2023年3月3日
情報セキュリティ対策の強化等、IT推進を担う独立行政法人であるIPA(情報処理推進機構)が毎年、情報セキュリティ10大脅威を発表しています。2016年より、個人向けの脅威、組織向けの脅威がそれぞれ選出されています。
先日、2023年版の情報セキュリティ10大脅威について、組織編の解説書が公開されました。
最新の情報セキュリティ対策を把握するために、まず目を通しておきたい資料かと思います。ご一読を強くお勧めいたします。
2023年の10大脅威は以下の通りです。
(IPA「情報セキュリティ10大脅威 2023」を基にJPAC作成)
当然のことながら、様々な要因によって脅威の順位は変動します。上記グラフは2023年版10大脅威(組織編)の過去順位の推移になります(IPAが発表した過去の情報セキュリティ10大脅威の順位を基に当機構にて作成。脅威の名称については年によってやや変化があるものもありますが、2023年版と同一の脅威とみなした)。
本ブログでは、2023年版で1位~3位となった3つの脅威について、過去の順位の推移とあわせて参考となる情報などをお伝えします。
ランサムウェアによる被害は2016年段階で7位に順位付けされており、上下はありましたが2021年からは3年連続で1位となっています。やはり今もっとも注視しなければならない脅威だと言えます。
当機構でも2022年1月にホワイトペーパー「拡大するランサムウェアビジネス(執筆:セキュリティリサーチャーキタきつね氏)」を公開しており、その段階でもランサムウェアによる被害は拡大しておりましたが、その後も被害件数は増大の一途をたどっています。
以下の画像は警察庁による「令和4年上半期におけるサイバー空間をめぐる脅威の情勢等について」における被害件数になります。
令和2年の上半期は21件でしたが、令和4年上半期には114件と4倍以上になっています。
出典:企業・団体等におけるランサムウェア被害の報告件数の推移 (警察庁 2022/9)
また、報道等では大企業や病院の被害が目立っていますが、トレンドマイクロ社によるランサムウェア被害の実態説明によると今後、中堅中小企業への攻撃が増えることが予想されています。企業の規模によらず注意が必要な脅威です。
ランサムウェア対策を検討する上でまず最初にご確認を推奨したいのが、内閣サイバーセキュリティセンター(NISC)の「ストップ!ランサムウェア特設ページ」になります。NISCの他、経済産業省、警察相、関係機関の取組へのリンクがまとまっております。
当機構ホワイトペーパーにおいても、2021年末時点の情報を元にしたものですが、ランサムウェア被害の現状や歴史、攻撃手法や、キタきつね氏が考える優先すべきランサムウェア対策等をご説明しておりますのでご参考になさってください。
サプライチェーンの弱点を悪用した攻撃は2019年に初めて4位に順位付けられてから毎年選出されており、2023年には2位となっています。
サプライチェーン攻撃は、「取引先、協力会社、委託先等のサプライチェーンを狙う場合」と「ソフトウェアの開発元やMSP(マネージドサービスプロバイダ)を攻撃する場合(ソフトウェアサプライチェーン攻撃)」に大別できると考えられます。
前者の典型的な事例としては、製造業において、セキュリティ対策が強固な大企業を直接狙うのではなく、セキュリティ対策が不十分なサプライヤー等を踏み台にするような場合かと考えられます。2022年も取引先や海外子会社経由で攻撃を受けた事例が複数報道されました。
後者のソフトウェアサプライチェーン攻撃における比較的最近の事故事例としては、WEBサイトにおけるフォームの入力をサポートするサービスが改ざんされ、当該サービスを利用しているWEBサイトから利用者の個人情報が漏えいした事件があげられます。
サプライチェーン攻撃については、「経済産業省によるサイバーセキュリティ経営ガイドライン」においても対策の推進方法が解説されていますので、情報セキュリティ10大脅威と合わせてご確認をおすすめいたします。
特定の組織を標的にして、様々な手口で機密情報を詐取しようとする手法が標的型攻撃です。2016年から2020年まで1位とされていましたが、上述のランサムウェアによる被害、サプライチェーンの弱点を悪用した攻撃の順位上昇により2023年は3位とされています。とはいえ、重大な脅威であることに変わりはありません。
攻撃の手口としては、本物に偽装したメールに添付したファイルやリンク先からウイルスに感染させる、組織が利用するクラウドサービスやWEBサーバー、VPN等へ不正アクセスし、認証情報を詐取するといったものが発生しています。
標的型攻撃の典型的な事例としては、2015年に発生した日本年金機構からの大規模な個人情報の漏えい事件があげられるかと思います。この事件では、日本年金機構の業務に関連する連絡等を偽装した攻撃メールが複数回送られていました。
■参考
不正アクセスによる情報流出事案に関する調査結果報告(平成27年8月20日 日本年金機構 不正アクセスによる情報流出事案に関する調査委員会)
標的型攻撃においては、特定の組織ごとにメール文面等が作成され、人間の心理的な隙や行動のミスを突くソーシャルエンジニアという手法が用いられる等、高度な攻撃の手口が用いられます。IPAでも標的型攻撃対策の特設ページを設けていますので、ご一読をおすすめいたします。
個人情報に関わる資格制度の運営や社員教育、認証付与など総合的ソリューションを提供し、個人情報保護の推進に貢献してまいります。