※本記事にはアフィリエイトリンクが含まれます。詳しくはプライバシーポリシー・広告掲載についてをご覧ください。
テレワーク(在宅勤務・リモートワーク)の普及にともない、自宅や外出先での作業に起因するセキュリティ事故が急増しています。情報処理推進機構(IPA)の報告でも、テレワーク環境を狙ったサイバー攻撃や内部起因の情報漏洩が「情報セキュリティ10大脅威」として毎年ランクインしています。
本記事では、実際に発生したテレワーク中のセキュリティ事故事例10選と、それぞれの再発防止策を解説します。「自分には関係ない」と思わず、自分のケースに当てはめて対策を確認してください。
- 事故事例①:公共Wi-Fiでの通信傍受による情報漏洩
- 事故事例②:私物PCへのマルウェア感染で業務データが流出
- 事故事例③:フィッシングメールによるVPN認証情報の窃取
- 事故事例④:画面共有操作ミスによる機密情報の意図しない公開
- 事故事例⑤:ランサムウェア感染による業務停止
- 事故事例⑥:退職者アカウントの削除漏れによる不正アクセス
- 事故事例⑦:不正なリモートデスクトップ接続による乗っ取り
- 事故事例⑧:クラウドストレージへの機密情報の誤共有
- 事故事例⑨:スマートフォンの紛失による業務メールの流出
- 事故事例⑩:同居家族による業務情報の誤操作・盗み見
- まとめ:テレワークセキュリティを強化する5つの優先事項
- おすすめセキュリティ対策ツール
事故事例①:公共Wi-Fiでの通信傍受による情報漏洩
事故概要:カフェのフリーWi-Fiを使って業務メールを確認していた従業員の通信が、同ネットワーク内の攻撃者に傍受された。送信メールに含まれていた顧客の個人情報が外部に流出。
原因:暗号化なしの公共Wi-Fiへの接続、VPNなし。
対策:公共Wi-Fi利用時は必ずVPNを使用する。企業はVPNポリシーを就業規則に明記し、違反時の対応を定める。個人向けにはNordVPN・ExpressVPN等の信頼性の高いVPNサービスを推奨。
[提携リンク:NordVPN 公式サイト]
事故事例②:私物PCへのマルウェア感染で業務データが流出
事故概要:BYODで業務を行っていた従業員が私物PCでオンラインゲームをダウンロード。同梱されたマルウェアに感染し、PC内の業務ファイル(顧客リスト・契約書)が外部に送信された。
原因:私物PCのセキュリティポリシー未整備、マルウェア対策ソフト未導入。
対策:BYODポリシーを策定し、業務利用端末にはセキュリティソフトの導入を義務化。会社支給PCと私物PCで業務データを分離する。EDR(エンドポイント検知・対応)ソリューションの導入を検討。
[提携リンク:ESET インターネット セキュリティ]
事故事例③:フィッシングメールによるVPN認証情報の窃取
事故概要:「IT部門からのVPNアップデート案内」を装ったフィッシングメールを受信した従業員が、偽ログインページにVPN IDとパスワードを入力。攻撃者に認証情報が渡り、社内ネットワークに不正アクセスされた。
原因:フィッシングメールの識別教育不足、VPNへのMFA未導入。
対策:VPNアクセスに多要素認証(MFA)を必須化。社内IT部門はメール・チャット以外(電話や社内ポータル)でのみ認証情報変更を案内するポリシーを設ける。フィッシング訓練メールを定期実施。
事故事例④:画面共有操作ミスによる機密情報の意図しない公開
事故概要:Zoomミーティング中に画面全体を共有したところ、デスクトップに開いていた人事評価シートが外部クライアントに見えてしまった。
原因:画面共有時の確認不足、ウィンドウ単位での共有設定を知らなかった。
対策:画面共有はデスクトップ全体ではなく「ウィンドウ単位」または「アプリケーション単位」で行う習慣を徹底。共有開始前に表示内容を確認するチェックリストを用意。通知(メール・チャット)が共有画面に表示されないよう通知を一時オフにする。
事故事例⑤:ランサムウェア感染による業務停止
事故概要:テレワーク中の従業員がメールの添付ファイル(Excelマクロ付き)を開封。ランサムウェアが起動し、共有フォルダ内のファイルが暗号化された。バックアップが存在せず、身代金を支払うか業務データを失うかの選択を迫られた。
原因:マクロ無効化設定の未実施、バックアップ体制の不備。
対策:Office製品のマクロ実行をグループポリシーで制限。3-2-1バックアップ(3か所・2種類・1か所オフライン)を必ず実施。ランサムウェア対策についての詳細はIPA:ランサムウェアの脅威と対策を参照。
事故事例⑥:退職者アカウントの削除漏れによる不正アクセス
事故概要:退職した元従業員のクラウドサービスアカウントが有効なまま残存していた。元従業員がテレワーク環境から社内データにアクセスし、競合他社に情報を持ち出した。
原因:退職手続きにIT部門への連絡が含まれておらず、アカウント削除が実施されなかった。
対策:退職手続きチェックリストにアカウント無効化を必須項目として追加。IT部門は退職日当日または前日に全システムのアカウントを無効化するプロセスを確立する。
事故事例⑦:不正なリモートデスクトップ接続による乗っ取り
事故概要:リモートデスクトップ(RDP)ポート(3389番)をインターネットに直接公開していた企業が、ブルートフォース攻撃でパスワードを解析され、サーバーに不正アクセスされた。
原因:RDPの直接公開、弱いパスワード設定、MFA未導入。
対策:RDPをインターネットに直接公開しない(VPN経由のみに制限)。RDPアクセスにMFAを設定。デフォルトポート(3389)を変更する。アカウントロックポリシーを設定し、一定回数失敗したらアカウントをロック。
事故事例⑧:クラウドストレージへの機密情報の誤共有
事故概要:テレワーク中の従業員が、個人のGoogleドライブに業務資料をアップロードし「リンクを知っている全員」で共有設定にした。その後、共有リンクがSNSに投稿され、機密情報がインターネット上に流出した。
原因:個人クラウドサービスの業務利用禁止ルールの未整備、共有設定の知識不足。
対策:業務データは会社指定のクラウドサービスのみを使用するよう明文化。共有リンクは「特定のユーザーのみ」または「期限付き」に設定するよう教育。クラウドアクセス制御(CASB)ツールの導入も検討。
事故事例⑨:スマートフォンの紛失による業務メールの流出
事故概要:業務メールを設定していたスマートフォンを外出先で紛失した。画面ロックが設定されておらず、拾得者がメール内の機密情報にアクセスできる状態だった。
原因:画面ロック未設定、遠隔ロック・消去機能の未設定。
対策:業務利用のスマートフォンはMDM(モバイルデバイス管理)で管理し、画面ロック・暗号化・遠隔消去を強制適用。個人端末の場合も「iPhoneを探す」「デバイスを探す」を必ず有効化。紛失時は速やかに会社に報告しメールアカウントをリモートで無効化。
事故事例⑩:同居家族による業務情報の誤操作・盗み見
事故概要:在宅ワーク中に離席した隙に、同居する子どもが業務PCを操作。顧客データが入ったファイルを誤って削除し、一部のデータが回収不能になった。また別の事例では、ビデオ会議中に背後に映り込んだホワイトボードの内容が機密情報だったことが後から判明した。
原因:離席時の画面ロック未徹底、自宅環境でのプライバシー管理の意識不足。
対策:離席時は必ず画面をロック(Windows: Win+L、Mac: Ctrl+Command+Q)。業務PCは家族の触れない場所に設置するか、専用の作業スペースを設ける。ビデオ会議前に背景にバーチャル背景またはぼかしを設定し、物理的な資料・ホワイトボードが映らないか確認する。
まとめ:テレワークセキュリティを強化する5つの優先事項
上記10事例を踏まえ、今すぐ取り組むべき優先事項を整理します。
- VPNの導入と全テレワーク社員への徹底:公共Wi-Fi利用時は必須
- 多要素認証(MFA)の全社展開:VPN・クラウドサービス・メールに適用
- 退職者アカウントの即日無効化プロセス確立:退職手続きチェックリストに追加
- フィッシング訓練と教育の定期実施:年2回以上を推奨
- バックアップ体制の整備と定期テスト:3-2-1ルールを実践し、復元テストを実施
テレワークのセキュリティポリシー策定については、IPA:テレワークセキュリティガイドラインも参照してください。
【関連記事】セキュリティソフトでテレワーク端末を守る
テレワーク中の端末をマルウェア感染から守るには、信頼性の高いセキュリティソフトが不可欠です。
[提携リンク:ウイルスバスター クラウド 公式サイト]
おすすめセキュリティ対策ツール
本記事で紹介した対策を実施するうえで役立つ製品をご紹介します。
🛡️ まず今日から始めるなら:エンドポイント保護ソフトの導入
信頼性の高いセキュリティソフトの導入を強くお勧めします。
- ESET(イーセット) — 誤検知が少なく軽量。中小企業に人気のコスパ重視セキュリティソフト
- ウイルスバスター — 日本語サポートが充実。国産ソフトで中小企業導入実績多数
- Norton(ノートン) — 世界最大手のセキュリティベンダー。VPN機能も含む総合対策
※ 上記はアフィリエイトリンクです。料金・機能は各公式サイトで必ずご確認ください。
コメント