「情報セキュリティ10大脅威 2023」発表!企業にとっての最大の脅威とは?
今年も経済産業省所管のIPA(情報処理推進機構)から「情報セキュリティ10大脅威 2023」が発表されました。近年被害の多いサイバー攻撃の正体を知り、対策をたてるための重要な指標について、詳しく解説します。
情報セキュリティ10大脅威とは?
情報セキュリティ10大脅威とは、情報セキュリティ上の重大な脅威をランキング形式でまとめたレポートです。経済産業省所管のIPAが選定・発表しています。
IPAが選出した脅威の候補から、情報セキュリティ分野の研究者、企業の実務担当者といった200名からなる「10大脅威選考会」による審議・投票が行われ、「個人」「組織」それぞれにおける情報セキュリティ10大脅威が決定されました。
情報セキュリティ10大脅威は、前年に発生した情報セキュリティ関係の事案から考察されるため、私たちが実際に対策していく必要のあるサイバー攻撃はどのようなものなのかを知る重要な資料です。
今回はその中でも「組織」に注目して見ていきます。
なお、それぞれの脅威についての解説書がIPAより2月下旬に発表されます。情報セキュリティ10大脅威について、より詳しく知りたい方はチェックしてみてください。
組織における情報セキュリティの脅威をチェック!
第1位:ランサムウェアによる被害
ランサムウェアとは、「Ransom(身代金)」と「Software」を組み合わせて作られた造語です。マルウェアの一種であり、感染するとシステムが暗号化され、利用できなくなります。攻撃者はメールや悪意あるWebサイトを通じてランサムウェアをばら撒き、企業のシステムを暗号化し、復元のための身代金を要求します。
情報セキュリティ10大脅威の組織部門では、3年連続1位にランクインしたランサムウェア。その被害は年々増加しています。近年では、窃取した情報を公開すると脅す「二重脅迫」、被害者の顧客や利害関係者へ連絡すると脅す「四重脅迫」など、残念ながら悪質な手口が広がる一方です。
【対策】
ランサムウェアの感染に備え、復元可能なバックアップをこまめにとることが有効です。しかし、バックアップ自体が攻撃されるケースもあるため、バックアップデータは厳重に管理できるようにしておきましょう。
第2位:サプライチェーンの弱点を悪用した攻撃
サプライチェーンとは、製品の原料・材料が調達され、消費者に届くまでの一連のプロセスのことです。このサプライチェーンの流れを利用したサイバー攻撃をサプライチェーン攻撃といいます。
サプライチェーン攻撃は、主に2つの手口があります。
グループサプライチェーン攻撃
セキュリティ対策が不十分な取引先や企業を経由し、ターゲットへ攻撃を行います。
ソフトウェアサプライチェーン攻撃
攻撃者はソフトウェアの製造・提供の工程に侵入し、更新プログラムなどに不正なプログラムを仕込みます。その後、ベンダーから配信されたプログラムを読み込んだ端末に攻撃を行います。
【対策】
自社だけでなく、取引先のセキュリティ対策情報も含めて定期的にチェックを行うことが有効です。
第3位:標的型攻撃による機密情報の窃取
標的型攻撃とは、特定の個人や組織を狙ったサイバー攻撃です。不特定多数に攻撃するサイバー攻撃と違い、ターゲットに向けて巧妙に作り込まれているのが特徴です。よく見られるケースとしては、業務メールを装い、ウイルスの添付されたメールを特定の従業員に対して配信するというものです。また、サイバー攻撃を行う者の中には「愉快犯」も珍しくありません。しかし標的型攻撃はその特性上、攻撃者が愉快犯であることはめったになく、機密情報の窃取を目的としているため、特に注意が必要です。
【対策】
実行形式(拡張子が.exe)の添付ファイルをむやみに開かないようにしましょう。また、サンドボックスを導入することも有効です。サンドボックスとは、企業のシステム内に作った「隔離された領域」を指します。不審なプログラムはサンドボックス内で実行するようにすれば、通常利用しているシステムには影響を与えずに、その実際の挙動からマルウェアかどうかを判断することができます。
第4位:内部不正による情報漏えい
企業内部の人によって機密情報が不正に扱われることを、内部不正といいます。主に機密情報の窃取、情報漏洩、データ破壊などが該当します。IPAによると、機密情報の漏洩者で最も多いのが「中途退職者」で36.3%、次が現従業員のミスによる情報漏洩で、21.1%となっています。
【対策】
内部不正の多くは退職者によって引き起こされているため、退職者のユーザーデータを社内システムから削除するようにしましょう。また、各従業員に応じたアクセス制限を設け、業務に関係のないデータには触れられないようにしておくのも有効です。
第5位:テレワーク等のニューノーマルな働き方を狙った攻撃
コロナ禍に伴うテレワークの普及により、私有端末や自宅のネットワークを業務に使用する機会が増えたことで、ネットワークのセキュリティに脆弱性が生まれました。このような業務環境の変化を狙ったサイバー攻撃が5位にランクインしています。2021年をピークに、情報セキュリティ10大脅威のランキングでは徐々に順位が下がってきています。多くの企業がテレワークに伴うセキュリティ対策に力を入れた結果と言えるでしょう。しかし現在でもVPNなど、テレワークように導入した製品の脆弱性をターゲットにしたサイバー攻撃の被害が発生しています。
【対策】
企業が自社の状況に適したテレワークのガイドラインを作成し、従業員はそれを遵守することで、テレワークの安全性は高まります。
第6位:修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃)
ゼロデイ攻撃とは、OSやソフトウェアの脆弱性が修正される前に行われるサイバー攻撃です。脆弱性が発見された場合、ベンダーは速やかに修正プログラムを公表しますが、ユーザーとの間にどうしてもタイムラグが生じます。また、攻撃者がベンダーよりも早く脆弱性を発見するケースもあるため、対策が立てにくい、厄介な攻撃です。
【対策】
攻撃そのものを未然に防ぐことが難しいため、攻撃された場合に被害を抑えることが重要です。EDR製品などを導入し、端末の不審な通信や異常をいち早く検知できる体制を整えておきましょう。メールやWebサイトから無差別にマルウェアを送信する手口が主なので、前述したサンドボックスの導入も有効です。
第7位:ビジネスメール詐欺による金銭被害
ビジネスメール詐欺(BEC)とは、偽のビジネスメールを企業に送り、攻撃者の口座に送金させる詐欺です。被害は年々増加しています。代表的な手口としては、取引先との請求書の偽装、上司などのなりすましが挙げられます。
【対策】
不審なメールは自己判断せずに、社内で共有し、相談するようにしましょう。請求書の振込先や決済手段が急に変わった場合は、メール以外の方法でも取引先に確認した方が安全です。
第8位:脆弱性対策情報の公開に伴う悪用増加
ソフトウェアの脆弱性を発見したベンダーが修正プログラムを発表する際、どのような脆弱性があったのかを公開し、対策を促しますが、この公開された脆弱性の情報を攻撃者が悪用し、まだ脆弱性への対策を行なっていないシステムに向けてサイバー攻撃が行われるケースがあります。ゼロデイ攻撃と似ていますが、ソフトウェアの修正プログラムが発表された後に攻撃が行われる点で区別されています。
脆弱性対策情報の悪用は、ゼロデイ攻撃に比べて技術的なハードルが低く、近年では脆弱性の発表から悪用までの期間が短くなっており、危険度が増しています。
【対策】
修正プログラムの発表後は、迅速にソフトウェアのアップデートを行うように心がけましょう。ソフトウェアに自動更新の機能があれば、それを活用するのも効果的です。攻撃を受けてしまった場合は、被害の拡大を防ぐために臨時のシステム停止も視野に入れましょう。
第9位:不注意による情報漏えい等の被害
サイバー攻撃とはやや異なりますが、従業員の不注意によって被害がもたらされるケースも無視できません。従業員の不注意が原因の情報漏えいは、流出した機密情報が悪用され、他のサイバー攻撃を誘発するという被害の他に、企業の社会的信用を失墜させるという被害も発生します。
とはいえヒューマンエラーの根絶は難しいため、ミスが起こった際に、企業がどのように対応するかが重要です。
【対策】
企業による情報リテラシー教育を徹底し、作業のワークフローを明確化しておくことで、ヒューマンエラーを減らすことができます。それでも不注意による情報漏えいが発生してしまった場合は、組織体制の見直し、発生原因とそれに伴う具体的な対策の公表、連絡窓口の設置など、誠実に対応することが求められます。
第10位:犯罪のビジネス化(アンダーグラウンドサービス)
近年、新たに問題になっているのがランサムウェアの産業化です。
ITスキルのない犯罪者でも、簡単にランサムウェアなどのマルウェアを配信できるパッケージが闇マーケットで販売され、それを利用したサイバー攻撃が増加しているのです。
ランサムウェアの被害のうち、どの程度がこのパッケージによって引き起こされているかは不明ですが、情報セキュリティ10大脅威 2023で初めてランクインしたことからも、かなりの被害が出ていることが示唆されています。
サイバー攻撃が産業化されつつあるとすれば、今後もサイバー攻撃は増加していく可能性が高く、各企業はセキュリティ対策をより厳重にしていく必要があるといえるでしょう。
まとめ
・IPAにより「情報セキュリティ10大脅威2023」が発表された
・2023年も組織の脅威は「ランサムウェア攻撃」が1位
・2月下旬にIPAより「情報セキュリティ10大脅威2023」の解説書が発表される
この記事が気に入ったらサポートをしてみませんか?