キヤノンMJ/サイバーセキュリティ情報局
仕事とプライベートで同じアプリを使うハイブリッド環境、セキュリティ上のリスクは
本記事はキヤノンマーケティングジャパンが提供する「サイバーセキュリティ情報局」に掲載された「ハイブリッドワークで広がるコミュニケーションツールのリスク」を再編集したものです。
仕事や遊びを含め、生活自体がオンラインとオフラインが融合したハイブリッドな環境へ移り変わりつつある。こうしたハイブリッドな生活様式において、仕事とプライベートで同じアプリを使用している場合、セキュリティ上のリスクはないのだろうか。
コロナ禍で生まれたニューノーマルな生活様式は、企業や教育機関、日常生活に計り知れない影響を与えた。仕事とプライベートの両方で、コミュニケーションの多くはオンラインへ移行した。パンデミックとともに始まったオンライン化の流れに乗るために、多くの人や企業が試行錯誤しながらMicrosoft TeamsやZoom、Slackといったコミュニケーションツールの導入を始めた。そしてこれらのツールは対面でのコミュニケーションを補完するよう、コラボレーションツールや生産性向上ツールとしての統合が進められた。
SkypeやSkype for Businessを含め、コミュニケーションツールは「ニューノーマル」以前から使われていた。しかし、仕事や勉強、遊びがハイブリッド環境へ移る中、これらのコミュニケーションツールは爆発的に普及したのである。クラウドソリューションのように、ファイル共有、ワークフロー、インスタントメッセージなど、どこからでも容易に使えるようになった。ただし、便利なツールには欠点もある。
広く普及するプラットフォームは、サイバー犯罪者にとっても魅力的だ。クラウド型プラットフォームも例外ではなく、2020年におけるすべてのサイバー攻撃のうち、クラウド型プラットフォームに対する攻撃は20%を占めた。クラウドサービスの人気が揺るがない以上、攻撃者から標的にされ続けるだろう。そこで、Microsoft Teams、Zoom、Slackの3つのツールについて改めて考えてみたい。どれもビジネス用に開発されたアプリだが、その人気は高まり、ソーシャルコミュニケーションツールへと進化している。
Microsoft TeamsとZoom
2017年公開のMicrosoft Teamsは、急速に成長しているマイクロソフト社のアプリだ。Teamsは代表的なコミュニケーションツールと認識されており、パンデミック初期に爆発的な成長を遂げた。2020年から2021年にかけてTeamsの年間ユーザー数はほぼ倍増し、2022年には2億7000万人に達している。ほとんどのユーザーが生産年齢(35~54歳)に属している点が特徴的だ。Teamsは、開発時に想定されたビジネス用途にとどまらず、教育現場でも広く用いられるようになり、今では日常生活でも多用されている。
Microsoft Teamsはコミュニケーションツールの中でも利便性の高いアプリだが、リスクもある。2021年に発見された脆弱性では、悪用されてしまうと、不正侵入した攻撃者にメールやTeams内のメッセージ、OneDriveやSharePointに保存したファイルが盗まれる危険性があった。また、2022年8月のケースでは、攻撃者がコンピューターに不正侵入した場合、ディスク内にプレーンテキストで保存されたTeamsのアクセストークンを容易に盗めるというリスクも指摘されている。これらの事件からわかるように、クラウドソリューションはオンプレミス型に比べて標的にされやすい傾向があり、相応のセキュリティ対策が必要だ。
▼ハイブリッドワークプレイスのためのサイバーセキュリティの関連記事
「The hybrid workplace: What does it mean for cybersecurity?(ハイブリッドワークプレイスがサイバーセキュリティにもたらす影響とは)(英語のみ)」
「Protecting the hybrid workplace through Zero Trust security(ゼロトラストセキュリティによるハイブリッドワークプレイスの保護)(英語のみ)」
「Tackling the insider threat to the new hybrid workplace(新しいハイブリッドワークプレイスを内部脅威から守る方法)(英語のみ)」
クラウドセキュリティがハイブリッド型勤務の効果を高める理由
「Examining threats to device security in the hybrid workplace(ハイブリッドワークプレイスにおけるデバイスへの脅威を検証)(英語のみ)」
Zoom
近年、市民権を得たもうひとつのクラウド型ビデオ会議ツールがZoomだ。オンラインで仕事をしたり、交流したり、イベントに参加したりするようになったコロナ禍で、ピアツーピア型プラットフォームであるZoomは大きな成長を遂げた。イベントに参加する際、アカウントを作成する必要がなく、Zoomは完璧なツールのように思えた。加えて、機能を制限した無料版もある。
知ってのとおり、Zoomが広く用いられるようになるにつれ、セキュリティの専門家や悪意のある攻撃者からも注目されるようになった。同社の過失とは言えないセキュリティやプライバシーの問題を含め、2020年以降、Zoomは何度も注目を浴びた。広く報じられた一例としては、イギリスのボリス・ジョンソン元首相が閣僚会議向けのZoomミーティングIDを意図せず公開してしまい、批判を受けたことがある。閣僚会議が、Zoombombing(Zoom爆撃)として知られる盗聴リスクにさらされたのだ。
また、パンデミック初期には、ハッカーによるクレデンシャルスタッフィング(パスワードリスト攻撃の一種)攻撃で、50万件に及ぶZoomのユーザー名とパスワードが盗まれた。そのログイン情報は、ダークウェブから容易に取得可能な状態であった。ほかには、脆弱性の問題が挙げられる。macOS向けのZoomアプリで発見された脆弱性では、攻撃者がmacOSのデスクトップコンピューターでルートアクセスを取得できてしまうケースがあった。2022年前半には、グーグル社のProject Zeroチームにより、バッファオーバーフローと情報漏えいに関する脆弱性が報告された。修正が施されなければ、攻撃者がZoomミーティングを監視できてしまう恐れがあったのだ。これらの問題の中には、マルウェアにおいて最大の侵入経路とされるフィッシングなどのソーシャルエンジニアリング攻撃に悪用されるものもあった。
Slack
Slackも急成長を遂げるアプリのひとつだ。同社はメールの必要性を32%、ミーティングを27%削減できたと謳っているが、急激な成長後にダメージも受けている。Slackはチャット型プラットフォームで、ユーザーは音声通話、ビデオ通話、メッセージ送信、ファイル送信ができる。プライベートチャットやコミュニティー(ワークプレイス)を介して送受信できるのが特徴だ。多くの主要なOSに対応するSlackは、日次で1200万人以上のユーザーを有する。ある推計では、平均的なユーザーは少なくとも週に10時間はアプリを使用しているという。Slackは世界中で10万社以上に導入され、安全性の高いメッセージ機能が使える有料プラン「Slack Connect」は、1万社以上に利用されている。
しかし、Slackも脆弱性が発見されており、ユーザーが抱えるリスクも存在する。近年では、2019年に新たな脆弱性が発見されている。Windows向けデスクトップ版Slackの脆弱性を悪用した攻撃では、攻撃者によってSlackチャンネルから送付されたファイルのダウンロード先が変更された。そこから、攻撃者はマルウェアに感染させたり、情報を詐取しようとした。Slackにおいて、これが最初のセキュリティ問題ではなく、2015年には重大な欠陥が発見されている。Slackの大きな弱点のひとつとして、多くのユーザーが交流できるオープンコミュニティーとしての機能が挙げられる。Slackのオープンコミュニティー機能は、メールと同様、フィッシングやスパムの恰好の標的となっている。
おわりに
本記事ではTeams、Zoom、Slackといったアプリのセキュリティ問題を振り返った。脆弱性が修正されたとしても、セキュリティ問題は常につきまとうものだ。「ハイブリッドワークプレイス」は、姿を変えながら今後も広まっていくだろう。ビジネス用アプリとして始まったものが、ソーシャルコミュニケーションプラットフォームへと変化し、セキュリティやプライバシーに関するリスクは新たな局面を迎えた。
ビジネスからソーシャルへ用途が変わる中、Teamsなどのプラットフォームは、セキュリティリスクという新たな課題を抱えることとなった。しかし、単独でセキュリティ問題に取り組んでいるわけではない。一大勢力であるFacebookやTelegram、Bumbleといった人気のソーシャルアプリも同様に、姿を変えながら浸透してきた。Facebookなどのソーシャルアプリがビジネスユーザーに用いられるようになり、成長とともに新たなサイバーリスクがもたらされたのだ。
複数のクラウド型アプリを使いこなすようになった今、仕事や遊び、コミュニケーションは新たな次元へ引き上げられた。私たちはバーチャル環境に放り込まれた受動的な観客ではなく、自らのコミュニティーを形成し、他者へ影響を及ぼす能動的な参加者なのだ。現状のハイブリッド生活が不可避であることを考えると、残された道はひとつしかない。細心の注意を払いながら、大胆に一歩を踏み出すだけだ。
本記事は、サイバーセキュリティトレンド2023レポートの該当部分を改変したものである。ハイブリッドコマースやハイブリッドゲームに関する、ほかの記事にも目を通してほしい。
「CYBERSECURITY TRENDS 2023: Securing our hybrid lives(サイバーセキュリティトレンド2023:ハイブリッド生活を保護する)(英語のみ)」
[引用・出典元]
Hybrid work: Turning business platforms into preferred social spaces by Alžbeta Kovaľová 9 Jan 2023 - 11:30 AM
https://www.welivesecurity.com/2023/01/09/hybrid-work-turning-business-platforms-preferred-social-spaces/