新型コロナ・ウィルス（COVID-19）蔓延時における
サイバー態勢の維持、強化

COVID-19蔓延の状況においても、クライアントおよびステークホルダーにビジネス成果をお届けするために、私たちは働き方を大きく変えています。この危機的状況の中で、組織が生き残り業績を伸ばしていくためには、サイバーの危機対応力を維持、強化することが最も重要です。

前回のRisk Alertでは、COVID-19がアジアで猛威をふるう中、次の3つの主要分野に焦点を当てました。

• フィッシングに対する防御: 2月にはすでにCOVID-19関連のフィッシング攻撃が確認されており、最近でも、こちらのblog post にあるとおり議論がなされています。以下にご説明のとおり、これはCOVID-19の蔓延拡大に伴い増加しました。
• テストシステムの準備: 「在宅勤務」プロトコル導入について、スムーズな移行のために組織がとるべき手段
• 混乱への備え: 防止策に限度があることを認識し、効果的なサイバーインシデントに対する企業の準備

状況の変化に伴い、現在組織が直面している3つの主要なサイバー脅威を詳しく見ていきましょう:

• Phishing, Vishing and Smishing –　脅威に関する情報収集を含む複数の企業のレポートによると、2019年と比較して、先月のmalicious emailは大幅に増加しています。これらのメールの多くは、COVID-19に関する公式な情報になりすましているため、シンガポール通貨庁、国連、世界保健機関はすべて、このようなメールについて注意喚起を呼びかけています。
  
  Vishing（電話によるフィッシング詐欺）およびSmishing（テキストメッセージまたはWhatsAppによる詐欺）攻撃も頻繁に増加しており、社員やクライアントが携帯電話を介して接続することが多い自宅環境からの勤務では、脆弱性によるリスクが高まります。Short message attacksは、ユーザー情報取得のため、安全性の損なわれたWebサイトにリダイレクトさせようとします。
• Social Engineering – Phishing, Vishing および Smishing攻撃はすべて、個人の行動を巧みにコントロールしようとしますが、Social Engineeringと呼ばれる最も一般的な攻撃には、なりすましのビジネスメールアカウントや、偽のメールアドレスを利用した資金の不正要求が含まれます。これは悪意のある攻撃者にとってよく利用される手法であり、社員が指示された内容の適正を確認することが困難な状況（例：同僚と直接連絡がとれない状況）でより被害が生じる傾向にあることがわかっています。サイバーを用いた犯罪は世界全体で過去５年以内に120億米ドルを超える損失を引き起こしています。Aon's 2020 Cyber Security Risk Reportで詳しく説明していますので是非ご覧ください。
• Non-malicious disruption –ランサムウェアとdenial of service attacks（DOS攻撃）はシステムの可用性に対する脅威ですが、企業の内部および外部のネットワークへの過負荷も”悪意のない中断”としてリスクにさらされることとなり、これらも同様に金銭的損害を引き起こすことがあります。オーストラリアでは、政府のオンラインサービスサイトに障害が生じた理由についてDistributed-Denial-of-Service Attack（拡散型DOS攻撃）が原因であると当初考えられましたが、その後政府はWebサイトが過負荷状態であったことを認めました。また米国ではシステム障害によりオンライン取引が2日間に渡りすべて無効となり、直接的な経済的損失が発生して顧客の信頼喪失を招いたという事例も報告されています。

これらの脅威を認識することは重要な最初のステップですが、増大するリスクへどのように対応するかが組織にとっての今後の分かれ道となります。技術的対策、すなわちファイアウォール、ウイルス対策およびエンドポイント検出および応答ソフトウェア、多要素認証と仮想プライベートネットワークの使用、データ暗号化、およびシステムの負荷テストなどが重要です。

技術的ではない観点 - エンタープライズ・リスクの観点から脅威について考えると、企業が直ちに以下3つのステップを検討することをお勧めします（さらに、すべて自宅で行うことができます）。

• トレーニングと教育–定期的に従業員に対するスペア・フィッシング攻撃をシミュレーションする必要があります。フィッシングに対する優れたトレーニングとは、脅威の全体状況、COVID-19の状況にとともに進化していくトレーニングのことです。様々な状況を想定した攻撃シミュレーションを実施することで、例えばITヘルプデスクからの在宅勤務状態のチェックを装った攻撃などのサイバーリスクから、従業員が自らを守るスキルを向上させ、ハイリスク状況における従業員と組織の真の危機対応力を高めることができます。
• 計画 – 緊急対応と事業継続計画(BCP)がこの度のCOVID-19が引き起こす状況を含んでいなかったことに気付く組織もあるかもしれません。上記で述べたサイバー脅威を含め、状況にあわせてさらなるリスク対策を計画する必要もあるでしょう。経営陣、役員も在宅勤務となる中で様々なコンティンジェンシー対応を行っており、今後の緊急対応計画のシナリオには自らサイバー脅威を組み込んでいく必要があります。
  
  机上でのサイバー危機シミュレーションは、企業における危機対応リハーサルの一般的な手段です。これらの演習をリモートで実行することでより課題が見えるかもしれませんが、それにより現実的な対応を検討することが可能となります。
• カスタマイズされた保険ソリューション –COVID-19がもたらす経済的損失に直面している状況ですが、サイバー事故についてはそのインパクトを最小限に抑えるために、リスク転嫁を検討することが可能です。上記の脅威に対応するため十分に検討の上で、保険マーケットに対してアプローチを実行することを推奨します。​ほとんどのサイバー保険ポリシーは、悪意のあるフィッシング攻撃の脅威には幅広く対応しますが、そうではないケースの場合、ビジネス中断リスクに対する保険カバーの範囲はさまざまであり、微妙な差異があります。同様にサイバー保険ポリシーに従業員犯罪に対するカバーをある程度追加することも可能ですが、保険会社は一般的にコマーシャル犯罪保険ポリシーを通じてこのリスクに対処しようとするため、通常はカバーされていません。（これらのポリシーでもSocial Engineeringによる損失をカバーするには個別の対応が必要です）