IT技術の普及にともない、ますます重要となっているセキュリティ対策。攻撃の手段やよくある被害などを知り、一人ひとりの情報セキュリティ意識を向上することが大切です。本記事では、「情報セキュリティ10大脅威」に触れながら、近年の傾向や対策方法などを紹介します。
情報セキュリティ10大脅威とは?
「情報セキュリティ10大脅威」とは、経済産業省所管のIPA(情報処理推進機構)が発表しているレポートです。前年に発生し、社会的影響の大きかった情報セキュリティ上の脅威を個人・組織に分け、ランキング形式でまとめています。IPAが候補を選出し、企業の実務担当者や情報セキュリティ分野の研究者をはじめ、200名が審議・投票を行いました。
「情報セキュリティ10大脅威」は、実際に発生した事案をもとに作成されるため、セキュリティ対策への理解を深めるうえで重要な資料です。本記事では、組織におけるランキング1位〜10位の脅威を対策とともに紹介していきます。
【2023年版】情報セキュリティ10大脅威と対策
2023年版「情報セキュリティ10大脅威」によると、2022年に発生し、組織において最も社会的影響の大きかった被害は、ランサムウェアによるものでした。2位はサプライチェーンの弱点を悪用した攻撃、3位は標的型攻撃による機密情報の窃取と続きます。
1位.ランサムウェアによる被害
「ランサムウェアによる被害」は、3年連続で1位にランクインしています。トレンドマイクロ株式会社が実施した「ランサムウェア攻撃 グローバル実態調査 2022年版」によると、過去3年間で日本法人の34.5%がランサムウェアの被害を受けたといわれ、データの暗号化や窃取情報の暴露、DDoS攻撃の予告、攻撃を受けていることの暴露といった被害が報告されています。また、それらを組み合わせた最大で四重脅迫の手法もあり、ランサムウェアに感染した組織を、金銭を支払わざるを得ない状況に追い込むことが特徴です。
ランサムウェアによる被害を予防するには、組織としてランサムウェア対応体制を確立することや、インシデント対応対策の整備などが有効です。
参照元:10 大脅威 2023 ~全部担当のせいとせず、組織的にセキュリティ対策の足固めを~ P34~35
ランサムウェアとは?
ランサムウェアとは、「身代金」という意味の「Ransom(ランサム)」と「Software(ソフトウェア)」からなる言葉で、「身代金要求型ウイルス」とも呼ばれています。日本では2015年ごろから被害が発生しており、2017年には世界中のコンピューターで被害が確認されるようになりました。
一般的な手法は、暗号化によってファイルを利用できない状態にしたうえで、復元を条件に金銭を要求するというものです。しかし、金銭を支払ってもファイルが戻るとは限らず、感染そのものを防ぐ必要があります。ランサムウェアについてより詳しく知りたい人は、こちらの記事を参考にしてください。
2位.サプライチェーンの弱点を悪用した攻撃
サプライチェーンとは、製品・サービスの企画や開発、調達、製造、在庫管理、物流、販売といった、製品が供給されるまでのプロセスを包括的に指す言葉です。サプライチェーン攻撃では、セキュリティ対策が強固なソフトウェアなどに直接攻撃は加えず、脆弱性のあるそのほかのプロセスを標的にすることで、間接的に企業を攻撃します。標的にされた脆弱なソフトウェアなどが踏み台となり、つながりのある企業や顧客などに被害が拡大していきます。
攻撃を受けると、機密情報の漏えいや信用性の欠落といった被害が発生します。攻撃に遭わないためには、情報管理の徹底や信用できる取引先・委託先・サービスの選定、インシデント対応体制の整備などの対策が必要です。
参照元:10 大脅威 2023 ~全部担当のせいとせず、組織的にセキュリティ対策の足固めを~ P36~37
3位.標的型攻撃による機密情報の窃取
前年2位にランクインしていた「標的型攻撃による機密情報の窃取」が、2023年版では3位となりました。標的型攻撃とは、機密情報を盗み取る目的で、特定の個人・企業を狙う攻撃です。中小企業だけでなく官公庁や大手企業なども標的にされており、ウイルスを端末やサーバーなどに感染させることで組織への侵入を試みます。これらの不正侵入により、窃取された機密情報の悪用やデータ・システムの破壊、関連組織への攻撃などが起こるリスクがあります。
標的型攻撃の主な手口は、差出人を偽ったメールを送付し、そのメールの添付ファイルを開くとウイルスに感染する方法です。「実行形式の添付ファイルは開かない」「差出人のメールアドレスを確認する」などのルールを組織全体で徹底する必要があります。
参照元:10 大脅威 2023 ~全部担当のせいとせず、組織的にセキュリティ対策の足固めを~ P38~39
4位.内部不正による情報漏えい
前年は5位にランクインしていた「内部不正による情報漏えい」が、2023年版では4位となりました。従業員や元従業員が機密情報を持ち出したり、データを悪用したりするケースや、組織内の規則を守らずにデータを持ち出し、紛失・漏えいするケースなどが報告されています。必ずしも金銭が目的ではなく、私怨やテレワークでの情報持ち出しが起因することもあります。
具体的な事例としては、区職員の逮捕や市立高での成績等の個人情報の流出、転職先への営業秘密持ち出しなどが挙げられます。内部不正者の懲戒を定めた規則整備や、情報リテラシーの向上によって被害を予防し、被害が起きた場合は早期に発見できる仕組みをつくることが大切です。
参照元:10 大脅威 2023 ~全部担当のせいとせず、組織的にセキュリティ対策の足固めを~ P40~41
5位.テレワーク等のニューノーマルな働き方を狙った攻撃
新型コロナウイルスの影響により、自宅やサテライトオフィスなどでのテレワークを推奨する企業が増加しました。その結果、脆弱なテレワーク環境を狙った攻撃が行われるようになり、ウイルス感染や社内システムへの不正アクセスなどが報告されています。また、PC内のデータの抜き取りやWeb会議の覗き見などにより、機密情報が漏えいするケースもあります。
警察庁の調査によると、2022年上半期において、リモート接続を狙うランサムウェア攻撃が多く見受けられたとのことです。テレワーカー個人が組織内の規則を守ることはもちろん、企業が組織としての体制を確立し、しっかりと予防や被害後の対応を行うことが大切です。
参照元:10 大脅威 2023 ~全部担当のせいとせず、組織的にセキュリティ対策の足固めを~ P42~43
6位.修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃)
ゼロデイ攻撃が行われると、ウイルス感染や情報漏えいだけでなく、Webページ・ファイルなどが改ざんされる恐れもあります。しかし、攻撃が発覚しても、ベンダーから対策法が提供されるまでは対応が難しく、被害が拡大する可能性も少なくありません。企業が事前に取り組める予防策も限られており、情報が公開されたらすぐに対応を行うことが大切です。
参照元:10 大脅威 2023 ~全部担当のせいとせず、組織的にセキュリティ対策の足固めを~ P44~45
ゼロデイ攻撃とは?
ゼロデイ攻撃とは、ソフトウェアなどに脆弱性が判明したとき、その対策がベンダーから提供される前に攻撃を行う手口です。多くのソフトウェアは、バージョンを更新しながらセキュリティ性やプログラム上の欠陥などを修正していきます。緊急性が高い場合は修正プログラムが配布されますが、それまでの空白期間は対策が難しく、情報公開があった当日にゼロデイ攻撃が大幅に増える傾向にあります。
万一、ゼロデイ攻撃を受けたことが発覚した場合、攻撃を受けた端末をインターネットから切り離し、被害の拡大を防ぎましょう。また、機密情報はあらかじめ暗号化したり、隔離された領域に保存したりするなど、日ごろから予防しておくことも大切です。
7位.ビジネスメール詐欺による金銭被害
ビジネスメール詐欺とは、攻撃者が取引先などになりすまして偽のメールを送信したり、メールのやり取りを乗っ取ったりする詐欺行為です。偽の銀行口座への入金を目的としており、組織間の取引になりすますことから、被害額が大きくなりやすい特徴があります。メールアドレスを巧みに偽造し、本物と区別がつきづらいケースもあり、被害の増加から警察庁でも注意喚起を行っています。
取引先や組織内でメールのみのやり取りを行っている場合、ビジネスメール詐欺に気づくのは難しいかもしれません。あやしいメールが届いたときは、電話やFAXなどメール以外で確認を行うと、被害を防止できます。
参照元:10 大脅威 2023 ~全部担当のせいとせず、組織的にセキュリティ対策の足固めを~ P46~47
8位.脆弱性対策の公開に伴う悪用増加
ソフトウェアなどで脆弱性対策情報がかえって悪用され、攻撃の手段になることもあります。なぜなら、攻撃者にとって脆弱性対策情報は、脆弱性のあるシステムを特定したり、攻撃コードなどを作成したりするメリットとして働くからです。2021年〜2022年ごろに被害が増加し、特に近年は脆弱性の情報が公開されるとすぐに攻撃コードが流通するため、被害が拡大するまでの時間も短くなってきています。
プログラムの修正を実施していない機器が攻撃対象となる可能性が高いため、日ごろから脆弱性関連情報の収集と対応を行うことが大切です。攻撃コードが公開されると被害が広範囲にわたるため、企業は対応手順をあらかじめ作成しておくとよいでしょう。
参照元:10 大脅威 2023 ~全部担当のせいとせず、組織的にセキュリティ対策の足固めを~ P48~49
9位.不注意による情報漏えい等の被害
メールの送信ミスや端末の紛失といった不注意が、情報漏えいなどの被害につながることも少なくありません。前年は10位にランクインしていた「不注意による情報漏えい等の被害」が、2023年版では9位となりました。
たとえば、「メールアドレスを“Bcc”ではなく“To”に入れて送信してしまった」「USBメモリを紛失してしまった」などのミスが挙げられます。漏えいした情報が悪用されたり、企業の信頼性を落としてしまったりと大きな損失につながる可能性があるため、外部に持ち出す情報・端末を制限するなど、誤送信を防止する仕組みが必要です。
参照元:10 大脅威 2023 ~全部担当のせいとせず、組織的にセキュリティ対策の足固めを~ P50~51
10位.犯罪のビジネス化(アンダーグラウンドサービス)
犯罪のビジネス化(アンダーグラウンドサービス)とは、ダークウェブ上で取引されている不正に入手されたID・パスワードなどの個人情報や、不正なツールやサービスを悪用することによって行われる攻撃を指します。流出した個人情報の事例として、名刺情報や従業員持株会の会員に関する氏名、証券口座情報などが挙げられます。
専門知識がない人でも容易にサイバー攻撃を行うことができてしまい、金銭の窃取や、サーバーへのDDoS攻撃など企業への業務妨害が行われています。
参照元:10 大脅威 2023 ~全部担当のせいとせず、組織的にセキュリティ対策の足固めを~ P52~53
2023年版情報セキュリティ10大脅威の昨年との違い
ここでは、上記で紹介したランキングをもとに、前年との比較をおさらいします。
組織版では「ランサムウェアによる被害」が3年連続1位
組織版においては、3年連続で「ランサムウェアによる被害」が1位にランクインしています。その中でも、ランサムウェアの感染手法として多く見られるのが、VPNの脆弱性を悪用した攻撃です。警察庁の発表によると被害件数は毎年増加傾向にあるため、引き続き重大な脅威として対策していく必要があります。
参照元:10 大脅威 2023 ~全部担当のせいとせず、組織的にセキュリティ対策の足固めを~ P34~35
「ビジネスメール詐欺」が8位から7位に変動
前年度では8位だった「ビジネスメール詐欺による金銭被害」が7位に浮上しています。ビジネスメール詐欺は一定のパターンがあると知られており、特徴や手口を知ることで未然に防げるケースも少なくありません。まずは存在を知ることからはじめ、少しでも疑わしいメールを発見したら、電話やFAXなどメール以外の方法で確認しましょう。
「犯罪のビジネス化」が圏外から10位に浮上
前年度はランク外だった「犯罪のビジネス化」が10位にランクインしています。前記の通り、攻撃を受けると金銭の窃取や業務妨害などが行われる可能性があります。
ツールやサービスなどによって攻撃手法が異なるため、対策方法を一概にまとめることは難しいかもしれません。セキュリティソフトの導入や、不正アクセスを抑止する多要素認証の利用など、普段からソフトウェアなどのセキュリティ対策を行い、自社情報が流出していないか確認しましょう。
参照元:10 大脅威 2023 ~全部担当のせいとせず、組織的にセキュリティ対策の足固めを~ P52~53
まとめ
「情報セキュリティ10大脅威」からわかるように、ソフトウェアやサービス、ネットワークなどの脆弱性を狙った攻撃が数多く行われています。また、従業員の不注意やちょっとしたミスが情報漏えいなどの重大な被害につながることもあります。日ごろから適切なセキュリティ対策を講じることが必要不可欠です。
デバイス証明書を用いた多要素認証で不正アクセスを防止したり、メール誤送信・情報漏洩対策を一括で対応できる「HENNGE One」のようなセキュリティサービスで、強固なネットワークセキュリティを確保していきましょう。
- カテゴリ:
- セキュリティ動向
