴をふさげ

2020.12.04 :

コロナ禍、テレワークなどで使うリモート接続を狙ったサイバー攻撃が増えている。

特に狙われているのが、リモートデスクトップと呼ばれる機能だ。このログイン画面が意図せずに公開状態になっていることで、企業のサーバーに侵入されて機密情報を抜かれ、暴露されたくなければ金を払えと脅される暴露型の身代金要求攻撃を受けるなど、さまざまなサイバー攻撃の温床となると指摘されている。

そのリスクはどれだけ広がっているのか。私たちが、専用のサイトを使って調べてみると、リスクは、広範囲に及んでいることがわかってきた。私たちは、専門家とともに、そのリスク、セキュリティーの穴をふさぐために、企業などを直接訪ねる取材を進めた。

公開状態のリモートデスクトップが次々に...

自宅などから会社のサーバーに接続するための「リモートデスクトップ」機能。

ウィンドウズ標準の機能だが、会社の重要な情報が入っているサーバーなどに直接アクセス出来るため、ログイン画面は、限られた人だけが見られるようにしておくことが重要だ。

しかし、意図せず、誰でも見られる状態になっているケースが数多くあり、セキュリティーが甘い場合、攻撃者に侵入されかねない。
侵入されると、攻撃者はサーバーの中のデータを盗んだり、破壊したりすることが可能になる。さらにその人になりすまして、攻撃を広げることも出来る。さらに最近は、あらかじめ機密情報を盗んだ上で、暴露されたくなければ金を払えと脅す、暴露型の身代金要求攻撃も増えていて、その入り口になる可能性もある。
そのリスクはどれだけ広がっているのか。

私たちは、セキュリティー対策のために開発された専用のサイトを使って調べた。

検索の条件は、「リモートデスクトップのログイン画面が公開状態」かつ「リモートデスクトップを使うソフトウェアが脆弱性を抱えたまま」の端末だ。
その条件を打ち込んでみると、該当するものは、国内に6027個あった。

本来ならば限られた人しか見ることの出来ない、ログイン画面が次々と出て来た。

こんなものが見えて良いのだろうか、思わず息をのむ。

このログイン画面が公開状態だと、IDやパスワードをロボットを使って総当たりで打ち込まれるなどすれば、不正アクセスされてしまうおそれがある。

また、ソフトウェアの脆弱性があると、IDやパスワードを打ち込まなくても、特定の操作で、ログインを突破されてしまうおそれがある。

企業が特定出来る情報も

公開された状態になっているログイン画面をひとつひとつ見ていくと、企業に関する情報が含まれているものもあった。
たとえば、画面にアイコンがたくさん並んでいるケース。
複数の社員が、それぞれのアイコンからログインするようだ。
その中に、会社名とみられる表記があった。
グーグルを使って検索をしてみると、同じ名前の会社のサイトが出てきた。

その概要欄を見ると、代表取締役の名前が、画面に表示されているアイコンのアルファベットの名前と一致した。
サーバーの情報だけで企業がわかったケースもあった。

公開情報から、企業や組織がわかったのは、大手コンサルタント会社や、精密部品メーカー、学校法人など、30あまりにのぼった。

対策を呼びかけ

外部から侵入される危険にさらされている企業や組織が複数ある。

その結果を、横浜国立大学の吉岡克成准教授と佐々木貴之研究員に見てもらい、実際に危険性が高いことを確認した。

私たちは、危険性を報じるだけでなでなく、対策を促すための取材を進めることにした。

先生たちに同行をお願いし、対象の企業などを訪ねた。
まず向かったのは、関東地方にある自動車関連会社。

その会社は、ログイン画面だけでなく、サーバーの一部のデータも外部から見えてしまっていた。

見えていたデータのファイル名には、「出荷」とか「出庫」といった文字。

内部の在庫管理とか、内部のシステム系のプログラムのファイルが見えている可能性があるという。
佐々木研究員は指摘する。
「本来見えないもので、クリックすれば中身が見える可能性が高く、サーバーを停止させられてしまう恐れがある」
私たちは、この企業の担当者に、いったんインターネットから切り離して、システムを更新する必要があることを伝えた。

この会社はすぐに対応を取った。
取材の後、吉岡准教授は厳しい表情で話した。
「放置すると、侵入を受けたりということが実際にあり得るものなので、いつ、そういうことが起きてもおかしくなかった」
続いて、関西地方にある学校法人に向かった。

ここは、通信教育のデータを保存するサーバーが、外部からアクセスできる状態になっていた。

事前に伝えたところ、どう危険なのか知りたいと大勢の職員が集まった。
吉岡准教授は、「サーバーとして古いプログラムが動いていて、場合によっては、侵入されて、中の情報にアクセスされる」と伝えた。

これまで異変はなかったか聞き取ると、先月、別のシステムが集中的にアクセスを受け、不審に思っていたと言う。

私たちは、公開状態になっているログイン画面をその場で見せた。

佐々木研究員が
「ファイル共有サービスとかリモートデスクトップが見えている。ログイン画面が見えている」と淡々と伝えると、職員たちの表情はこわばった。
情報担当の職員は、「リモートワークをしているスタッフが仕事で使っているものではないか」と話した。

別の職員は、ログイン画面から、学校法人が抱えるほかのウェブサイトに侵入される可能性について尋ねた。
別の職員は、ログイン画面から、学校法人が抱えるほかのウェブサイトに侵入される可能性について尋ねた。

吉岡准教授は、「最悪のケースだと、このサーバーにコンピューターウイルスのようなものを埋め込まれ、アクセスした人がそこからもらってしまうとかいうことがゼロではない」と返した。

その上で、直ちにサーバーにアクセスできる人を必要な人だけに制限し、古いサーバーを更新する必要があると指摘した。

学校側は、すぐに対策を施し、セキュリティーを強化した。
担当者は私たちの取材にこう話した。
「ちょっと甘く見てたというはあると思う。やはりしっかりともう一回、学内のシステムを監査し直す、見直す必要はある」

セキュリティー意識に大きな差

今回、危険なセキィリティーの穴を見つけた複数の企業や学校法人などを複数取材した。

しかし、中には、問題はないと思っている、とか、一切相手にしない、という対応を取るところもあった。

具体的な情報を伝えた後も、今もサーバーが危険な状態のまま放置され続けているところもある。

印象的だったのは、連絡を取った後、取材に応じた会社は、従来から、セキュリティー対策に力を入れていたことだ。

関西地方の食品メーカーの場合、3、4年前から、専門の社員を採用して社内のセキュリティー対策を大幅に強化している最中で、予算に限りがある中、優先順位を付けながら対策を進めていたという。

私たちが見つけて、報告したサーバーは、まもなく更新予定だったといい、担当者は「穴を塞いでいったつもりだったが、最後の1台、残ってしまっていたか」と悔しそうな表情を見せた。
取材から見えてきたのは、会社や組織によって、セキュリティー意識に大きな格差があることだ。リモート社会が急速に広がり、攻撃者がリモート接続の弱点を狙う中、攻撃を防ぐ対策は明らかに追いついていない。一組織で問題に気付いて、対処するには限界がある中、国や業界団体などが対策を促していくことも重要だと感じた。
ご意見・情報をお寄せください

科学文化部記者

黒瀬総一郎

平成19年入局。岡山局、福岡局を経て平成26年から科学文化部。海洋や天文のほか、現在は、サイバーセキュリティーやAI倫理、ネット社会の問題を中心に取材。また、全国の水辺を巡って、ウナギやサンゴなど、生態系の保全や資源管理に関する取材を続けている。川で取ってきたニホンウナギを、長年、自宅で飼育し、体長は80センチに(すでに死亡)。

黒瀬総一郎記者の記事一覧へ

記事の内容は作成当時のものです

SPECIAL一覧に戻る