IPA*より2023年版の「情報セキュリティ10大脅威」が公開されました。
「情報セキュリティ10大脅威」はその年に社会的影響が大きいと想定される10の脅威を選出したものです。
本記事では企業などの組織への情報セキュリティ脅威と対策の概要をご紹介します。
*IPA(独立行政法人情報処理推進機構)出典【情報セキュリティ10大脅威】
情報セキュリティ 10 大脅威(組織)TOP10
1位 ランサムウェアによる被害
ランサムウェアとは、コンピューターウイルスの一種で、感染したコンピューター内のファイルやデータを暗号化して使用不能にし、復号化キーを持つ攻撃者に身代金支払わせることを目的としたマルウェアの一種です。
メールの添付ファイルや不正なwebサイトから感染することが多く、感染した場合には身代金を支払ってもデータを完全に復元することが困難な場合もあります。また、近年では攻撃手法も進化しており、感染者から他のユーザーへさらなる被害を引き起こす「ワーム型」ランサムウェアも出現しております。
ランサムウェアへの対策としては定期的なデータバックアップの取得やセキュリティソフトの導入・最新化、怪しいメールの添付ファイルやwebサイトへの注意喚起などが重要です。感染が発覚した際には、直ちに社内のセキュリティ管理者などへ相談し、安易に身代金を支払わないように注意しましょう。
2位 サプライチェーンの弱点を悪用した攻撃
商品の企画・開発から、調達、製造、在庫管理、物流、販売までの一連のプロセス、およびこの商流に関わる組織群をサプライチェーンと呼びます。サプライチェーン攻撃とは、企業のサプライチェーンに存在する脆弱性のある関連会社やベンダーを介して、ターゲット企業に侵入する攻撃手法です。
攻撃者はターゲットとなるセキュリティ対策の強固な企業・サービス・ソフトウェア等は直接攻撃せずに、セキュリティ対策が脆弱な組織やサービスを介して間接的に攻撃を行います。そのため、直接攻撃するよりも難易度が高く、発見が遅れることも多いため、標的型攻撃などに用いられることがあります。
対策としては、サプライチェーン内の企業のセキュリティ対策評価やセキュリティポリシーに準拠したベンダー選定を行うことが重要です。また、システム面では適切なアクセス制御やセキュリティ対策ツールの導入・監視を行い、検知とその後の対応を迅速に行える状態にしておくことも大切です。
3位 標的型攻撃による機密情報の窃取
標的型攻撃とは、特定の組織(官公庁、民間団体、企業等)を狙う攻撃のことであり、機密情報等を窃取することや業務妨害を目的としています。
攻撃者は、調査や情報収集を繰り返して、ターゲット組織の脆弱性を見つけ、メールなどの手段を用いて攻撃してきます。標的型攻撃は、狙われた組織向けに巧妙に作り込まれているため、完璧な防御対策を立てることは困難ですが、被害を最小限に抑えるためにも対策を行う必要があります。
攻撃の侵入を防ぐ入口対策として、ウイルス感染を入口で防ぐために最新のウイルス対策ソフトやEDRソリューションの導入が有効です。また、同時に従業員のセキュリティ意識を高めるなどの教育・訓練を行うことも大切です。
詳しい対策などに関しては下記記事をご覧ください。
4位 内部不正による情報漏えい
企業や組織の内部にいる社員や関係者が、機密情報や個人情報を不正にまたは誤って、情報漏洩を起こすことを指します。
例えば、組織に不満を持った社員が、機密情報を盗み出し、競合他社へ情報をリークするなどです。内部不正による情報漏えいは、企業や組織にとって大きな被害をもたらすことがあり、漏洩された情報が競合他社や犯罪者に渡り、ビジネス上の損失や法的な問題を引き起こす可能性があります。
これを防ぐ対策の1つとしては、情報へのアクセス制限があります。情報へのアクセス権限を必要最小限に設定し、不要な情報へアクセスさせないと共に、アクセスログを管理することで不正アクセスの検知と対応を迅速に行うことが可能です。あわせて、これまでの脅威と同様に従業員へのセキュリティ教育なども有効です。
5位 テレワーク等のニューノーマルな働き方を狙った攻撃
近年では、新型コロナウイルス感染症の影響により、テレワークやリモートワークなど、オフィス以外での働き方が増えています。
新たな働き方が進んだことに伴い、Web会議サービスや VPN 等の利用が急速に広まるとともに、そのシステムや通信が攻撃の対象とされることが増えてきました。例えば、テレワークで利用されるリモートデスクトップ接続ツールに対して、攻撃者が脆弱性を突いて不正アクセスを行ったり、VPN接続ツールに対して攻撃が行われることなどが挙げられます。
組織としての対策は、テレワーク環境として十分なセキュリティ対策をおこなっているツールや通信を選定すると共に、運用時の適切な管理や定期的な脆弱性診断などを行うことです。他にも、パスワードのほかに、SMSや生体認証(指紋認証など)を利用した多要素認証を導入することも重要です。
6位 修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃)
OS やソフトウェアに脆弱性が存在することが判明し、脆弱性の修正プログラム(パッチ)や回避策がベンダーから提供される前に、その脆弱性を悪用してサイバー攻撃が行われることをゼロデイ攻撃といいます。
システムやアプリケーションのセキュリティが最新のものであっても、攻撃者はまだ発見されていない脆弱性を悪用するため、組織として対策を打つことができず、完全に攻撃を防ぐことが難しいと言われています。
ゼロデイ攻撃に対抗するための対策としては、最新のセキュリティアップデートなどを速やかに適用すると共に、ゼロデイ攻撃が発生した場合の対処をあらかじめ策定し、攻撃に備えることが重要です。また、可能であればサンドボックスを活用することで、攻撃を未然に防ぐことができます。サンドボックスとは、不審なファイルを安全に実行して検証するためにPC内にある仮想環境のことで、万が一データを開いて確認しなければならない状況であっても、サンドボックス内で試すことで安全に確認することができます。
7位 ビジネスメール詐欺による金銭被害
悪意のある第三者が取引先等になりすまして偽のメールを送ることによって、組織や個人に対して金銭をだまし取る詐欺のことです。
例えば、取引先からの支払いを要求する偽のメールを送り、支払先口座を第三者が指定する口座に変更することで、企業が第三者の口座に支払いをしてしまうケースがあります。ビジネスメール詐欺の被害は、組織や個人の金銭被害だけでなく、信用の失墜や機密情報の漏えいなど、深刻な影響を与えることがあります。
対策としては、社員へセキュリティ教育を行い、偽のメールを見分けたり、取引先との情報共有や連携を強化するといった人的対策が重要です。また、不審なメールを検知するセキュリティソフトの導入や、メールに電子署名を付けるといった、システム的な対策も有効になります。
8位 脆弱性対策情報の公開に伴う悪用増加
脆弱性対策情報の公開は、情報セキュリティの向上に不可欠な取り組みですが、一方で悪用が増加する可能性があります。
攻撃者は公開された情報を悪用し、当該製品への脆弱性対策を講じていないシステムを狙って攻撃を行います。近年では脆弱性関連情報の公開後に攻撃コードが流通し、攻撃が本格化するまでの時間もますます短くなっています。
製品のセキュリティアップデートを迅速に適用し、常に最新の状態を維持すると共に、脆弱性関連の情報を収集するといった対策が必要です。脆弱性の情報が公開されてから対応されるまでの間を突かれるため、すぐに対応することができれば、被害を受ける可能性を最小限に抑えることができます。
9位 不注意による情報漏えい等の被害
メールの誤送信や記録端末・記録媒体の紛失等の不注意による個人情報等の漏えいです。
不注意による情報漏えいは、外部からの意図的な攻撃ではなく、従業員への教育やセキュリティ意識向上などの対策が重要になってきます。
紛失時の情報漏洩リスクを最小限にするため、セキュリティソフトなどを活用し、データの暗号化やリモートワイプなどの仕組みを構築・運用しておくことも大切です。
10位 犯罪のビジネス化(アンダーグラウンドサービス)
アンダーグラウンドサービスは、違法な商品やサービスを提供する非合法な市場のことを指し、犯罪に使用するためのサービスやツール、ID やパスワードの情報等が取引されています。
攻撃に対する専門知識が無い者でもサービスやツールを利用することで、容易に攻撃を行えるため、サービスやツールが公開されると被害が広がるおそれがあるといわれています。
組織としては、これまで通りセキュリティ対策を徹底し、定期的なセキュリティ診断や監視を行うことが必要です。また、従業員への情報セキュリティ教育を実施し、一人一人がアンダーグラウンドサービスに関する危険性を認識できるようにすることもセキュリティ強化において有効です。
「情報セキュリティ 10 大脅威 2023」で今年新しくランクインした脅威や、ランク外となった脅威もあります。
しかし、ランク外になったとしてもその脅威が無くなったわけではありません。ランク外の脅威だから対策を行わなくて良いということではなく、あらゆる脅威に対して継続しての対策が必要となります。