「え、こんなところからマルウェアに感染？」　BYODに潜む大きな“ワナ”：半径300メートルのIT

IIJの広報誌「IIJ.news」（出典：IIJのWebサイト）

　こちらの広報誌の中でも筆者が特に注目してほしいのは「インシデント対応の現場から」という記事です。ここでは多くの組織を狙う情報窃取型マルウェアの実態と注意喚起がまとめられています。認証情報そのものを奪われることで、「VPN機器」や「リモートデスクトップ」の脆弱（ぜいじゃく）性にきちんと対処していたとしても、正規のユーザーを装って堂々と正面突破されてしまう実情があります。

　組織が管理するデバイスであれば、それなりの防御機能が備わっているはずですので感染は防げそうなものですが、依然として被害が収まらない理由として、記事の中では最近以下のような不正アクセスのパターンが増加していると指摘されています。

実は、自宅と職場のPCで利用していた「Google Chrome」に同一のGoogleアカウントでログインしており、アカウントの同期機能によって職場のPCでWebブラウザに保存していた認証情報が自宅のPCへも同期されていました。そして、自宅のPCが情報窃取型マルウェアに感染した結果、情報漏えいが起きてしまったのです。

（IIJ.newsから引用）

　これまでも会社の資料を個人端末にコピーする行為は厳重に注意され、監視されてきました。しかし「組織の一員」と「個人」の境界が曖昧になる今、クラウド同期にも気を付けなければ、脆弱な部分が、防御が行き届いていない場所に露出するリスクがあります。

　IIJはこの問題への対策として「ネットワーク内に侵入されたり、認証情報が漏えいしたりすることを前提にしておくことが重要」だとしています。この他、同期機能を組織側がコントロールしてガバナンスを効かせることも大事でしょう。この際、利便性が下がる対策も併せて実施する必要があると思います。

便利な機能にはリスクも付き物と理解すべし

　先日、知人から「最新の『iOS』に搭載されたパスワード管理アプリは信頼できますか？」と相談を受けました。既にパスワード管理ツールを利用しているそうなので、「市販のアプリよりは劣るが、OSとの統合で使い勝手も良く、OSベンダーを信頼してそのベンダーのデバイスを使う分には、問題がない」と伝えました。OSベンダーがパスワード管理機能を提供することで、多くの人がこの利便性に気が付いてくれるものと期待しています。

　一方、パスワード管理を実施するための「アカウント」を防御する重要性はさらに増しています。具体的にはAppleアカウントやGoogleアカウント、Microsoftアカウントといった、OSと密着したアカウント群は、必ず二要素認証をオンにすることが求められます。加えて、デバイスが持つ生体認証機能を組み合わせ、記憶に頼らない仕組みを今こそ取り入れる必要があるでしょう。

　OSベンダーの認証情報が奪われると、そこにひも付くパスワード管理ツールの情報も奪われます。パスワードを暗記する必要がなくなったという利便性を得た分、重要なアカウントはしっかりと防御しなければなりません。少なくとも、この3つのアカウントについてはフィッシングにだまされないよう、気を付けましょう。

　具体的には、これもパスワード管理アプリに任せ、保存されている正しいドメインに対してパスワードが自動入力されているかどうかを確認しましょう。決して似ている、間違っているといったことを判断の基準にしないようにしてください。

　個人と組織の情報は、まずは「正しく分ける」ことが重要です。「会社のアカウントは自分のパスワード管理ツールに覚えさせない」を肝に銘じつつ、シングルサインオンや多要素認証は必ず実装しましょう。情報窃取型マルウェアの攻撃事例を考えつつ、技術と人の両面で安全を手に入れましょう。

著者紹介：宮田健（みやた・たけし）

元＠ITの編集者としてセキュリティ分野を担当。現在はフリーライターとして、ITやエンターテインメント情報を追いかけている。自分の生活を変える新しいデジタルガジェットを求め、趣味と仕事を公私混同しつつ日々試行錯誤中。

2019年2月1日に2冊目の本『Q＆Aで考えるセキュリティ入門　「木曜日のフルット」と学ぼう！〈漫画キャラで学ぶ大人のビジネス教養シリーズ〉』（エムディエヌコーポレーション）が発売。スマートフォンやPCにある大切なデータや個人情報を、インターネット上の「悪意ある攻撃」などから守るための基本知識をQ＆Aのクイズ形式で楽しく学べる。