見出し画像

情シスが注意すべきセキュリティインシデントについて(2023年版)

ソフトクリエイトのノート

サイバー攻撃やマルウェア感染など、企業はもはやセキュリティインシデントと無縁ではいられない時代になりました。そこで今回は、どのようなセキュリティインシデントに注意すべきか統計結果などから考えていきましょう。なお、このnoteは主に中堅・中小企業の新任情シスや兼任情シス向けの内容です。

1. セキュリティインシデント経験は10社中4社という実情

サイバー攻撃は高度化・巧妙化していると言われていますが、企業のセキュリティインシデント被害状況はどのようになっているでしょうか。ソフトクリエイトの調査によると、セキュリティインシデント「経験あり」と回答した企業は41.0%に上ります。つまり10社に4社は被害にあっているという状況で、少なくない数の企業がサイバー攻撃の被害に遭っているということがわかりました。

ではセキュリティインシデント「経験あり」の企業はどのようなセキュリティインシデントに遭っているのか、順に見ると、「クライアントPCからのウイルス感染・サイバー攻撃」、「メールからのウイルス感染・情報漏えい」、「ランサムウェア攻撃」、「サーバのウイルス感染」、「機密情報の漏えい・流出・紛失」という結果になりました。

クライアントPCへのサイバー攻撃やメール経由での感染がインシデントの多くを占めていますが、昨今世間を騒がせているランサムウェア攻撃も22.0%の企業で発生していることがわかりました。企業に大きなダメージを与えるランサムウェア攻撃については、情シスは情報収集し続けるとともに、経営層などともよく対話し、組織的な対策が求められています。

▼関連記事

2. メール経由のウイルス感染は要注意!未だ猛威をふるうEmotet

多くの企業が経験しているクライアントPCのウイルス被害や不正アクセスについてもう少し詳しく見ていきましょう。IPA「コンピュータウイルス・不正アクセスの届出事例調査報告[2022年下半期(7月〜12月)]」によると、受理した被害届の件数は次のようになっていました。

●コンピュータウイルスの検知・感染被害:28 件
●身代金を要求するサイバー攻撃の被害 :18 件
●脆弱性や設定不備を悪用された不正アクセス:20 件
●ID とパスワードによる認証を突破された不正アクセス:8 件
●その他:4 件

IPA「コンピュータウイルス・不正アクセスの届出事例調査報告[2022年下半期(7月〜12月)]

そして、これらは「基本的なセキュリティ対策を実施することで、被害を防ぐことができたと思われるものが多く見られた」とのことです。既知の脆弱性や設定不備を対策せずに突破されるケースも多く、既存のVPNの脆弱性を突いて攻撃してきたランサムウェアも数多くありました。まずはメーカーなどの注意喚起のリリースをよく確認すること、ソフトウェアのアップデート対応、設定の見直しを漏れなく行うことなどが必要という認識を持つことが重要です。

メール経由のウイルスとして有名なEmotetですが、IPAによると2022年下半期には被害が減少していたとのことです。しかし、Emotetは不定期に攻撃の休止・再開を繰り返すことがわかっていて、2023年に入り再び攻撃活動が活発化していることがわかりました。こうした事態を受けてJPCERT/CCは2023年3月に「マルウェアEmotetの感染再拡大に関する注意喚起」をリリースし、その脅威を呼びかけています。 

JPCERT/CCによると、新型のEmotetは「新たな配布手法として、メールに添付されるZIPアーカイブを展開すると500MBを超えるdocファイルが展開されるなどの変化が確認されています。サイズを大きくすることでアンチウイルス製品などでの検知回避を図っていると考えられます」としています。Emotetについては、以前も下記記事をリリースしていますので参考にしてみてはいかがでしょうか。

3. セキュリティインシデントの傾向を知り、今後の対策に役立てる

これまで、サイバー攻撃は無差別に行われるもので、自己顕示や嫌がらせなどが目的であったイメージがありますが、ここ数年は特定の企業を標的にした金銭目的のものが増えていると考えられています。いまや、サイバー攻撃は「愉快犯」から「経済犯・組織犯」へと変化していると言われ、その攻撃はもはや“ビジネス”と化しているのです。

総務省 サイバーセキュリティタスクフォース事務局「サイバー攻撃の最近の動向等について」(2020 年12月)をもとに一部簡略化

ランサムウェアのケースで言うと、企業規模に応じて身代金の金額は変わり、小さな企業であっても支払い可能な金額を要求されることもあるといいます。また、標的となる企業への踏み台として利用するために、関連企業のうちセキュリティ対策が手薄な企業をまず攻撃することもあります。このような「標的型攻撃」はIPAの「情報セキュリティ10大脅威 2023」でも3位という位置付けです。

現在の攻撃者は「プロ化した集団」であり、標的となる企業を調査・研究し、攻撃シナリオを用意し計画的に、試行錯誤しながら攻略してくると考えられています。例えば、ある大手企業の攻撃を検討している場合、その企業のセキュリティ対策が堅牢であれば、関連企業やグループ会社、取引先などを調査し、侵入が容易な企業を起点に攻撃を行うこともあるようです。また、常日頃からセキュリティ対策が手薄な企業には侵入し、マルウェアなどを仕込むなど準備に余念がないといいます。

IPA「『標的型メール攻撃』対策に向けたシステム設計ガイド」をもとに作成

決して攻撃者をあなどることなく、攻撃に対して備えておき、万が一攻撃を受けた際には、その対応も含めて考える必要があります。一方で、攻撃者は侵入や攻略が難しい企業よりも、たやすく侵入できる企業を選ぶとも言われていることから、まずは基本的なセキュリティ対策を行うことが標的型攻撃の対策にもつながることでしょう。

おわりに

今回は、情シスが注意すべきセキュリティインシデントについて最近の動向とともに紹介しました。ソフトウェアのアップデートや既知の脆弱性対策などがおろそかな企業が被害に遭いやすいことから、まずは基本的なセキュリティ対策を見直してみてはいかがでしょうか。また、中堅・中小企業の方はこれからの対策を考える上で、下記の資料も有効ですので、ダウンロードしてはいかがでしょうか。

また、ソフトクリエイトは「情シスレスキュー隊」にて、情シスに役立つ様々な情報を発信しています。こちらもぜひご覧いただき、情シス業務にお役立てください。

この記事が気に入ったらサポートをしてみませんか?