2023.08.22
2023.11.13
情報セキュリティ10大脅威 今ここにある危機とは
- 文字で構成されています。
※この記事内容は
独立行政法人情報処理推進機構 (IPA)が2006年から毎年発行している「情報セキュリティ10大脅威」。
前年に発生したセキュリティ事故や攻撃の状況などから社会的に影響が大きかったトピックを「10大脅威」としてランキング形式で選出、それぞれの脅威の概要、被害事例、対策方法などがまとめられています。
ランキングには、家庭などでパソコンやスマートフォンの利用者を対象にした「個人」向けと、企業や政府機関等、組織のシステム管理者や社員・職員を対象にした「組織」向けがあります。
今回はその中でも、「組織」向けの脅威と個人でできる対策についてご紹介します。
1位 ランサムウェアによる被害
出典:IPA
3年連続で1位になりました。
「ランサムウェア」とはコンピューターウイルスのことで、メールの添付ファイルを開かせたり、偽のホームページのリンクをクリックさせるなどしてPC等を感染させます。
ランサム(ransom)が「身代金」を意味するとおり、攻撃者は盗んだデータやファイルを人質にして、ターゲットを脅して金銭を要求します。
まずは、安易に添付ファイルやリンクをクリックせず、最新のウイルス対策ソフトを導入するとともに、組織として専門知識を持つ責任者の配置や被害に対して迅速に対応できる体制づくりが必要です。
2位 サプライチェーンの弱点を悪用した攻撃
出典:IPA
「サプライチェーン」とは「供給連鎖」と訳されます。商品や製品が消費者に届くまでの一連の流れのことで、原材料の調達から販売まで様々な組織が関わっています。
この中からセキュリティ対策の甘い組織を対象に攻撃を仕掛けます。
そのため最初に侵入された組織は被害者でありながら、こんどは取引先への攻撃に加担する側になります。自組織だけでなく、委託先や利用しているサービスについても適切な対応が必要です。
3位 標的型攻撃による機密情報の窃取
出典:IPA
特定の個人や組織を標的にして、機密情報を盗み取ることが標的型攻撃です。
関係者になりすましてメールを送ったり、標的にした組織がよく利用するウェブサイトを閲覧したらウイルスに感染するようにサイトを改ざんしたりして、特定の組織のPCをウイルスに感染させます。
組織の内部に潜入したあとは、長期にわたる組織の機密情報取得や、システムの破壊を目的としています。従来は政府や大企業が主なターゲットでしたが、地方自治体や中小企業への攻撃も行われています。
4位 内部不正による情報漏えい
従業員や元従業員が社内の機密情報を不正に取得し、悪意をもって外部に情報を漏洩させてしまうのが、内部不正による情報漏洩です。
ひとたび情報漏洩が起きれば、組織の社会的な信用の失墜や、損害賠償による経済的損失が起こりえます。また必要以上のアクセス権限を付与すると被害が大きくなります。
被害を食い止めるためには、情報取扱いのポリシーの作成、重要情報の管理・保護、従業員の異動・離職で不要になった利用者ID等の早急な削除などの対策が有効 です。
5位 テレワーク等の ニューノーマルな働き方を狙った攻撃
新型コロナウイルス対策でテレワークが急速に普及したのに伴い、脆弱なテレワーク環境が狙われています。
私物PCや対策不十分のまま貸与されるPCなど、組織のセキュリティ対策が適用されないところから情報漏洩リスクが発生します。
警察庁によると、2022年上半期の国内におけるランサムウェアの感染経路は8割以上がリモート接続の脆弱性に起因しています。組織のテレワークのルールと整備・順守など、組織としての対策が求められます。
6位 修正プログラムの公開前を狙う攻撃 (ゼロデイ攻撃)
プログラムの脆弱性を認識してから対策を実行する前に、その脆弱性を攻撃されるのがゼロデイ攻撃です。
プログラムにおいてセキュリティの問題がないとの認識であれば、対策は行われないため、事前に防ぐのは困難です。
システム管理者が主導して予防対策を実施し、被害の予兆や早期発見、被害発覚後に即時対応できるように準備が必要です。
7位 ビジネスメール詐欺による金銭被害
悪意のある第三者がビジネスメールを装い、ターゲットに対して偽装した請求書を送付したり、口座への送金を指示したりします。
メールには、標的となる組織のメールアカウントが使われることもあります。メールに依存しない業務フローの作成やメールアカウントの適切な管理等の対策が必要となります。
8位 脆弱性対策情報の公開に伴う悪用増加
ソフトウェアに脆弱性が見つかった際に、製品販売者はその脅威・対策について情報を公開します。この情報は製品利用者にとって有益なものですが、同時に、攻撃者にも製品の脆弱性を知らせることにもなります。
攻撃者は、脆弱性対策をとっていない製品利用者をターゲットにして攻撃を仕掛けます。このような攻撃を防ぐには、常に関連製品の情報収集を行い、攻撃のすきを与えない対策をすることが重要です。
9位 不注意による情報漏えい等の被害
「本来は複数のメールアドレスをBccにいれて送信するはずが、Toに入れて送ってしまった」「重要情報をカバンに入れて持ち出し、カバンごと紛失してしまった」など、個人のITリテラシーの低さやモラル不足から発生するものです。
従業員の情報リテラシーや情報モラルの向上のため、セキュリティ教育や外部に情報を持ち出す際のルール化が必要です。
10位 犯罪のビジネス化 (アンダーグラウンドサービス)
2023年度版でランクインしました。
盗んだ個人情報や認証情報、攻撃ツールの売買などがビジネスとして行われているのがアンダーグラウンドサービスです。
通常のブラウザでは検索できないウェブサイトに、サイバー攻撃に使用するサービスやツール等の取引市場が存在しています。これにより、専門の知識がなくても容易にサーバー攻撃ができるようになったといわれています。
正しい情報と知識を獲得して脅威を遠ざける
「10大脅威」の順位は毎回変動しますが、IPAでは以下を複数の脅威に有効な対策としています。
出典:IPA
組織としてのセキュリティ対策が必要ですが、個人として実施できることもあります。
例えばパスワードです。
まず同じパスワードを使うはやめましょう。
また、パスワードが初期設定のままになっていたり、生年月日や連続したアルファベットだったりすると、攻撃者に不正ログインをされやすくなります。早急に推測されにくいパスワードへの変更が必要です。
メールやSNSのリンクやURLに安易にクリックしないことも重要です。
よく利用するウェブサイトはブックマークしておいて、アクセスするようにしましょう。
もし被害を受けたら、決められた人や組織への報告・相談が必要です。誰にも相談しないままでいると、被害が拡大する可能性もあります。
しかし、いくらセキュリティリスクがあるからといって、メールやSNS、ウェブサイトから一切離れるわけにはいきません。
デジタル化の推進は時代の流れであり、後戻りはできません。必要なのはデジタル化の利便性向上とそのリスクを正しく知る事です。
インソースデジタルアカデミー(IDA)は、そのための研修を多数ご用意しています。
※本記事は2023年11月13日現在の情報です。
おすすめ公開講座
関連ページ
日々様々なサイバー犯罪がニュースになる昨今、組織の未来を変えるのは従業員のリテラシー意識です。インソースデジタルアカデミーでは組織全体でのセキュリティ強化を目指した研修を多数ご用意しています。
似たテーマの記事
2023 AUTUMN
Vol.12 今日からはじめるDX
Vol.12は「中堅・成長企業でのDXの進め方」がテーマです。他社リソースを上手に活用するために身につけたい「要求定義と要件定義」を解説しました。 2人の「プロの目」によるDXの取組みへのヒントに加え、身近なアプリではじめるDXを活用事例とともに紹介します。DXお悩みQ&Aでは、中小・成長企業特有の事例を取り上げました。DXをはじめるなら「今」です。
Index
2023 SPRING
Vol.11 DX革命 第二章~着手から実践へ
vol.4の続刊であるVol.11は「DX革命の実践」がテーマです。 本誌の前半ではDXの課題を4段階に整理し、各段階の解決策である研修プランを掲載しています。 後半では弊社が研修を通じてDXを支援した、各企業様の事例と成果を紹介しています。自社のDX実践に際して、何がしかの気づきを得られる内容となっています。
Index
2020 WINTER
Vol.04 DX革命
Vol.04はDX推進のための効果的な手法がテーマです。DXは喫緊の経営課題である一方、IT人材不足や高いシステム導入コストにより実現が難しいと捉えられがちです。そこで本誌では、今いる人材で低コストに推進するDXについてご紹介しております。
Index
お問合せ
まずはお電話かメールにてお気軽にご相談ください
お電話でのお問合せ
03-5577-3203