サイバー攻撃と聞くと、多くの人はウイルスやランサムウェアを思い浮かべるかもしれません。ところが最近は、悪意あるプログラムを入れなくても、正規の管理機能だけで業務を止められる時代になっています。たとえるなら、泥棒が窓を割るのではなく、管理室のマスターキーを奪い、正面玄関から入って館内の電源や鍵を一斉に操作するようなものです。今回のテーマは、Microsoft Intuneをめぐる海外事案から見えてきた「管理の便利さが、ひとたび乗っ取られると破壊力に変わる」という現実です。問題の本質は、端末管理ツールそのものが悪いのではなく、強い権限が集まる“管理プレーン”が狙われると、支店業務、受発注、コールセンター、営業端末まで連鎖的に止まり得ることにあります。見直すべきなのは、製品の有無よりも、誰が、どの条件で、どこまで操作できるかです。

パソコンやスマートフォンを一括で管理できるMDM（Mobile Device Management／モバイルデバイス管理）やUEM（Unified Endpoint Management／統合エンドポイント管理）は、いまや多くの企業にとって欠かせない基盤です。設定をそろえ、アプリを配り、紛失時には遠隔でデータを消せる。日々の運用ではとても便利です。

ただ、この便利さは、見方を変えると「大きな力が一点に集まっている」ということでもあります。たとえばビルの防災センターを想像してください。そこには館内放送、入退室、監視カメラ、非常電源など、建物全体を動かす機能が集まっています。平時は頼もしいのですが、もし防災センターの鍵を奪われたら、被害は一気に全館へ広がります。今回の海外事案が示したのは、まさにこの構図でした。

ポイントは、「新しい脆弱性が見つかった」という話として片づけないことです。むしろ本質は、管理者の強い権限が奪われ、正規の管理機能が悪用された点にあります。つまり、裏口から忍び込んだのではなく、管理室に入り込み、正規のスイッチを押されたのです。だからこそ、端末側のウイルス対策だけでは見えにくい。現場の警備員は不審者を見張れても、管理室の中で制服を着た人が正規のボタンを押すところまでは見抜きにくい、というイメージです。

ここで誤解したくないのは、「正規機能だから安全」というわけではないことです。包丁が料理に欠かせない道具でありながら、使い方次第で危険にもなるのと同じです。遠隔消去や設定変更の機能も、平時は事故対応や統制維持に役立ちます。しかし攻撃者にとっては、わざわざ不正なプログラムを持ち込まなくても、備え付けの道具だけで大きな破壊効果を出せる手段になってしまいます。

とくに注意したいのが、遠隔消去のような強い操作です。これは本来、紛失端末への対処として必要な機能です。しかし、誤った手に渡れば、企業の端末を一斉に初期化する“非常停止ボタン”にもなり得ます。通販なら受注や出荷、地域金融機関なら営業店や本部の端末、カード会社なら不正検知や問い合わせ対応、生損保なら営業職員や査定担当のモバイル端末にまで影響が及びかねません。一本の送電線が切れるのではなく、配電盤そのものを握られる怖さです。

さらに、個人端末の扱いも重要です。BYODはコストや利便性の面で魅力がありますが、個人端末にフル管理をかける設計は、会社の荷物を預かるために、自宅の玄関鍵まで会社に渡しているようなものです。通常は問題なくても、いざ管理権限が悪用されると、会社データだけでなく個人データまで巻き込むおそれがあります。個人端末では、必要以上に“端末丸ごとの支配権”を持たない設計がないか、改めて見直したいところです。

では、何から手をつけるべきでしょうか。第一に、広すぎる管理者権限を常設しないことです。マスターキーを何人もが常時持ち歩く状態は避けるべきです。第二に、MFAを入れて安心ではなく、フィッシングに強い認証へ質を上げること。第三に、強い権限は必要な時だけ短時間使えるようにすること。第四に、端末消去や設定変更のような重い操作には二重承認を入れることです。金庫を開けるのに二人の鍵が要るようにしておけば、一つの認証情報が奪われても被害を抑えやすくなります。加えて、監視の重点も端末の中だけでなく、認証基盤や端末管理の管理画面側へ移す必要があります。

端末管理は、もはや単なる“便利ツール”ではありません。会社全体の運行を支える司令塔です。司令塔が強力であるほど、守るべき場所もそこになります。今回の教訓は明快です。守る対象をパソコン一台一台だけで考える時代は終わりつつあります。これからは、「誰が司令塔に入れるのか」「入った人は何を一人でできるのか」を点検することが、業務継続を守る最短ルートになります。

※本内容の引用・転載を禁止します。