自治体職員がPC画面に表示された「セキュリティ警告」を信じ、指示に従って遠隔操作ソフトを導入した結果、第三者が端末を操作し一部データを外部へ送信したとされる事案が報じられた。現時点で情報漏えいの事実は確認されていないとされるが、攻撃者が端末内部にアクセスし得た時点で、組織としては重大なインシデントとして扱う必要がある。
この種の手口は一般に「サポート詐欺」「テクニカルサポート詐欺」と呼ばれ、偽の警告表示で利用者の不安をあおり、電話やチャット、遠隔操作を通じて端末を掌握する。自治体のように個人情報や機微情報を扱う組織では、単一端末の被害に見えても、ネットワーク横展開や資格情報の窃取に発展し、被害が連鎖する可能性がある。ここでは、攻撃の構造、起こり得る影響、そして再発防止の実務ポイントを整理する。
サポート詐欺は「不安」と「手順」で正規操作に見せかける
サポート詐欺の特徴は、マルウェアの自動感染よりも「利用者に操作させる」点にある。ブラウザ上のポップアップ、全画面表示、警告音、偽のウイルス検出画面などで危機感を演出し、「今すぐ電話」「この手順で解決」などの行動指示に誘導する。ここで利用者が指示に従うと、攻撃者は遠隔操作ツールのインストールや実行、管理者権限の付与、セキュリティ設定の無効化などを“本人の操作”として実現できる。
さらに厄介なのは、遠隔操作ソフト自体が正規製品である場合が多いことだ。市販・無料のリモートサポートツールは本来業務でも使われるため、単純なブラックリストやウイルス検知だけでは防ぎにくい。結果として、攻撃者の操作がログ上は「利用者が許可したリモートセッション」として見え、検知と初動が遅れやすい。
「漏えい未確認」でもリスク評価は最大想定で行う
報道では「現時点で情報漏えいの事実は確認されず」とされることが多い。しかし、これは「漏えいがなかった」ではなく、「漏えいを裏付ける証拠が確認できていない」という意味であることが多い。遠隔操作による侵入では、攻撃者が画面上で操作し、ファイルを選別して送信したり、クラウドストレージへアップロードしたり、メールに添付したりできる。暗号化通信や一時ファイル、クリップボード経由など、痕跡が限定的になる手段もある。
また、外部送信が「一部データ」と表現されていても、その中身が資格情報、ネットワーク構成情報、連絡先、内部手順書などであれば、二次被害の起点になり得る。情報資産の価値は、件数だけでなく“攻撃者の次の一手”に資するかどうかで決まる。
起こり得る被害シナリオ
サポート詐欺が自治体端末で成功した場合、典型的に次のようなリスクが想定される。
- ファイルの窃取・外部送信:個人情報、住民対応記録、内部文書、スキャンデータなど。
- 資格情報の搾取:ブラウザ保存パスワード、メールクライアント設定、VPNや業務システムのID・パスワード。
- 追加ツールの投入:バックドア、情報窃取型マルウェア、スクリプトの設置。
- 横展開:同一ネットワーク上の共有フォルダ探索、管理者権限奪取、別端末への侵入。
- 金銭要求・業務妨害:偽サポート費用の請求、ランサムウェアへの発展。
遠隔操作を許した時点で、端末は「攻撃者が一定時間“中にいた”」ことになる。よって、感染の有無だけでなく、侵害範囲の特定と封じ込めが最重要となる。
初動対応の要点:端末隔離と証拠保全を同時に
同種事案が発生した場合、現場でありがちな誤りは「とりあえず再起動」「ウイルススキャンだけ実施」「警告画面を閉じて業務継続」である。これらは証拠を消し、状況把握を困難にする可能性がある。実務では次の順序が望ましい。
- ネットワーク遮断:LANケーブル抜線、Wi-Fi無効化などで外部通信を止める。
- 端末の利用停止:電源断が必要かは状況次第だが、勝手な操作は避ける。
- 管理部門へ即時連絡:CSIRT/情報政策部門/委託SOCなど、窓口の一本化が重要。
- ログ・画面情報の確保:表示内容、操作手順、通話履歴、入力した情報、実行したファイル名などを記録。
- アカウント保護:当該端末で使用したアカウントのパスワード変更、セッション無効化、MFA再設定。
特に遠隔操作ソフトの種類、接続先、接続時間、インストール経路の特定は、侵害範囲の推定と再発防止に直結する。
再発防止策:技術・運用・教育をセットで設計する
遠隔操作ツールの統制(許可制・在庫管理)
遠隔操作ソフトを「使える状態」にしていると、サポート詐欺は成功しやすい。対策としては、組織で利用を認めるツールを限定し、配布・設定をIT部門が管理する。端末側で利用者が任意インストールできないよう、アプリ制御(許可リスト方式)や管理者権限の厳格化が有効だ。正規のリモート支援を使う場合も、接続には事前承認、セッション記録、接続元制限などのガバナンスを組み込む。
ブラウザ由来の偽警告への対処を標準手順化
サポート詐欺の入口はブラウザであることが多い。全画面表示や通知許可を悪用するため、ブラウザ設定(通知の既定拒否、ポップアップ制御強化)を組織標準にする。加えて、職員向けに「警告が出たら電話しない」「閉じられない場合はタスク終了しネットワーク遮断」「自己判断でソフトを入れない」といった手順を、短いチェックリストとして掲示・周知することが実効性を持つ。
権限設計とデータ持ち出し耐性
攻撃者が端末を操作できても、アクセスできるデータが最小であれば被害は限定できる。端末のローカル保存を減らし、共有フォルダや業務システムへのアクセス権を最小化する。重要データは閲覧・ダウンロードに追加認証を要求する、DLPで外部送信を監視する、業務端末からの外部ストレージ・個人クラウド利用を制限するなど、持ち出し耐性を高める設計が必要だ。
検知と可視化:EDRとログ連携
「漏えいがあったか」を判断するには、通信ログ、端末操作ログ、アプリ実行履歴などの可視化が欠かせない。EDRの導入や、プロキシ・DNS・ファイアウォールのログ集約、端末資産管理の精度向上は、事後対応の速度を左右する。遠隔操作ツールの起動や新規インストール、外部への大量通信、圧縮ファイル作成などを相関分析できる体制が望ましい。
教育は「知識」より「行動」を鍛える
サポート詐欺対策の教育は、用語説明よりも“やってはいけない行動”を体に覚えさせることが重要だ。例えば、偽警告の画面例、攻撃者が指示する典型文言、電話をかけさせる誘導、遠隔操作ソフト名の例などを示し、職員が迷ったときに即座に停止・通報できるようにする。年1回の研修だけでは足りず、短時間の定期訓練や、実際の問い合わせ対応フロー(誰に何を伝えるか)を含めた運用設計が効果的である。
自治体に求められる姿勢:個人のミスに閉じず、仕組みで防ぐ
今回のような事案は、個人の注意力不足として片付けると再発する。サポート詐欺は「一般利用者が信じてしまう」ように巧妙化しており、組織としては人間が失敗する前提で、権限・アプリ・ネットワーク・ログ・手順の各層で防御を重ねる必要がある。
遠隔操作を許してしまった場合でも、早期の隔離と証拠保全、アカウント防護、影響範囲の特定を速やかに行えば、被害の連鎖を断ち切れる可能性は高い。自治体の信頼は、インシデントをゼロにすることだけでなく、起きたときに適切に対処し、同じ類型を繰り返さない仕組みを整えることで守られる。
参照: 区役所職員がPCの「ニセのセキュリティ警告」に従って遠隔操作ソフト導入 何者かが一部データを外部送信 現時点で情報漏えいの事実は確認されず 札幌市白石区役所 – TBS NEWS DIG