神奈川県にある麻布大学は2024年9月24日、同学の教員がノートPCとタブレットの盗難被害に遭ったことを発表しました。現時点ではそこに含まれる個人情報の流出、不正使用の事実は確認されておらず、ある意味ではよくある事故といったものと捉えられるでしょう。
この事件では、海外出張中に宿泊していたホテルの客室のドアが壊され、カバンごとPCやタブレットが盗まれたことが分かっています。PCにはログインパスワードが設定されていたため、最悪の事態は回避できたようですが、こうした“攻撃”に対策を講じるのは簡単ではなさそうです。
筆者も海外出張先や旅行先にPCを持っていくことはしばしばあります。本来、PCを厳密に管理するのであれば、鍵付きのロッカーに保管すべきなのですが、横着して机の中やスーツケースの奥に置いたまま、ということもよくあります。今回の事件を知り、もう少し危機感を持たなければならないなと感じました。特に出張などで重要な情報を持ち歩く機会がそれなりに多い方はどうすればこれを保護できるかを一緒に考えてみましょう。
●社外に持ち出したPCをどう守ればいいのか?
旅行中の最も安全な盗難防止対策としては、パスポートや財布と同様にPCを常に持ち歩くことくらいしかありません。しかしいくら軽量になったとはいえ、PCを常に持ち歩くのは大変です。そうなるとスマートフォンで全ての仕事をし、PCをそもそも国外に持ち出さないというのも一つの手です。仕事に関係ない旅行であれば、電子メールの返信やWeb会議はスマートフォンで事足りるので随分便利な時代になったと思います。
ただ、出張となると「それでは厳しい」という方もいるはずです。実際ほとんどの仕事はスマートフォンで事足りるようになっていますが、文字入力が大変だったり、画面が大きい方が仕事がしやすかったりなど、利便性の面では課題も残ります。この他、どうしてもPCが必要な場面も多く、盗難のリスクをどうしたらいいかは組織にとって悩みどころです。
では「PCは常に持ち運ぶのが大変」「スマートフォンでは仕事がしにくい」となるとどのような対策を講じればいいでしょうか。筆者が推奨したいのが「PCに重要データを置かないようにする」です。重要なデータは全てクラウドに預け、端末には一切データを置かず、PCを単なるビューアー、キーボードと割り切って利用することで、盗難リスクに備えます。
もし組織がテレワーク目的でリモートデスクトップなどの仕組みを取り入れていたとしたら、海外出張時は自分のPCの持ち出しを許可せず、リモートデスクトップで対応するというルールを決めるというのが、最も安全な出張時盗難対策になるかと思います。
●リスクは盗難以外にも 出張中はひとときもPCから目を離してはいけない
実は海外出張や旅行中の人をターゲットにしたサイバー攻撃活動は依然として活発化しています。トレンドマイクロが2024年5月に発表した「国内標的型攻撃分析レポート・2024年版」によると、日本は引き続き標的型攻撃の主要なターゲットにされています。
多くの標的型攻撃は、その背後に特定の国家が関係しています。トレンドマイクロが「アースハーピー」と名付けたサイバー攻撃者は、中国に拠点を置く日本企業や中国に渡航・在住する個人を標的に活動していると考えられています。攻撃対象はかつては米国でしたが、2022年以降は日本を狙い、活動を続けているようです。
トレンドマイクロはアースハーピーが利用する「FlowCloud」というマルウェアについても解説しています。このマルウェアの侵入経路は「USBメモリ」であり、海外出張中の会社員をターゲットとし、端末に物理的にアクセスしてマルウェアを送り込んでいた可能性があるそうです。
この情報を基にすれば、海外出張中のリスクは盗難だけでなく、このような不正アクセスも考えられるため、ひとときも自分のPCから目を離してはいけないことが分かります。そう考えると、今回の事件も“ジブンゴト”として考えられる経営者も多いのではないでしょうか。
つまりネットワークへの接続や充電、会議中に資料をもらうためにUSBメモリに接続するといった全ての行為が出張中においては大きなリスクになります。万が一この方法でマルウェアに感染してしまい、帰国後に自社内ネットワークに接続した場合、適切なセグメンテーションやEDR(Endpoint Detection and Response)での検知の仕組みがなければ、感染が社内に広がってしまいます。むしろ、物理的に盗まれてしまう方が、リスクが少ないかもしれません(情報漏えい対策が施されている前提ですが)。
その意味では、出張時のデバイスのリスクというのを、しっかりと把握しておく必要がある時代になったと言わざるを得ません。
●出張専用のPCだけでなく、スマホすらも別にすべきか?
一部の国では、「反スパイ法」として個人のスマートフォンやPCを検査する権限が当局にあるとしています。日本にいるとあまり感覚はないかもしれませんが、スマートフォンの中にあるデータを丸ごとチェックされたり、監視のためのツールを入れられたりといったことが想定できます。セキュリティに詳しい方は、もはやそういった国では私用スマホを常用するのではなく、何もデータが入っていない端末を持ち込むという方もいます。
加えて、そのような規制が厳しい国に渡航する場合は、むしろハードウェアとしてのデバイスよりも、「アカウント」をいかに守るかということが重要になるかと思います。ハードウェアを奪われることよりも、今はクラウドにアクセスするための認証を奪われる方がよりダメージが大きいはずです。「パスワードを教えろ」ということに関しては、二要素認証を設定するだけでなく、安全のために物理的なハードウェアキーでアカウントを守ることも、組織は考え始めなければならないかもしれません。これであれば、アカウントへのアクセスも安全に守れるでしょう。
これまでであれば「公衆無線LANは気をつけよう!」や「海外ではVPNを使おう!」という程度で済んでいたリスクが、今では想像をはるかに超える現状が突きつけられているように感じる事件でした。このリスクを論じる記事の中には「使っていないときはスマートフォンのバッテリーを外す」「SIMを抜いておく」までやるべしというものすらあります。ぜひ皆さんも一度、こういったリスクに何ができるかを考えてみてください。そして、セキュリティ担当や総務部の方には、海外出張におけるPCやスマートフォンのリスクに従業員が悩まなくて済むように、先手を打ってもう一度ポリシーを検討し直すきっかけになればうれしいです。
筆者紹介:宮田健(フリーライター)
@IT記者を経て、現在はセキュリティに関するフリーライターとして活動する。エンタープライズ分野におけるセキュリティを追いかけつつ、普通の人にも興味を持ってもらえるためにはどうしたらいいか、日々模索を続けている。