見出し画像

企業が直面する情報セキュリティ脅威

株式会社DMM Bitcoinは2024年11月29日、口座と預かり資産をSBI VCトレード株式会社へ移管することについて両社間で合意、12月1日廃業の意向を発表しました。5月末に当時のレートで482億円相当のビットコイン(4502.9BTC)の不正流出しました。

2024年上半期のセキュリティインシデントは551件と、近年公表されている件数は全体的に増加傾向にあります。

IPA(情報処理推進機構)が2024年1月に「情報セキュリティ10大脅威 2024」を発表しました。「情報セキュリティ10大脅威 2024」は、2023年に発生した社会的に影響が大きかったと考えられる情報セキュリティにおける事案から、脅威候補を審議・投票を行い、決定したものです。


情報セキュリティ10大脅威 2024は以下の通りです(1~5位を紹介します)

情報セキュリティ10大脅威

1位:ランサムウェアによる被害

ランサムウェアとは、重要なデータを暗号化ししたりして使用不能にし、解除の条件として身代金を要求するマルウェアです。近年では株式会社KADOKAWAがランサムウェア攻撃により254,241人の個人情報が流出しました(株式会社KADOKAWA発表)


2位:サプライチェーンの弱点を悪用した攻撃(サプライチェーン攻撃)

標的となる企業の関連会社・委託先・取引先など、セキュリティの脆弱な組織を攻撃し、それを踏み台にし標的企業を攻撃する方法です。比較的セキュリティレベルが低い企業を経由し、セキュリティレベルの高いターゲット企業を攻撃します。

グループ子会社が不正アクセスを受け、さらにネットワークを経由し親会社も被害を受けた事例があります。結果として大量の顧客データ・従業員データが外部へ流出しました。


3位:内部不正による情報漏えい等の被害

組織関係者による重要情報の不正な持ち出しや情報漏洩を指します。従業員のミスなど意図せず情報漏洩してしまったケースも含みます。

パートナー企業の技術者が、企業秘密のデータを外部へ持ち出し、自身の転職先である企業にその情報を提供した、情報漏洩事件があります(事例1)


4位:標的型攻撃による機密情報の窃取

機密情報を目的に特定のターゲットを狙うサイバー攻撃です。知的財産を保有している組織が狙われやすい傾向にあります。

事例として、日本年金機構をターゲットに標的型攻撃メールにより101万4,653件(約125万人分)もの個人情報が漏えいした例があります。「厚生年金制度見直しについて(試案)に関する意見」という件名のメールが届き、職員がメールの添付ファイルをダウンロードした結果、職員のパソコンがウィルスに感染しました。


5位:修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃)

脆弱性を解消するための対策が提供される前に行われるサイバー攻撃を指します。

2019年にMicrosoft社の「Internet Explorer」の脆弱性を狙って、ゼロデイ攻撃がありました。2020年2月に修正プログラムが提供されましたが、それまでの期間にユーザーが被害にあった可能性があるとされています。


まとめ

セキュリティに脆弱性があれば、周囲に迷惑をかける可能性があります。

自社のセキュリティの安全度を確認するために、試しにIPAの情報セキュリティ自社診断(以下)でチェックしててもいいかもしれません。


引用:中小企業の情報セキュリティ対策ガイドライン第3.1版_概要説明資料(付録4 5分でできる!情報セキュリティ自社診断)


いいなと思ったら応援しよう!