宅配業者を装ったフィッシング詐欺は、年々巧妙化してお
リモートワークによって、組織は効率を高め、従業員に柔軟性を提供できるようになりました。 しかし、リモートワークにはサイバーセキュリティのリスクが伴い、データ侵害につながり、組織のセキュリティを危険にさらすことがよくあります。 リモートワークにおける 5 つのサイバーセキュリティリスクは、脆弱なパスワードの使用、安全でないインターネット接続、暗号化されていないファイル共有、攻撃対象領域の拡大、個人用デバイスの使用です。
ここでは、リモートワークにおける 5 つのサイバーセキュリティリスク、サイバー犯罪者がリモートワーカーを標的にするサイバー攻撃、そしてリモートワーク中に安全を確保する方法について、さらに詳しく説明します。
Keeperの無料トライアルで、パスワード管理をもっと簡単に。
安心・安全・便利を個人用30日間無料で体験しましょう
リモートワークにおける 5 つのサイバーセキュリティリスク
リモートワークには、データ侵害につながる可能性のあるセキュリティリスクが伴います。 リモートワークにおける 5 つのサイバーセキュリティリスクをご紹介します。
脆弱なパスワード
パスワードは、組織の大切なデータを保護するための最初のステップになります。脆弱なパスワードは、リモートワークの最大のリスクです。 直接監視することができないため、リモートワーカーはパスワードのセキュリティを無視し、脆弱なパスワードを使用する傾向があります。 脆弱なパスワードはサイバー犯罪者に簡単に解読され、リモートワーカーのオンラインアカウントや組織のセンシティブデータに不正アクセスされる可能性があります。 サイバー犯罪者は、高度なセキュリティソリューションを回避するよりも、人為的エラーを悪用する方が簡単だと感じています。
脆弱なパスワードの例
- 文字数が 16 文字未満
- 個人情報を含む
- 大文字、数字、特殊文字の欠如
- 連続した数字または文字を含む
- 一般的な辞書単語を使用する
- 複数のアカウントで再利用している
安全でないインターネット接続
リモートワーカーは、作業ファイルにアクセスするために、自宅や公共の WiFi ネットワークに頼らざるを得ません。 しかし、公共の WiFi ネットワークは暗号化されていないため安全ではなく、サイバー犯罪者が簡単に送信データを見たり盗んだりすることができます。 適切に保護されていれば、自宅の WiFi ネットワークは安全に使用できます。しかし、自宅の WiFi ネットワークが保護されていない場合、サイバー犯罪者にハッキングされ、接続された IoT デバイスにマルウェアを感染させられたり、暗号化されていないデータを閲覧されたりする可能性があります。
暗号化されていないファイルの共有
組織はしばしば、ネットワークに保存されたファイルを暗号化し、現場の従業員と安全に共有できるようにします。 しかし、適切なリソースがなければ、リモートワーカーはメールやその他のメッセージアプリなど、暗号化されていないファイル共有方法を使用することを選ぶかもしれません。 暗号化されていないファイル共有を使用すると、サイバー犯罪者が簡単にハッキングしてアクセスできるため、組織のセキュリティが危険にさらされる可能性があります。
攻撃対象領域の拡大
攻撃対象領域とは、サイバー犯罪者がシステムにアクセスしてデータを盗むことが可能なすべてのエントリーポイントを指します。 組織は、オンプレミスのセキュリティ環境の外で、リモートワーカーとシステムアクセスを共有する必要があります。 リモート従業員が組織のファイアウォールの外で働く場合、組織のセンシティブデータにアクセスするには、個人のインターネットネットワークを使用する必要があります。 IT 部門は、リモートワーカーが使用するデバイスやネットワークに対する制御が脆弱であり、パスワード、ウェブアプリケーション、ネットワークプロトコル、コーディング、システムアクセスポイント、API のセキュリティを保証することができません。 攻撃対象領域が拡大すれば、組織はシステムやデータへの不正アクセスのリスクを負うことになります。
個人用デバイス
組織は、従業員に作業を行うための必要な機器を提供します。 しかし、組織によっては、従業員に自分のデバイスを提供するよう求める場合もあります。 多くの個人用デバイスには、暗号化して保護するセキュリティソフトウェアや機能が搭載されていないため、これは大きなセキュリティリスクをもたらします。 個人の仕事用デバイスは、会社支給のデバイスよりもサイバー攻撃の影響を受けやすくなります。 また、多くの従業員は、個人用デバイスを仕事に関連しない作業にも使用します。 これにより、デバイスの侵害につながり、組織のセンシティブデータを危険にさらす可能性があります。
リモートワーカーを標的にする一般的なサイバー攻撃
サイバー犯罪者は、さまざまなサイバー攻撃を使用してリモートワーカーを標的にし、セキュリティの脆弱性を悪用します。 リモートワーカーを標的にする一般的なサイバー攻撃をご紹介します。
マルウェア
マルウェアは、サイバー犯罪者が感染を引き起こし、センシティブデータを盗み、デバイスに損害を与えるために使用する悪意のあるソフトウェアです。 サイバー犯罪者は、ソフトウェアのバグや人為的エラーなどのサイバーセキュリティの脆弱性を悪用して、ユーザーのデバイスに感染します。 サイバー犯罪者は、なりすましウェブサイト、トロイの木馬、マルバタイジング、フィッシング、エクスプロイトキット、ドライブバイダウンロード、以前にインストールされたマルウェアなど、さまざまな方法を使用してマルウェアを拡散させます。 IT管理者によるセキュリティ制御がなければ、リモートワーカーはマルウェアを誤って簡単にダウンロードしてしまい、デバイスや組織のデータを侵害される可能性があります。
フィッシング
フィッシングとは、サイバー犯罪者が被害者を騙して個人情報を開示させるサイバー攻撃の一種です。 サイバー犯罪者は、被害者がクリックするよう、悪意のある添付ファイルやリンクを含むメールやテキストメッセージを送信します。 ユーザーが悪意のあるリンクをクリックすると、なりすましウェブサイトに誘導され、デバイスにマルウェアがダウンロードされたり、個人情報を提供するように促されたりします。
サイバー犯罪者は、フィッシングを使用してユーザーのログイン認証情報を盗み、組織のセンシティブデータにアクセスさせることがよくあります。 適切なサイバーセキュリティトレーニングを受けなければ、リモートワーカーは簡単にフィッシング攻撃の被害に遭う可能性があります。
パスワード関連の攻撃
パスワード関連の攻撃は、サイバー犯罪者がパスワードを推測してオンラインアカウントや機微情報への不正アクセスを試みる場合に発生します。 サイバー犯罪者がリモートワーカーを標的にするのは、ほとんどの場合、脆弱で予測可能なパスワードを使用しているか、複数のアカウントで同じパスワードを再利用しているためです。
パスワード関連の一般的な攻撃には、以下のようなものがあります。
- ブルートフォース:サイバー犯罪者がプログラムやツールを使用して、試行錯誤しながらログイン認証情報を推測すること。 そのツールは、プログラミングに含まれるすべての文字、数字、記号の組み合わせを調べ、ユーザーのログイン認証情報を推測します。
- 辞書攻撃:サイバー犯罪者がツールを使用して、一般的に使用されている辞書の単語、フレーズ、パターン、およびこれらの単語のバリエーションを調べ、ユーザーのログイン認証情報を推測すること。
- クレデンシャルスタッフィング:サイバー犯罪者が、データ侵害、ダークウェブ、またはサイバー攻撃から検証済みのログイン認証情報のセットを入手し、それを使用して同じログイン認証情報を使用する複数のアカウントにアクセスすること。
- パスワードスプレー:サイバー犯罪者が、一般的に使用されるパスワードと検証済みのユーザー名のリストを、一致するまでペアリングしようとすること。 サイバー犯罪者は、一般的に使用されるパスワードを持つユーザー名のリストを調べあげ、別の一般的に使用されているパスワードを使ってプロセスを繰り返します。
中間者攻撃
中間者 (MITM) 攻撃とは、サイバー犯罪者が二者間で交換する送信データを傍受するサイバー攻撃の一種です。 サイバー犯罪者は、捏造された WiFi ネットワークや 公共の WiFi ネットワークを頼りにしており、これらのネットワークは暗号化されていないため、サイバー犯罪者は接続されたインターネットトラフィックをすべて閲覧できます。 MITM 攻撃により、サイバー犯罪者は送信データを盗聴、盗用、または改ざんできます。
リモートワーカーは、公共の WiFi ネットワークを使用したり、自宅の WiFi を保護しなかったりすると、MITM 攻撃の影響を受けやすくなります。 リモートワーカーが暗号化されていない WiFi ネットワーク上で取り扱いに細心の注意が必要となるファイルアクセスしている場合、サイバー犯罪者はそのファイルを閲覧して盗み出したり、ファイルを改ざんしてユーザーのデバイスにマルウェアを配信したりすることができます。
リモートワークで安全に作業を行う方法
リモートワークには、組織を危険にさらす可能性のある多くのサイバーセキュリティリスクが伴います。 従業員がリモートワーク中にオンラインで安全に作業できる方法をいくつかご紹介します。
強力でユニークなパスワードを使用する
オンラインアカウントが侵害されるのを防ぐために、リモートワーカーは強力でユニークなパスワードを使用する必要があります。 強力なパスワードは、サイバー犯罪者がユーザーのパスワードを解読することを困難にします。 また、サイバー犯罪者が複数のアカウントを侵害するのを防ぐため、パスワードはユニークでなければなりません。 強力なパスワードとは、大文字、小文字、数字、特殊文字を組み合わせたユニークでランダムなもので、少なくとも 16 文字以上のものです。 個人情報、連続した数字、文字、よく使用される辞書の単語を含めないようにします。
パスワードマネージャーを使用する
強力でユニークなパスワードを生成し、管理するために、リモートワーカーはパスワードマネージャーを使用する必要があります。 パスワードマネージャーは、個人の認証情報をデジタル暗号化ボルトに安全に保存し、管理するツールです。 パスワードマネージャーを使えば、個人情報は複数の暗号化レイヤーによって保護され、強力なマスターパスワードを使用してのみアクセスできます。 パスワードマネージャーは、脆弱なパスワードを特定し、それらを強化するように促すことによって、お使いのオンラインアカウントが保護されていることを保証します。 また、優れたパスワードマネージャーを使用すれば、パスワードやその他の重要な文書を組織で安全に共有することができます。
MFA を有効にする
多要素認証 (MFA) は、認証のために追加のステップを必要とするセキュリティプロトコルです。 リモートワーカーは MFA を有効にして、オンラインアカウントを不正アクセスから保護する必要があります。 MFA を有効にすると、リモートワーカーはアカウントにアクセスするためにログイン認証情報と追加の認証フォームを提供する必要があります。MFA は、さらなるセキュリティレイヤーを追加し、許可されたユーザーのみにアクセスを許可します。 ユーザーのログイン認証情報が侵害されたとしても、サイバー犯罪者は追加の認証を提供できないため、そのアカウントにアクセスできません。
ソフトウェアを最新の状態に保つ
サイバー犯罪者は、古いソフトウェアのセキュリティの脆弱性を悪用して、デバイスに不正アクセスし、マルウェアを配信します。 攻撃対象領域を減らし、サイバー犯罪者がセキュリティの脆弱性を悪用するのを防ぐには、ソフトウェアを常に最新の状態に保つ必要があります。 ソフトウェアアップデートは、セキュリティ上の欠陥にパッチを適用し、お使いのデバイスをより確実に保護するセキュリティ機能を追加します。
ウイルス対策ソフトウェアをインストールする
ウイルス対策ソフトウェアは、デバイスから既知のマルウェアを検知、防止、削除するプログラムです。 デバイスをスキャンして隠れたマルウェアを見つけ、安全に削除します。 高性能なウイルス対策ソフトウェアは、マルウェアの侵入を検知し、それがデバイスに感染する前に駆除することが可能です。 リモートワーカーは、仕事用デバイスにウイルス対策ソフトウェアをインストールし、マルウェアに感染して会社のデータが盗まれないようにする必要があります。
VPN を使用する
仮想プライベートネットワーク (VPN) は、インターネット接続を保護するサービスであり、IPアドレスをマスキングしてインターネット接続を暗号化することで、オンラインプライバシーを保護します。 VPN は、リモートワーカーがオンラインで匿名性を保つのに役立ち、自宅や公共の WiFi ネットワークなど、どこでもセンシティブデータに安全にアクセスできるようにします。 リモートワーカーは、VPN を使用して組織のセンシティブデータを暗号化し、サイバー犯罪者にそれを読み取られないようにする必要があります。
最新のサイバー脅威に関する知識を深める
リモートワークをしている間、従業員は最新のサイバー脅威について継続して学ぶ必要があります。 サイバー犯罪者は、組織を攻撃して機微情報を盗む新しい方法を開発しています。 従業員は、サイバー脅威を認識し、その被害に遭わないようにするために、サイバー脅威について学ぶ必要があります。
まとめ:Keeper®を使用してリモートワークのセキュリティリスクを低減
リモートワークにおける 5 つのサイバーセキュリティリスクは、脆弱なパスワード、安全でない WiFi ネットワーク、暗号化されていないファイル共有、攻撃対象領域の拡大、個人用デバイスの使用です。 しかし、リモートワーカーは、サイバーセキュリティのベストプラクティスを使用して、これらのリスクを軽減できます。 また、リモートワーカーはパスワードマネージャーを使用して、脆弱なパスワードの使用を避け、攻撃対象領域を削減し、安全にファイルを共有する必要があります。 パスワードマネージャーは、オンラインアカウントが強力でユニークなパスワードで保護されていることを保証し、デジタルボルトに保存されているすべてを暗号化し、安全なパスワード共有を可能にします。
この機会に、Keeper パスワードマネージャーの30日間の個人プランフリートライアルまたは、14日間のビジネスプランのフリートライアルを試してみてはいかがでしょうか。