新型コロナウイルスの影響もあり、ここ数年でテレワーク(在宅勤務)の導入が一気に広まりました。
しかしオフィス外で仕事をするテレワーク環境では、従来とは異なるセキュリティリスクが生じます。
実際、テレワーク中のセキュリティインシデントは日々増え続けており、企業はこれまでに起こった事例を知って対策に活かすことが重要です。
本記事では、国内外で実際に発生したテレワーク環境での情報漏えい・不正アクセス・設定ミス等のセキュリティ事故事例を紹介し、それぞれの背景・原因・被害・影響を具体的に説明します。
さらに各事例から得られる教訓を整理し、企業が取るべき再発防止策について解説します。初心者や中小企業のIT管理者でも実務に活かせる内容を、やさしい言葉でまとめました。
⇒【ロリポップ!固定IPアクセス】 月額490円、すぐに使えて最大2ヶ月間無料!
テレワーク環境で実際に起きたセキュリティ事故事例
まず、テレワークや在宅勤務の現場で起きた代表的なインシデント事例を見てみましょう。
情報漏えいや不正アクセスにつながった実例を国内外からピックアップします。
事例1:社用ノートPCの盗難による従業員情報の漏えい
背景・発生状況 2023年3月、大手コンビニチェーンの店舗運営会社で、社員が業務で使用するノートパソコンを社外で盗難される事件が発生しました。このPCには複数店舗分の従業員の氏名・住所・銀行口座・保険加入状況などの個人情報が保存されており、PCの所在不明により情報流出の懸念が生じました。 盗難が起きた経緯は、社員が社用PCを持ったまま帰宅途中に立ち寄りをし、その際にPCをロッカーに預けたところ盗まれてしまったことにあります。 店舗のロッカーに預けていても盗難の責任を問うことは難しく、預けた本人の自己責任となってしまうケースがほとんどです。
被害の範囲・企業への影響 流出した可能性のある情報は従業員の個人データで、該当企業では対応に追われました。 他社から「自社従業員の情報が悪用されている」といった苦情が出る事態には至っていないものの、社内規定違反による情報漏えいリスクが顕在化した点で企業イメージを損ねかねない深刻な事故です。
原因・教訓 このケースでは「社用端末を持ち出す際のルール不徹底」が直接の原因でした。 社員は本来、業務終了後は速やかに端末を社に持ち帰るか自宅へ直行すべきところを怠り、途中で寄り道してしまいました。 もし社用PCの持ち出し方法に関する明確なルール設定と厳格な遵守が徹底されていれば、今回の盗難は回避できたと考えられます。 この事例から得られる教訓は、モバイル端末の管理ルール策定と社員への周知徹底です。 具体的には、社外に持ち出す端末には必ず暗号化や遠隔データ消去機能を有効化し、業務後は直ちに安全な場所へ保管する、第三者が管理する一時預かり所(ロッカー等)に端末を放置しない、といった基本ルールの厳守が求められます。
事例2:USBメモリ紛失による大規模な個人情報流出
背景・発生状況 近年発生した紛失事故の中でも最大級と言われるのが、2022年6月に起きた兵庫県尼崎市の全市民46万人分の個人情報を記録したUSBメモリ紛失事件です。 尼崎市から委託を受けていた業者の社員が業務データの入ったUSBメモリを無許可で社外に持ち出し、飲食店で泥酔した帰り道に紛失してしまいました。 この事件は全国ニュースでも大きく報道され、自治体のずさんな情報管理が社会問題となりました。
被害の範囲・企業への影響 USBに保存されていたのは市民46万人分の氏名・住所・住民税額・口座情報など極めて機微な情報でした。 幸い、紛失発覚の翌日に問題のUSBメモリは発見され、データが外部流出した証拠は見つかりませんでした。 しかし、もし発見できなければ重大な個人情報漏えい事故となるところでしたし、紛失が報道された6月23日には市役所に1日で1万6千件もの問い合わせが殺到し、行政が大きな混乱に陥りました。 委託元の企業に対しても市民や行政から厳しい批判が寄せられ、信頼失墜は避けられませんでした。
原因・教訓 このケースの原因は「重要データを無断で持ち出し、人的ミス(泥酔)によって紛失した」ことです。 紛失というヒューマンエラーではありますが、そもそもUSB等の外部記憶媒体に膨大な個人情報を入れたまま社外に持ち出すこと自体がリスク管理上問題でした。 この事例からの教訓は、モバイルデータの持ち出し制限とリスク意識の向上です。 具体的には「テレワークで必要なデータはクラウド上に保管し、USBメモリには保存しない」「どうしてもUSB等に書き出す場合は事前申請制とし、持ち出すデータ量・内容を限定する」といったルール整備が必要です。 また社員一人ひとりに対しても、機微情報を扱う責任と紛失・盗難リスクに対する高いセキュリティ意識を持たせる教育を行うことで、こうした事故は「簡単に免れることのできた事態」だと指摘されています。
⇒【ロリポップ!固定IPアクセス】 月額490円、すぐに使えて最大2ヶ月間無料!
事例3:フィッシング詐欺による業務端末からの情報流出
背景・発生状況 社員の不注意に付け込んだサイバー攻撃も、テレワーク環境では増加傾向にあります。 2023年4月、大手出版社の小学館で、役員が使用する社用スマートフォンから個人情報が流出する事故が発表されました。 原因は、宅配業者を装った巧妙なフィッシング詐欺メールです。 役員宛に届いた偽の配達通知メールに記載されたリンクを開いたところ偽サイトに誘導され、そこで社用アカウントのID・パスワード等を入力してしまったため、不正アクセスを許してしまいました。 その結果、スマホ内に保存されていた関係者302件分の個人情報が第三者に漏えいしてしまったことが確認されています。
被害の範囲・企業への影響 流出したのは小学館が管理する取引先などの個人情報とみられ、詳細な内訳は公表されていませんが、著名人の住所なども含まれていた可能性があります。 この事故は標的型メールによる経営層アカウント乗っ取りという点で波紋を呼び、同社は被害の公表と関係者への謝罪を余儀なくされました。 他社にとっても他人事ではなく、テレワーク下で役員・従業員が使用するモバイル端末が狙われるリスクを認識させられる出来事でした。
原因・教訓 直接の原因は巧妙化するフィッシングメールにユーザーが引っかかってしまったことです。近年は本物と見分けがつかない精巧な詐欺メールが出回っており、うっかり信じてしまうと誰でも被害者になり得ます。 この事例からの教訓は、従業員のセキュリティリテラシー向上とフィッシング対策です。 具体的には、「不審なメールやSMSのリンクは絶対に開かない」「宅配通知や請求書などを装ったメールでも送り主をよく確認する」「社員のメールアカウントに多要素認証(MFA)を導入し万一ID流出しても被害を防ぐ」等の対策が有効です。 実際、小学館のケースも実在の事例を学び怪しいメールに取り合わないリテラシーさえあれば回避可能だったとされています。
さらに、同様のフィッシング被害と社内ルール違反が重なったケースとして、2021年4月に発生した千葉大学医学部附属病院の事例も挙げられます。
こちらは職員が宅配業者を装ったフィッシングメールに騙され、自身の業務用クラウドサービスのID情報を盗まれた結果、そのクラウド上に保存していた患者情報が外部から閲覧できる状態になってしまった可能性があります。
この職員は病院の規定に反して許可されていないクラウドストレージを無断利用していたことが問題で、組織としては「シャドーIT(社に無断で外部サービスを使用すること)」への対策不足が浮き彫りになりました。
このケースの教訓は、職員による非公認サービス利用の把握と管理です。
セキュリティレベルの低い外部サービスを利用されないように社内ルールで制限することはもちろんですが、職員にとって利便性が高く安全な公式サービスを提供する努力も再発防止には重要だと指摘されています。
つまり「使いたいから勝手にDropboxや個人Googleドライブを使ってしまった」という事態を防ぐため、企業側で使いやすくセキュアなクラウド共有環境を整備しておくことが求められます。
事例4:自宅PCのウイルス感染による機密情報漏えい
背景・発生状況: テレワークでは自宅のPCを業務に使うケースもありますが、こうした端末がマルウェアに感染し情報漏えいを引き起こす危険性があります。
その典型例が2022年10月に起きた熊本県立高校における生徒情報漏えい疑惑です。
同校の教諭は、生徒の個人情報を含むデータをUSBメモリにコピーして校外に持ち出し、自宅の私用PCで業務を行っていました。
本来、熊本県の情報セキュリティ基準では教職員による公用端末・データの校外持ち出しを禁じていましたが、この教諭はルールに違反して自宅作業を行っていたのです。
あるとき作業中に画面に突然「ウイルスに感染しました」という警告が表示され、教諭は驚いて画面に表示された偽の電話番号に連絡してしまいました。
これは典型的な偽警告型の詐欺手口であり、教諭が電話で教えられるまま操作を許可した結果、第三者による遠隔操作が自宅PC上で行われてしまいました。
その際にUSBメモリ上の生徒情報ファイルが攻撃者に抜き取られた可能性が高く、後日、生徒の個人情報が漏えいした疑いが持たれています。
被害の範囲・企業への影響 流出が疑われるのは当該高校の多数の生徒に関する個人情報です(氏名・住所・成績等とみられる)。 教育機関として生徒の大切な情報を守れなかった事実は重く、学校および所管の教育委員会は保護者や生徒に謝罪するとともに再発防止策の策定に追われました。 もし攻撃者が漏えいデータを悪用すれば、生徒や保護者にフィッシング詐欺やなりすまし被害が及ぶおそれもあり、教育現場での情報管理の甘さが問われる事態となりました。
原因・教訓 このケースは「禁止されていた私物PCでの作業」というルール違反と、「ウイルス感染の偽警告に騙されて不審な相手に遠隔操作を許してしまう」というリテラシー不足が重なって発生した人為的な事故です。 まず大前提として、定められた情報持ち出し禁止ルールを守ることが必要ですが、それだけでは万全ではありません。 教訓として浮かび上がるのは、個々の従業員のセキュリティリテラシーを高める重要性です。例え厳しいルールを定めていても、それを破ってしまう人間がいれば事故は起こりますし、今回のように「ルールだけでは回避しきれないリスクもある」ことが痛感されます。 企業・組織としては、技術的対策や規程整備と並行して、従業員へのセキュリティ教育(フィッシング詐欺の見分け方、怪しい警告への対処方法、報告連絡の徹底など)を継続的に行い、人のミスを最小限にする仕組み作りが求められます。
また技術面では、万一に備え端末側でのウイルス対策ソフト導入やOSの最新更新適用はもちろん、重要データを扱うPCにはEDR(Endpoint Detection and Response)ツール等を導入して不審な挙動を検知・遮断する、といった多層的な防御も検討すべきです。
特に個人利用のPCを業務に使う場合、会社が把握・管理しづらいため、仮想デスクトップ(VDI)の利用や社内システムへの接続をVPN経由に限定するなど、ゼロトラストを意識したアクセス制御でリスク低減することが望まれます。
⇒【ロリポップ!固定IPアクセス】 月額490円、すぐに使えて最大2ヶ月間無料!
事例5:VPN機器の脆弱性放置による情報漏えいと不正アクセス
背景・発生状況 テレワークと言えばVPN(Virtual Private Network)経由で社内システムにアクセスするのが一般的ですが、VPNを導入していれば安全というわけではありません。 現に、VPN機器の設定不備やアップデート漏れが原因でサイバー攻撃を招いたケースも起きています。 代表例として2020年8月に発覚したVPN装置の脆弱性悪用事件があります。 この事件では、特定メーカーのVPN専用機器に深刻な脆弱性(セキュリティホール)が見つかったにもかかわらず、利用企業がソフトウェアの修正パッチを適用せず放置していました。 その結果、攻撃者に脆弱性を突かれてVPNのID・パスワード情報が流出し、第三者が企業内ネットワークに不正侵入できる状態になってしまったのです。
被害の範囲・企業への影響 このVPN脆弱性の情報流出事件では、日本国内で少なくとも38社、世界全体では900社以上もの企業情報が漏えいしたとされ、大規模な被害が報告されました。 幸い一部企業では流出後ただちにパスワード変更等の対処を行ったため大惨事には至りませんでしたが、「VPNのパスワードさえ盗まれれば誰でも社内機密にアクセスできる」という事実が突きつけられた形です。 以降、多くの企業がVPN機器の緊急アップデートを実施し、同様の攻撃に備える対応に追われました。
原因・教訓 原因は明確で、VPNという重要インフラの脆弱性情報を放置しアップデートを怠ったことです。 サイバー攻撃者は公開された脆弱性情報を常に狙っており、パッチ未適用の機器を世界中からスキャンしています。 VPNはテレワークには欠かせない技術ですが、この事例が示すように「VPNさえ使っていれば安全」とは言い切れないことが分かります。 教訓としてまず挙げられるのは、セキュリティ機器やソフトウェアを常に最新の状態に保つことの重要性です。 VPN製品を導入したら終わりではなく、メーカーから脆弱性情報やアップデートが案内された際には速やかに適用しなければなりません。 また、仮にVPNの認証情報が漏洩してしまった場合でも被害を最小限に抑えるために、多要素認証(MFA)の導入やアクセスできる社内リソースの絞り込みも有効です。 後述するように、アクセス元IPアドレスで接続を制限する仕組みやゼロトラストネットワークの導入も検討すべきでしょう。
事例6:海外企業でのリモートアクセス悪用(Colonial Pipeline事件)
背景・発生状況 テレワークのセキュリティ事故は日本国内に限った話ではありません。 海外でもリモートアクセスの脆弱性を突いた重大インシデントが発生しています。 その一つが、2021年5月にアメリカ最大規模のパイプライン運営会社Colonial Pipeline社で起きたランサムウェア攻撃事件です。 Colonial Pipeline社はアメリカ東海岸の燃料供給の約45%を担う重要インフラ企業ですが、同社の情報システムがサイバー犯罪グループの攻撃により麻痺し、約1週間にわたり石油パイプラインが停止する事態となりました。 この攻撃の初期侵入経路を調査したところ、社内ネットワークに繋がる古いVPNアカウントへの不正アクセスであったことが判明しています。
被害の範囲・企業への影響 パイプライン停止により米東海岸一帯でガソリンやジェット燃料の供給不足が生じ、ガソリンスタンドではパニック買いが発生するなど社会に大混乱を引き起こしました。 最終的にColonial社は業務復旧を優先して犯罪者に約440万ドル(約4.8億円)の身代金を支払い、後日米司法省によってその85%が回収されるという結末を迎えました。 この事件は重要インフラ企業がテレワーク用VPNのセキュリティ管理を怠った代償として世界に大きな衝撃を与え、アメリカ政府も直後に大統領令で連邦機関へのゼロトラスト導入やMFA必須化を打ち出すなどの対策に乗り出しています。
原因・教訓 調査によると、Colonial社ではリモートアクセス用の「レガシーVPN」アカウントが無効化されず残っており、MFA(二要素認証)が適用されていなかったことが原因でした。 攻撃者は流出した従業員の古いパスワードをダークウェブ上で入手し、この脆弱なVPN経由で社内ネットワークに侵入したとみられています。 教訓としてまず挙がるのは、退職者や不要アカウントを放置しない基本管理の徹底と、VPN接続におけるパスワードだけの認証をやめ多要素認証を必須にすることです。 実際、本事件を受けて米国土安全保障委員会でも「パスワード認証のみのVPN利用は限界であり、ゼロトラストとMFAへの移行が急務」との提言がなされています。 またVPNに頼る従来型のリモート接続から、より厳格なゼロトラスト・ネットワークアクセス(たとえばSDP: Software Defined Perimeter)の導入へ切り替えることも検討すべきでしょう。 重要インフラのみならず一般企業においても、テレワーク継続下では従来以上に認証・アクセスの強化が求められることを、この事件は物語っています。
以上、国内外のテレワーク環境における様々なセキュリティ事故の事例を紹介しました。
これらは決して他人事ではなく、どの企業でも起こり得るものです。
では、私たちはこれらの教訓を踏まえて具体的に何をすべきなのでしょうか?
次の章で、各事例から学べるポイントを整理し、企業が取るべきセキュリティ対策を解説します。
事例から学ぶ教訓と企業が取るべき再発防止策
前章で見たように、テレワーク環境のインシデントは多種多様ですが、裏を返せば適切な対策を講じていれば防げたケースがほとんどでした。
それぞれの事例から浮かび上がった教訓をもとに、企業が実践すべき再発防止策をチェックリスト形式でまとめます。
- 端末・デバイス管理の徹底 社用ノートPCやUSBメモリなど業務データを扱う端末は、持ち出しルールを明文化し遵守させます。 端末自体には必ずストレージ暗号化を施し、リモートワイプ(遠隔初期化)機能を有効化しておきます。 持ち出しを 禁止すべきデータ を定め、どうしても必要な場合は許可制にするなど、社外へのデータ持ち出しを最小限に抑えます。 また従業員には端末紛失・盗難時の速やかな報告義務を課し、機密情報の取り扱いに関するモラル教育も行いましょう。
- 安全な通信環境の確保 在宅勤務やモバイルワークでは、ネットワーク経由での盗聴や不正アクセスにも注意が必要です。 社員にはカフェや空港など不特定多数が利用する公衆Wi-Fiを業務に使わせないよう指導します。 どうしても利用する場合は必ずVPNを通すか、HTTPSやメール暗号化を徹底させましょう。 実際、テレワーク中に公衆無線LANを使ったところ、メールに添付した機密ファイルが競合他社に傍受され漏えいしたという例も報告されています。 自宅のネット回線についてもルーターの暗号化設定を強化するなど、家庭内LANのセキュリティ対策状況をチェックリストで点検すると安心です。
- アクセス制御(IP制限)の導入 社内システムやクラウドサービスへのアクセス権限を見直し、必要な人だけが必要な情報にアクセスできるよう権限を最小化します。 また、不特定多数からのアクセスを防ぐためにアクセス元IPアドレスによる制限を導入しましょう。 特定の固定IPアドレスからのみ社内システムに入れるようにすれば、許可されていないIPからの接続はブロックでき、不正アクセスの大半を門前払いできます。 テレワークでは自宅や外出先から接続するためIPアドレスが固定されていないケースが多いですが、社外からでも固定IPで接続できるサービスを利用すれば場所を問わず常に同じIPアドレスを使えます。 例えばロリポップ!固定IPアクセスを導入すれば、自宅・カフェ・出張先などどこからでも社内ネットワークに固定IPアドレスで接続でき、社内システム側でアクセス元をその固定IPのみに限定することが可能です。 このような仕組みを使えば、たとえIDやパスワードが漏れても攻撃者は許可されたIPからでないとアクセスできないため、リモートアクセスの防御力が格段に高まります。
- VPN環境の定期的な見直し 前述のようにVPN自体も万能ではありません。VPN機器やソフトウェアは常に最新バージョンにアップデートし、脆弱性情報が出たら即対応します。 また、VPNの認証には必ず二要素認証(MFA)を導入しましょう。パスワードだけに頼るのは非常に危険であり、MFAを有効化していれば万一パスワードが漏れても被害を防げます。 さらに、コロニアル社の事件を教訓に、使っていない古いVPNアカウントやサーバーを放置しないことも重要です。 定期的にアカウントの棚卸しを行い、不要なリモートアクセス手段はきちんと無効化・撤去します。 近年はVPNに代わるセキュリティ強化策としてゼロトラストネットワーク(例:SDP)の導入も注目されています。 社内システムへのアクセスを常にユーザー・端末単位で認証・検証するゼロトラストモデルを採用すれば、VPN特有の一度繋がったら広範囲にアクセスできてしまうリスクを軽減できます。 自社の規模や予算に応じて、段階的に導入を検討するとよいでしょう。
- 従業員のセキュリティ教育 技術的な対策を整えても、人間がミスをすれば事故は起こります。そこで最後に 「ひと」の対策、すなわちセキュリティ意識向上の取り組みが不可欠です。 具体的には、定期的なセキュリティ研修や訓練を実施しましょう。社員全員に対し、情報漏えい事故の事例(本記事で挙げたようなケース)を共有して危機感を持ってもらいます。 不審メールの模擬訓練(疑似フィッシング演習)を行い、引っかかってしまった社員には個別指導をすることも効果的です。 「自分だけは大丈夫」という慢心を無くし、常に最新の攻撃手口を知って用心する文化を醸成することが重要です。 また、万一インシデントが発生しかけたときに速やかに報告・相談できるよう、報告フローの整備と周知も行っておきます。 情報漏えいインシデントは初動対応が肝心なので、社員が隠さずすぐ報告できる風通しの良い社風も大切です。
- 内部不正・権限管理の強化 テレワークだからというわけではありませんが、昨今問題となっているのが従業員の不正持ち出し(いわゆる「手土産転職」)による情報漏えいです。 人材の流動化に伴い、退職時に会社の機密データを持ち出してしまうケースが増えています。 これを防ぐには、社員との秘密保持契約の徹底はもちろん、社内で誰もが簡単に重要情報へアクセスできないよう権限を細分化しておくことが有効です。 機密度の高いデータには閲覧権限を絞り、アクセスログを監視するなど、内部犯行を抑止する仕組みを整えましょう。 テレワークでは管理者の目が行き届きにくい分、権限管理とログ監査による見えないガードレールが一段と重要になります。
以上のように、テレワークだからと特別な対策が必要というよりも、従来からの情報セキュリティ対策を「社外でも通用するよう強化する」ことが肝要です。
端末・ネットワーク・人のそれぞれの面に目を配り、多層防御とゼロトラストの考え方で臨めば、中小企業であっても安全な在宅勤務環境を実現できるでしょう。
⇒【ロリポップ!固定IPアクセス】 月額490円、すぐに使えて最大2ヶ月間無料!
ロリポップ!固定IPアクセスのご紹介 – 固定IPでテレワークをより安全に
最後に、先述したIPアドレス制限によるアクセス管理を手軽に実現できるサービスとして、ロリポップ!固定IPアクセスをご紹介します。
ロリポップ!固定IPアクセスはレンタルサーバー「ロリポップ!」で有名なGMOペパボが2025年3月に提供開始した、固定IPアドレス割り当て型のVPNサービスです。
テレワーク中の社員がこのサービスを利用すると、自宅・カフェ・出張先などどこからでも常に同じ固定IPアドレスを用いて社内ネットワークにアクセスできるようになります。
その結果、社内のシステム側で「許可されたIP以外ブロック」の設定をすれば、未知のIPからの不正アクセスをシャットアウトでき、セキュリティを大幅に強化できます。
ロリポップ!固定IPアクセスの主な特徴は次のとおりです:
- 低コスト・無料トライアル 1ライセンス(月間固定IP1つ)あたり月額539円(税込)から利用可能という国内最安水準の価格で、最大2ヶ月間の無料お試し利用も用意されています。 中小企業や個人事業主でも導入しやすい手軽さです。
- オンライン申込で即日利用可能 煩雑な事業者登録は不要で、Webサイトから申し込めば即日でサービス利用が開始できます。 必要なのは対応アプリ(後述)のインストールと設定ファイルの読み込みだけで、専門知識がなくてもすぐに固定IP接続が始められます。
- 「WireGuard」プロトコル採用 VPNプロトコルには高速・安全で近年注目のWireGuardを採用しています。 従来のVPNより動作が軽くモバイル環境でも安定しやすいので、在宅勤務中だけでなく移動中やモバイルワーク時にも快適です。設定もシンプルで、ITに詳しくない方でも戸惑わずに導入できます。
- 複数端末・複数人での利用にも対応 1つの固定IPアドレスを複数端末から同時接続することが可能です。 例えばチームメンバー全員が同じ固定IP経由で社内に入る設定にすれば、拠点ごと・部署ごとにIPを分けてアクセス制御するといった使い方もできます。 また利用ライセンスは1単位から柔軟に増減できるため、必要な人数分だけ契約して無駄なコストを抑えられます。 個人からスモールビジネス、大規模企業までスケールに応じた運用が可能です。
- 個人利用から法人利用まで ロリポップ!固定IPアクセスは個人・法人を問わず誰でも申し込んで利用できます。 フリーランスの方がクライアント先サーバーにアクセスする用途や、小規模オフィスでのリモートワーク管理、大企業の複数拠点VPN集約など、様々なシーンで活用されています。 系列店舗の決済システムを固定IPで一元管理する、Web制作で取引先の検証環境にアクセスする、といった使い方にも便利です。
ロリポップ!固定IPアクセスを使えば、これまでプロバイダー契約などで高コストだった固定IPアドレスを安価かつ即座に導入でき、IP制限による堅牢なアクセス管理をすぐに始められます。
テレワーク環境のセキュリティ向上に悩む中小企業にとって強力な助っ人となるでしょう。
興味のある方はぜひ公式サイトをチェックしてみてください。安全なテレワーク環境づくりの一歩として、固定IPアドレスの活用を検討してみてはいかがでしょうか。
