2022/07/07

夏季休暇のためのサイバーセキュリティ対策 10 箇条

2022 年 7 月 7 日 Corey Nachreiner 著

休暇の季節がやってきました。多くの人が、旅立ち前のチェックリストを確認していることでしょう。フライト、ホテル、水着、ビーチサンダル、旅先でのアクティビティ、どのレストランで夕飯を食べるかなど、家族や友人との計画は尽きないのではないでしょうか。

ウォッチガードでは、家族や友人とのバケーションを心から楽しむために、「夏季休暇のためのサイバーセキュリティ対策 10 箇条」を用意しました。以下は旅行前、旅行中、そして旅行後にも注意すべき事項です。#CyberSafeSummer (サイバーセキュリティ万全の夏)を過ごすため、ぜひご覧ください。

  1. 重要なファイルは自身でもバックアップを:
    企業の多くでは、IT やセキュリティ部門が、自社が構築しているセキュアな共有手段や、自動バックアップ製品を使って、すでに社員の代わりにバックアップをとっているはずです。ただ、自社のバックアップポリシーが不明な場合は、自分でも重要なファイルはバックアップしておきましょう。自動でバックアップするツールもありますが、特定のフォルダに保存したファイル、ドキュメントを別の場所にコピーして、1 回限りのバックアップをとることも可能です。バックアップはローカルマシン以外の外部の媒体に保存するべきです。1 つの方法としては、USB ストレージデバイスにファイルのコピーを転送しておくのが簡単です。これにより、旅行から帰ってきた時に万が一何か起きていた場合でも、ファイルを元通りの状態に戻すことができます。ただ、すでに IT 部門がバックアップを用意している場合には無駄になる可能性もあります。また、社内ファイルの取り扱いについてポリシーが適用される場合もあるため、確認しておきましょう。
  2. 休暇中に使用しないすべてのコンピュータとデバイスの電源を切る:
    最近では、業務用、あるいは家庭用のコンピュータや IoT デバイスを毎日使用するのが普通で、常時オンにしたままで放置することも珍しくありません。常に待機状態にしておけば効率がいいのは間違いありません。しかし、リモートで接続をする必要な場合を除き、基本的に電源はオフにしてください。デバイスの電源がオンで、かつオンラインである場合、保護の状況にもよりますが、デバイスを攻撃に晒していることになります。電源がオフになっていれば、ハッキングの可能性はありません。数日間、あるいは数週間使用しないのであれば、シャットダウンして攻撃の可能性をなくすべきでしょう。もちろん防犯カメラなどモニタリングのための IoT デバイスはオンにしておかなければ意味がありませんが、もし使用する必要がないのなら、オフにしておきましょう。
  3. オフィスを離れる前にアップデートを:
    ソフトウェアを推奨に従ってアップデートせず、放置した場合、脆弱性への攻撃を許すことになりかねません。休暇に出る前に保留中のシステムアップデートを行い、戻ってきたらすぐに保留になっているアップデートを確認して適用するようにしてください。これについても、アップデートを強制的に自動化するプロセスやツールを IT 部門が実行しており、何もする必要がない場合もあります。しかし自動化されたソリューションがあっても、アップデートのための再起動にローカルユーザの承認を必要とする場合があります。出発前には必ず承認の上、アップデートを行ってください。
  4. フィッシング攻撃に注意:
    世の中は休暇の季節でも、サイバー犯罪者はフィッシング攻撃の獲物を探しています。パスワードの即時変更を求める内容や、サプライヤからの請求催促など、不審なメールを受け取った場合には十分に注意してください。既知の連絡先からのメールでも、フィッシングの可能性はあります。送信者のアドレスを確認し、もし疑問がある場合には開封や返信を控えてください。
  5. 適切な保護なしに、公共 Wi-Fi を使って自社のメールにアクセスしない:
    宿泊場所には公共 Wi-Fi があることでしょう。休暇中、自社のメールや社内ファイルなどにアクセスする場合、可能な限り公共 Wi-Fi の使用は避けてください。少なくとも、パスワードのある Wi-Fi ネットワークを利用し、不特定多数からの保護を心がけましょう。リモートワークが増えた昨今、IT 部門やセキュリティ部門が公衆ネットワークの利用を全面的に禁止しているわけではありませんが、利用するための要件は課せられています。使用する Wi-Fi ネットワークが、公衆ネットワークかプライベートネットワークかにかかわらず、自分や会社が管理していない場合は、マルウェア対策、ホストファイアウォールなどのエンドポイント保護機能をデバイスに搭載しておく必要があります。さらに、VPN で接続を暗号化し、公衆ネットワーク上の他のユーザが、電子メールなどを傍受できないようにする必要があります。公衆 Wi-Fi ネットワークは、旅行中に仕事をする場合には現実的な選択肢ですが、利用する際には必ず保護機能を使用してください。
  6. ダウンロードするのは信頼できるアプリのみにする:
    自由時間に、スマートフォン用ゲームや、写真やビデオを編集するアプリをダウンロードするかもしれません。もしレジャーに持って行くデバイスが、会社のアプリケーションやメールにアクセスするのと同じデバイスである場合は、十分に注意してください。悪意のあるアプリが会社のデータを含む携帯電話のすべてのデータにアクセスし、サイバー攻撃を受ける可能性があります。アプリケーションをダウンロードする場合は、既知の正規のソースとリポジトリ(例えば、モバイルデバイスでは Apple や Google の公式ストア、コンピュータであれば、Microsoft や Apple の App Store など)からのみ行うようにしてください。悪意のあるアプリでトラブルに巻き込まれる可能性が最も高いのは、非公式ソースからダウンロードした場合です。また、海賊版も避けましょう。ほとんどの国では違法であることに加え、本当に無料のものはほとんどなく、海賊版のアプリの多くにはマルウェアが含まれています。
  7. 個人情報を保護する:  
    情報を渡す場合は、タスクの完了に必要最低限なもののみに絞り、それ以上を渡さないでください。要求された情報が何に使われるのかに関しても、遠慮なく尋ねるべきです。パスポートやクレジットカードのスキャンは本当に必要なのか? 支払いが終わった後で、クレジットカード番号、有効期限、セキュリティコード(CVV 番号)が必要なのか?  安全であるべき個人情報を開示する前に、その結果をよく考えてから行動してください。
  8. どこに行くのか、どこにいるのか、といった詳細な情報をソーシャルメディアに投稿するのを控える:
    直接的にはサイバーセキュリティ対策にはなりませんが、アップロードされた情報が思わぬ形で不利益をもたらす可能性があることを考えると、休暇に関する情報はできるだけ少ないほうがよいでしょう。泥棒がこの情報を使って空き巣に入るかもしれませんし、ソーシャルエンジニアリングをする犯罪者がこの知識を利用して、より巧妙なスピアフィッシングメールを作成し、サイバー攻撃を引き起こすかもしれません。
  9. コンピュータに接続するものに注意する:
    USB による感染は、古いハッキング手法であるにもかかわらず、いまだによく見られます。取得した USB を接続することは、絶対に避けてください。
  10. 可能な限り、2 要素認証または多要素認証(2FA/MFA)を有効にする:
    攻撃者は、さまざまな方法でパスワードを盗みます。もし同一のパスワードを他の場所でも使いまわしていたら、これは問題です。マルウェアも、パスワードを盗むことができます。しかし MFA を利用していれば、たとえパスワードが知られても問題を回避できます。誰かがアカウントにログインしようとするたびに、携帯電話宛に承認メッセージが送信されるなど、何らかの第 2 認証要素も必要になるためです。これにより、認証情報を盗まれても、アカウントへの侵入ははるかに難しくなり、何より、使用しているサービスへ不正アクセスが試みられていることに対して、警告になります。
ボットネット「Cyclops Blink」への対応について(2022/2/24)