安心して参加できる空間を作ることも求められる
ここ数年で、オンラインでのミーティングは当たり前のものだった。仕事では、会議だけではなく、面接に使われることも多い。学校の授業などでも利用される機会は増えてきた。また、帰省がむずかしいときに、実家の家族とビデオ通話で会話したことがあるだろうか。
その一方で、皆が使っている技術は、サイバー犯罪者の標的になりやすいものだ。有名な被害としては、招待されていない人物が、リモートでの会議や授業などに乱入し、妨害するというものがある。
これは、開催される会議のURLがどこかで公開されたり、パスワードの設定に問題があったりして、第三者が侵入できるようになっているケースが多い。利用者が増えてきた現在では、こういったところのセキュリティに気をつけるのは基本だ。
そこで、URLを参加者以外に公開しない、パスワードは複雑なものにする、というのは基本。さらにいえば、オンラインといえども、現実の社会で会話する延長にあるのは同じだ。
外部からの参加を制限する機能を利用するだけでは、十分とはいえない。安心して参加できる空間を作るようにすることも求められてくる。また、自分が参加者であれ、運営側であれ、マナーを守って利用することが大切だ。
アプリそのものはもちろん
「録音」やフィッシング詐欺にも注意
リモート会議や授業が当たり前の今だからこそ、気をつけるべきリスクはなんだろうか。
アプリやOSなどを最新版にしておくのは基本。多要素認証のサポートなどはもちろん、プライバシーポリシー(サードパーティーとの共有)の内容はどうなっているかを確認し、サービスの悪意のある使用はされていないかという点もチェックしきたい
また、多くのアプリでは録音が可能であることも覚えておくべきだ。アプリにそういった機能がないとしても、参加しているユーザーなら、アプリ外での画面を録画、音声を録音が可能なことは留意しよう。
“リモートでのリスク”としては、オンライン会議ツールの参加に見せかけたフィッシングメールも注意すべき存在だ。たとえば、「これから会議が始まります」と文面に書かれているのだが、そのメールのURLからアクセスすると、フィッシングサイトに誘導されてしまうというものだ。
これらは、まさにリモートでの会議や講義などが普及してきた時代を背景にした犯罪。先ほど、「URLを参加者以外に公開しない」と注意点を挙げたが、メールからの参加が必要なときは注意が必要といえる。
また、仮想プライベート ネットワーク(VPN)を使えば、ネットワーク上のデータのセキュリティと暗号化を強化できる。たとえばマカフィーでは、マカフィー トータルプロテクションおよびマカフィー リブセーフなどのスイート製品経由でVPN機能「セキュアVPN」が利用できるほか、VPNサービスに特化した「マカフィー セーフコネクト」という製品もある。
リモートにまつわるリスクを深く知るため、McAfee Blogから、アメリカのリモート講義などで使われるソフトの脆弱性について解説した「遠隔授業を安全に執り行う: Netop Vision Proについて知っておくべきこと」を紹介しよう。(せきゅラボ)
※以下はMcAfee Blogからの転載となります。
遠隔授業を安全に執り行う:
Netop Vision Proについて知っておくべきこと:McAfee Blog
遠隔学習やハイブリッド学習のための環境を用意することは今や必須となっていますが、その状況が変化する可能性も否めません。この状況に適応するために、多くの学校ではリモートでの教室運営をサポートするソフトウェアを新しく導入しました。
そのうちの一つが、Netop Vision Proです。教師がオンライン学習を円滑に運営できるようにするモニタリングシステムです。このソフトウェアを使うと、教師は生徒のデバイスのロック、Webへのアクセスのブロック、デスクトップの遠隔操作、アプリケーションの実行、ドキュメントの共有などのタスクを生徒のコンピューター上で行うことができます。しかし最近、McAfee Advanced Threat Research (ATR) チームが、Netop Vision Proの脆弱性を発見し、ハッカーはこの脆弱性を悪用して、生徒のコンピューターを完全にコントロールできることがわかりました。
これらの脆弱性について詳しく知ることで、仮想教室で生徒を保護する方法を見つけましょう。
マカフィーがNetop Vision Proの脆弱性を特定した方法
学校の化学のプロジェクトと同じように、当社の研究者は潜在的なソフトウェアのバグに関する仮説を確かめるため、シミュレーションを作成しました。McAfee ATRチームは、ローカルネットワークに接続した4台のデバイスが参加する仮想教室を模したNetopソフトウェアを設定しました。3台のデバイスは生徒用、残りの1つは教師用です。設定の最中、チームは生徒用プロフィールと教師用プロフィールの間に異なるレベルの権限が存在することに気が付きました。そこで生徒用プロフィールを標的にするとどうなるか観察してみることにしました。より大きな被害をもたらすために、ハッカーが取りうる手段だと考えられるためです。この実験用の設定を使って、サイバー犯罪者の気持ちになって考えてみましょう。
仮想教室を観察していると、ATRチームはすべてのネットワーク通信 (Windowsの認証情報のような機密情報を含む) が暗号化されておらず、設定中に暗号化を有効にするオプションもないということを発見しました。チームはまた、仮想教室に接続している生徒は知らぬ間に教師にスクリーンショットを送信していることにも気が付きました。
さらに、教師は生徒にネットワークパケット (インターネットデータが入った小さなセグメント) を送信し、仮想教室に接続するよう促すことができることにも気が付きました。これらの情報を元に、チームはコードを変更して教師になりすますことに成功しました。そこから、ハッカーが侵害された接続をどのように利用するかを探り始めました。
McAfee ATRチームは、Netop Vision Proのチャット機能に目を向けました。教師は生徒のコンピューターにメッセージやファイルを送信したり、同様にファイルを削除することもできます。教師が送信したファイルはすべて「作業ディレクトリ」に保管され、生徒はインスタントメッセージ (IM) ウィンドウからディレクトリを開くことができます。チームが発見した通り、ハッカーが教師になりすますことができるとすると、この機能を使用して既存のファイルを上書きしたり、生徒に悪意のあるファイルをクリックするよう仕向けることもできるということになります。
Netop Vision Proの脆弱性がもたらす危険性
もちろん、子どもたちが勉強についていくためには、リモート学習ソフトウェアは現在欠かせないものです。しかし、これらのプラットフォームを使用するにあたって、知識を付けて生徒のプライバシーを保護することが重要です。Netop Vision Proで生徒用画面を共有してもらうことが生徒が仮想教室にきちんと参加することにつながる有効なオプションのように思えますが、ハッカーが生徒のデバイスにあるコンテンツを盗み見ることを許すことになる可能性があります。教師が生徒をリアルタイムで監視することができる一方で、生徒のプライバシーが危険にさらされるとも言えます。
ハッカーが変更されたコードを用いて教師になりすました場合、生徒のコンピューターにマルウェアやフィッシング詐欺のリンクを含む悪意のあるファイルを送ることも可能になります。Netop Vision Proの生徒用プロフィールには、生徒のネットワークログイン状況も毎2、3秒ごとに更新されて表示されています。これにより、攻撃者は攻撃が学校全体に与える影響を推し量ることができます。
さらに、ハッカーは脆弱なソフトウェアを使用することで、すべてのターゲットシステムを完全に制御することができ、仮想空間だけでなく物理的な環境にまで攻撃を及ぼすことが可能になります。ハッカーはターゲットシステムのWebカメラとマイクを有効にし、物理的にお子様や周辺環境を観察することができるかもしれないのです。
特定された脆弱性に対するマカフィーの対応
当社の研究者は発見されたすべての脆弱性をNetopに報告し、Netopからすぐに回答を受け取りました。最新のソフトウェアリリース (バージョン9.7.2) で、NetopはMcAfee ATRチームが発見した問題の多くに対処しました。生徒はシステムファイルを上書きできなくなり、それにより生徒のコンピューターが勝手に制御される可能性が低くなりました。さらに、Windowsの認証情報はネットワークに送信される際に暗号化されるようになりました。Netopは今後のアップデートで全ネットワークの暗号化を実装する計画があるとも話してくれました。これにより、攻撃者が簡単に生徒の画面を盗み見たり、教師になりすますことを防ぐことができます。
Netopがこれらの問題解決に社内で取り組んでいる間、子どもたちを仮想教室で守るために保護者ができることがいくつかあります。以下のヒントを確認し、ご家族がサードパーティの教育プラットフォームを安心して使用できるようにしましょう。
1. リモート学習ソフト専用のデバイスを使用する
お子様がNetop Vision Proやその他のサードパーティソフトウェアを遠隔学習に使用する必要がある場合は、教育目的のみに使用するデバイス上だけでこれらのテクノロジーを使用するようにしましょう。ソフトウェアにバグが含まれていると、オンラインバンキングや電子メール、リモートワークなどに使用される他の重要なアカウントがソフトウェアのリスクにさらされることになります。デバイスを分けることでこうしたリスクを回避することができます。
2. 包括的なセキュリティソフトウェアを使用する
Netop Vision Proはインターネットに接続する目的や、学校のネットワークから遮断した状態で使用する目的で開発されていないということを覚えておきましょう。次のシナリオをハッカーの立場から考えてみましょう。ハッカーはこれらの脆弱性を利用して、悪意のあるペイロード (損害を与えるサイバー攻撃の一種) やフィッシング攻撃を仕掛けてくるでしょう。お子様をこうした脅威から保護するには、マカフィー トータルプロテクションのような包括的なセキュリティソリューションを活用することが重要です。家族全員を最新の脅威やマルウェアから保護し、安全なWeb閲覧を提供します。
3. お子様の学校とオープンなコミュニケーションを取り続ける
教育者は生徒の利益と安全を一番に考えたいと思っています。遠隔学習に使用しているソフトウェアに関して懸念がある場合は、お子様の先生や校長に相談しましょう。お子様がNetopを使用する必要がある場合は、先生または校長が先に述べた脆弱性を認識していることを確認してください。そうすることで学校側は必要なソフトウェアのアップデートを管理し、お子様やクラスメイトの安全を守ることができます。
4. Webカメラカバーを使用する
ハッカーの覗き見を防ぐ簡単で効果的な方法は、授業が行われていないときはWebカメラカバーを使用することです。カメラを使わないときはカバーを付けるよう、お子様に伝えましょう。
最新情報を入手する
マカフィーに関する最新情報や、モバイルセキュリティの脅威に関する最新情報を入手するには、Twitterで@McAfee_JPをフォローするか、電子メールを購読するか、PodcastでHackable?を聴くか、マカフィーのFacebookで「いいね」を押してください。
※本記事はアスキーとマカフィーのコラボレーションサイト「せきゅラボ」への掲載用に過去のMcAfee Blogの人気エントリーを編集して紹介する記事です。
■関連サイト
