偽のセキュリティ警告で不安をあおり、電話やチャットで手順を指示して遠隔操作ソフトを入れさせるのがサポート詐欺です。マルウェアの自動感染ではなく「本人に操作させる」ため、実行履歴上は正規操作に見えやすいのが厄介です。遠隔操作ツール自体が正規製品の場合も多く、単純なウイルス検知やブラックリストでは防ぎ切れません。
情シスとしては、端末単体の問題で終わらず、資格情報の窃取やネットワーク横展開に発展する前提で捉える必要があります。遠隔操作を許した時点で、攻撃者が端末内の情報にアクセスできた可能性が生じます。したがって「利用者のミス」として矮小化せず、インシデントとして扱う判断基準を明確化しておきます。
報道でよくある「漏えい未確認」は、漏えいが無かった証明ではなく、確認できていない状態を指すことが多いです。遠隔操作では、画面操作でファイル選別やクラウドへのアップロードが可能で、痕跡が限定的な経路も取り得ます。件数が少なく見えても、ID・パスワードや内部手順書、構成情報などが含まれれば二次被害の起点になります。
評価では、端末内に保存されたデータだけでなく、当該端末がアクセスできる共有フォルダや業務システム権限まで範囲を広げます。特にブラウザ保存パスワード、メール、VPN、管理ツールなどは優先的に確認対象です。調査の可否はログの有無に左右されるため、平時から可視化基盤の整備も重要です。
現場が再起動や自己流のスキャンで済ませると、証拠が失われ状況把握が遅れます。まずはネットワーク遮断(LAN抜線、Wi-Fi無効化)で外部通信を止め、端末の利用を停止します。次にCSIRT/SOC/情シス窓口へ即時連絡し、対応の一本化を徹底します。
並行して、表示されていた文言、実行したファイル名、導入した遠隔操作ツール名、接続時間、通話履歴、入力してしまった情報を記録します。当該端末で使ったアカウントはパスワード変更・セッション無効化・MFA再設定を行い、横展開を防ぎます。遠隔操作ツールの接続先やインストール経路の特定は、侵害範囲推定と再発防止の要になります。
技術面は、遠隔操作ツールを許可制にし、アプリ制御(許可リスト)と管理者権限の厳格化で任意インストールを抑止します。正規のリモート支援も、事前承認、接続元制限、セッション記録などのガバナンスを組み込みます。ブラウザ起点が多いため、通知の既定拒否やポップアップ制御を標準化し、閉じられない警告時の手順(電話しない/ネットワーク遮断/タスク終了/連絡)を短いチェックリストで周知します。
運用面は、最小権限とローカル保存削減で「操作されても持ち出せない」設計に寄せます。重要データの追加認証、外部送信監視(DLP)、個人クラウドや外部ストレージ制限も検討対象です。検知面ではEDRとプロキシ/DNS/FWログの集約により、遠隔操作ツール起動や大量通信、圧縮ファイル作成などを相関で追える状態を作ります。教育は知識より行動を重視し、典型画面と通報訓練で「止める・切る・知らせる」を反射でできるようにします。
