テレワークが普及する中、セキュリティ対策に追われる組織や企業は多いのではないでしょうか。三菱重工が公開したインシデントレポートは、まさにテレワーク「あるある」の状況で起こった攻撃を明らかにしています。しかし、その中で挙がった要因の一つは、テレワーク以前にどうにかできたはずで、多くの組織で放置されがちなものでした。
当社グループの従業員が、在宅勤務時に自宅で社内ネットワークを経由せずに外部ネットワークへ接続、SNS(ソーシャル・ネットワーキング・サービス)を利用した際に、第三者から受領したウイルスを含んだファイルをダウンロードしたことにより、当該従業員の社有PCが感染。
レポートによれば、SNSにおいて第三者からウイルスを含んだファイルを受領、ダウンロードしたこと(恐らくファイルを実行したという意味)で社用PCが感染しました。感染したPCの持ち主はその後5月7日に“出社”したとありますので、テレワーク主体だったというわけではなさそうです。社用PCがオフィスの外でウイルスに感染し、それが社内に持ち込まれるという、非常に典型的な事例であるといえます。
テレワークを実施している組織なら、同じような事態が発生する可能性は非常に高いでしょう。ポリシーとしてSNSの利用を禁止するのは簡単ですが、制度で従業員の行動を制限するよりは、ITの仕組みで防いだ方が、やはり確実かと思います。
三菱重工は今回の侵入を受けた今後の対策として「強制的に社内ネットワークを経由する処置(VPN強制接続)を適用」したとしています。さらにリスクを低減しようとするならば、SIMを直接差し込めるモバイルPCを導入し、4Gからインターネットを経由しない閉域網ネットワークを活用することになるでしょう。「今後はモバイルPCの調達戦略も大きく変わるのではないか」と考えています。
そしてもっとも注目すべきは、今回明らかになったSNS以外の要因です。その一つは、多くの人にとって覚えがありそうな“ITを管理する側の落ち度”でした。
影響範囲が当該従業員の社有PCから他機器に広がった要因として、同地区の一部のサーバのローカル特権アカウントに対し、同じパスワードが設定されていたことが考えられます。
(特権アカウントを悪用され他機器にログインされたものと考えております。)これらに対し、ローカル特権アカウントのパスワードを全て異なるものに変更する対策を実施済みです。
これは、ウイルスに感染した社用PC内から読み取られたパスワードと、サーバの特権アカウント(administratorやrootなど)のパスワードが同じだった、つまり「パスワードの使い回しがあった」ということです。パスワードの使い回しは、どのような場合であっても推奨できるものではありません。特権アカウントならばなおさらです。
これこそ、三菱重工のインシデントレポートが教えてくれる「あなたにも今日からできる対策」です。この事故を無駄にしないためにも、まずは特権アカウントのパスワードだけでも使い回しをしないよう、設定を見直してみてください。もちろん、サーバの管理者アカウントが「共有」されている場合は、その運用を見直すことを強くお勧めします。
自分が“普通”だと思っていることが、実は普通ではなかった――。そんなことが、世の中には往々にしてあります。セキュリティの常識も、誰もが“当たり前”だと思っていながら、きちんとそれに沿った対策ができていないというのが現状でしょう。そのため、こういった事件、事故の原因を読むと、人ごとのように「なぜこんな単純なことができていないのだ!」と思ってしまうのではないでしょうか。自分の組織が全く同じことをしているかもしれない可能性を棚に上げながら……。
ですので、こういったレポートを見たときには、どんなに原因が単純だったとしても、人ごととは思わず「もしも自分だったら?」と考えてみることが重要です。ぜひ、このレポートを読み直し、そこから自分ごととして学べることはないか、もう一度チェックしてみてください。きっと今日から改善できる点が見つかるはずです。その小さな一歩こそが、自分の周囲の世界をもっと安全にする最初のステップになるはずです。