2023.08.22
2024.08.28
【2024年度版】情報セキュリティ10大脅威
- 文字で構成されています。
※この記事内容は
独立行政法人情報処理推進機構(IPA)が2006年から毎年発行している「情報セキュリティ10大脅威」をご存じでしょうか?この資料は、前年に発生したセキュリティ事故や攻撃の状況から、社会的に影響が大きかったトピックを「10大脅威」として選出し、各脅威の概要、被害事例、対策方法などをまとめています。
「10大脅威」は以下2つのカテゴリーに分けて選出されており、「組織向け」脅威については毎年ランキング形式で発表されています。
- 個人向け(家庭などでパソコンやスマートフォンを操作する利用者が対象)
- 組織向け(企業や政府機関等、組織のシステム管理者や社員・職員が対象)
今回は、2024年度版の「組織向け」脅威の概要と、最後に個人でできる対策をご紹介します。
順位 | 「組織」向け脅威 | 初選出年 | 10大脅威での取り扱い (2016年以降) |
---|---|---|---|
1 | ランサムウェアによる被害 | 2016年 | 9年連続9回目 |
2 | サプライチェーンの弱点を悪用した攻撃 | 2019年 | 6年連続6回目 |
3 | 内部不正による情報漏えい等の被害 | 2016年 | 9年連続9回目 |
4 | 標的型攻撃による機密情報の窃取 | 2016年 | 9年連続9回目 |
5 | 修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃) | 2022年 | 3年連続3回目 |
6 | 不注意による情報漏えい等の被害 | 2016年 | 6年連続7回目 |
7 | 脆弱性対策情報の公開に伴う悪用増加 | 2016年 | 4年連続7回目 |
8 | ビジネスメール詐欺による金銭被害 | 2018年 | 7年連続7回目 |
9 | テレワーク等のニューノーマルな働き方を狙った攻撃 | 2021年 | 4年連続4回目 |
10 | 犯罪のビジネス化(アンダーグラウンドサービス) | 2017年 | 2年連続4回目 |
出典:独立行政法人情報処理推進機構「情報セキュリティ10大脅威 2024」
出典:独立行政法人情報処理推進機構「情報セキュリティ10大脅威 2023」
1位 ランサムウェアによる被害
出典:IPA
「ランサムウェア」は、ソフトウェアの脆弱性などを利用してPC等を感染させるマルウェア(悪意のあるソフトウェア)の一種です。ランサムウェアは「組織向け脅威」として9年連続で選出され、直近4年は連続で1位になるほど、危険視されているサイバー攻撃です。
ランサム(ransom)が「身代金」を意味するとおり、攻撃者は標的組織のPC等に保存されたデータやファイルを暗号化して人質にとり、その復旧と引き換えに金銭を要求します。
定期的なバックアップ対策や従業員に対するセキュリティ教育を徹底するなど、予防策を講じておくとともに、被害が起きても迅速に対応できる体制づくりをしておくことが必要です。
ランサムウェアとは?
連載記事①~多様化する攻撃手法
連載記事②~数字でみる国内組織の被害実態
連載記事③~組織で行う予防対策
2位 サプライチェーンの弱点を悪用した攻撃
出典:IPA
「サプライチェーン」とは「供給連鎖」と訳されます。商品や製品が消費者に届くまでの一連の流れのことで、原材料の調達から販売まで様々な組織が関わっています。
攻撃者は、標的とする組織が属するサプライチェーンの中で、セキュリティ対策が甘い組織を足がかりに攻撃を仕掛けます。そして標的組織の取引先や委託先から、機密情報を入手しようとするのです。
そのため最初に侵入された組織は被害者でありながら、同時に取引先への攻撃に加担する側にもなってしまいます。このような被害を予防するためには、自組織だけでなく、委託先や利用しているサービスについても適切な管理が必要です。
3位 内部不正による情報漏えい等の被害
組織の従業員や元従業員が、不正に組織の機密情報を取得し、悪意をもって外部に漏洩させてしまうのが「内部不正による情報漏えい」です。
ひとたび情報漏えいが起きれば、組織の社会的な信用の失墜や損害賠償による経済的損失が発生します。また、不正に取得した情報が他組織に持ち込まれた場合、その組織も損害賠償を請求される恐れがあります。
このような被害を予防するためには、情報取扱いポリシーの作成やシステム操作ログの監視、従業員の異動・離職で不要になった利用者ID等を早急に削除するなどの対策が必要 です。
4位 標的型攻撃による機密情報の窃取
出典:IPA
特定の個人や組織を標的にして、機密情報を盗み取る攻撃です。
関係者になりすまして添付ファイルつきのメールを送ったり、標的がよく利用するウェブサイトを改ざんするなどして、標的組織のPCをウイルスに感染させます。
組織の内部に潜入したあとは、長期にわたって機密情報を窃取し、システムを破壊します。従来は政府や大企業が主なターゲットでしたが、地方自治体や中小企業への攻撃も発生しています。
5位 修正プログラムの公開前を狙う攻撃 (ゼロデイ攻撃)
組織がプログラムの脆弱性に対して対策を行う前に、攻撃者がその脆弱性を狙って攻撃を仕掛けるのが「ゼロデイ攻撃」です。
開発ベンダー等が脆弱性を認識しないことには、修正プログラムが作成されないという点が、ゼロデイ攻撃の予防を困難にしています。
システム管理者が主導してソフトウェアの脆弱性情報を収集し対策を行うこと、また、被害が発覚した際に即時対応できる体制を組織として整えておくことが必要です。
6位 不注意による情報漏えい等の被害
「本来は複数のメールアドレスをBccにいれて送信するはずが、Toに入れて送ってしまった」、「重要情報をカバンに入れて持ち出し、カバンごと紛失してしまった」など、個人のITリテラシーの低さやモラル不足から発生する被害です。
従業員の不注意により機密情報が流出し、社会的信用の失墜や経済的損失が生じます。
このような被害を予防するためにも、従業員の情報リテラシーやモラルを向上させるセキュリティ教育や、外部に情報を持ち出す際のルール化が必要です。
7位 脆弱性対策情報の公開に伴う悪用増加
ソフトウェアに脆弱性が見つかった際に、製品販売者はその脅威・対策について情報を公開します。この情報は製品利用者にとって有益なものですが、同時に、攻撃者にも製品の脆弱性を知らせることになります。
攻撃者は、脆弱性対策をとっていない製品利用者を標的にして攻撃を仕掛けます。このような攻撃を防ぐには、常に関連製品の情報収集を行い、攻撃のすきを与えない対策をすることが重要です。
8位 ビジネスメール詐欺による金銭被害
悪意のある第三者がビジネスメールを装い、標的組織の金銭を扱う担当者に対して偽装した請求書を送付したり、口座への送金を指示したりします。
メールには、標的となる組織のメールアカウントが使われることもあります。メールに依存しない業務フローの作成やメールアカウントの適切な管理等の対策が必要となります。
9位 テレワーク等のニューノーマルな働き方を狙った攻撃
新型コロナウイルス対策でテレワークが急速に普及したのに伴い、脆弱なテレワーク環境が狙われています。
私物PCやテレワーク機器などの脆弱性を悪用され、機密情報の窃取やWeb会議ののぞき見といった情報漏えいリスクが発生します。
警察庁によると、2023年に国内で被害報告されたランサムウェアの感染経路は「テレワーク等に利用される機器等の脆弱性や強度の弱い認証情報等を利用して侵入したと考えられるもの」が8割以上を占めています。テレワークのルール整備・順守など、組織としての対策が求められます。
10位 犯罪のビジネス化 (アンダーグラウンドサービス)
盗んだ個人情報や認証情報、攻撃ツールの売買などがビジネスとして行われているのが「アンダーグラウンドサービス」です。2023年度に続き、2024年度でも10位にランクインしました。
通常のブラウザでは検索できないウェブサイトに、サイバー攻撃に使用するサービスやツール等を取引する市場が存在しています。これにより、専門知識がなくても容易にサイバー攻撃ができるようになったといわれています。
正しい情報と知識を獲得して、脅威を遠ざける
「10大脅威」の順位は毎年変動しますが、基本的な対策の重要性が変わることはありません。IPAは、セキュリティソフトの利用やソフトウェアの脆弱性解消などの「情報セキュリティ対策の基本」だけでなく、以下の「共通対策(複数の脅威に有効な対策)」を実施することが、より効率的で広範囲な対策に繋がるとしています。
対策 | 対象 | |
---|---|---|
個人 | 組織 | |
パスワードを適切に運用する | ○ | ○ |
情報リテラシー、モラルを向上させる | ○ | ○ |
メールの添付ファイル開封や、 メールやSMSのリンク、URLのクリックを安易にしない |
○ | ○ |
適切な報告/連絡/相談を行う | ○ | ○ |
インシデント対応体制を整備し対応する | ○ | |
サーバーやクライアント、ネットワークに 適切なセキュリティ対策を行う |
○ | |
適切なバックアップ運用を行う | ○ | ○ |
出典:独立行政法人情報処理推進機構「情報セキュリティ10大脅威 2024」,p.69
組織としてセキュリティ対策することは必須ですが、組織の一員として、個人が対策できることもあります。
例えばパスワードの適切な運用です。パスワードが初期設定のままになっていたり、生年月日や連続したアルファベットなどの簡素な内容だと、攻撃者に不正ログインされるリスクが高まります。推測されにくい堅牢なパスワード設定を心がけましょう。
また、メールの添付ファイルや案内されたURLを安易に開封したり、クリックしないこともマルウェア攻撃対策として重要です。もし、不審なメールを受け取ったり、被害を受けた場合は、組織内で迅速に報告・相談しましょう。初動が遅れると被害がより深刻化する可能性があります。
セキュリティリスクがあるからといって、デジタル化推進の時代に逆行することはできません。重要なのは、デジタル化の利便性に伴うリスクを正しく理解し、対策していくことです。
インソースデジタルアカデミー(IDA)は、そのための研修を多数ご用意しています。
※本記事は2024年08月28日現在の情報です。
おすすめ公開講座
関連ページ
日々様々なサイバー犯罪がニュースになる昨今、組織の未来を変えるのは従業員のリテラシー意識です。インソースデジタルアカデミーでは組織全体でのセキュリティ強化を目指した研修を多数ご用意しています。
似たテーマの記事
2024 AUTUMN
DXpedia® 冊子版 Vol.2
Vol.1の「ChatGPT時代」に引き続き、「サイバーセキュリティの今」をテーマにMS&ADインターリスク総研株式会社との対談など、近年注目が集まるセキュリティ問題についてご紹介しております。
Index
-
PICKUP
【巻頭対談】サイバー攻撃への備え 従業員教育が欠かせない
-
冊子限定
「復旧まで1カ月以上」が2割〜国内のランサムウェア被害調査
-
冊子限定
サイバーセキュリティ今昔物語
-
冊子限定
DXpediaⓇ人気記事
-
冊子限定
【コラム】白山から宇宙へ~アポロが生んだ技術の大変革
2024 SUMMER
DXpedia® 冊子版 Vol.1
「ChatGPT時代」をテーマにDXpedia®で人気の記事を冊子にまとめました。プロンプト例を交えた解説や、様々な場面での活用法をご紹介しています。生成系AIの特性を正しく理解し、ひとりの優秀な部下にしましょう。
Index
-
冊子限定
プロンプトでAIをあやつる~前提や体裁を正しく指示して完成度UP!
-
冊子限定
AIそれはデキる部下~インソースグループの生成系AI研修
-
冊子限定
AIと作る表紙デザイン~生成系AIを有能なアシスタントにしよう
-
冊子限定
【コラム】白山から宇宙へ~未来を切り拓くSX(
-
冊子限定
DXpediaⓇ人気記事
2023 AUTUMN
Vol.12 今日からはじめるDX
Vol.12は「中堅・成長企業でのDXの進め方」がテーマです。他社リソースを上手に活用するために身につけたい「要求定義と要件定義」を解説しました。 2人の「プロの目」によるDXの取組みへのヒントに加え、身近なアプリではじめるDXを活用事例とともに紹介します。DXお悩みQ&Aでは、中小・成長企業特有の事例を取り上げました。DXをはじめるなら「今」です。
Index
2023 SPRING
Vol.11 DX革命 第二章~着手から実践へ
vol.4の続刊であるVol.11は「DX革命の実践」がテーマです。 本誌の前半ではDXの課題を4段階に整理し、各段階の解決策である研修プランを掲載しています。 後半では弊社が研修を通じてDXを支援した、各企業様の事例と成果を紹介しています。自社のDX実践に際して、何がしかの気づきを得られる内容となっています。
Index
2020 WINTER
Vol.04 DX革命
Vol.04はDX推進のための効果的な手法がテーマです。DXは喫緊の経営課題である一方、IT人材不足や高いシステム導入コストにより実現が難しいと捉えられがちです。そこで本誌では、今いる人材で低コストに推進するDXについてご紹介しております。
Index
お問合せ
まずはお電話かメールにてお気軽にご相談ください
お電話でのお問合せ
03-5577-3203