2022.10.11

セキュリティ対策vol.02|情報セキュリティ10大脅威 を知っていますか?

セキュリティ対策vol.02|情報セキュリティ10大脅威 を知っていますか?

情報セキュリティ10大脅威とは

「情報セキュリティ10大脅威」とは、社会的に影響が大きかったと考えられる情報セキュリティにおける事案から、IPA(情報処理推進機構)が脅威候補を選出し、情報セキュリティ分野の研究者、企業の実務担当者など約150名のメンバーからなる「10大脅威選考会」が脅威候補に対して審議・投票を行い、決定したものです。

今回は、今年は発表された「情報セキュリティ10大脅威2022」をご紹介します。

(詳細は下記URLからご覧いただけます)

IPA情報セキュリティ10大脅威 2022

https://www.ipa.go.jp/security/vuln/10threats2022.html

情報セキュリティ10大脅威 2022

情報セキュリティ10大脅威とは最初にあげたように単に「発生している数」「被害額」等の比較ではなく、専門家による脅威度の評価がなされている点で、その年のセキュリティ動向をキャッチアップできるランキングとなっていることが特徴です。

法人向けの2022年の10大脅威は下記の通りとなっています。

1位 ランサムウェアによる被害 (昨年1位)

2位 標的型攻撃による機密情報の窃取(昨年2位)

3位 サプライチェーンの弱点を悪用した攻撃(昨年4位)

4位 テレワーク等のニューノーマルな働き方を狙った攻撃(昨年3位)

5位 内部不正による情報漏えい(昨年6位)

6位 脆弱性対策情報の公開に伴う悪用増加(昨年10位)

7位 修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃)(今年初)

8位 ビジネスメール詐欺による金銭被害(昨年5位)

9位 予期せぬIT基盤の障害に伴う業務停止(昨年7位) 10位 不注意による情報漏えい等の被害(昨年9位)

10位 不注意による情報漏えい等の被害(昨年9位)

ランサムウェアについて

ランキングにもある通り、ランサムウェアによる被害は2年連続で1位となっています。ランサムウェアとは、企業の重要データを暗号化する・PCにロックをかけるなどして使用不能にし、元に戻すことと引き換えに身代金を要求するマルウェアの一種です。被害は企業の規模にかかわらず発生しており、セキュリティ対策を強化している大企業でも被害が報告されています。

ランサムウェアによる被害事例

  • 株式会社ニップン

ランサムウェアによる大規模システム障害を受け、会計システムの再構築、決算報告書の提出が3か月延期される事態となりました。

https://www.nippn.co.jp/topics/detail/__icsFiles/afieldfile/2022/02/14/20220214-1.pdf

  • 株式会社カプコン

北米現地法人が所有していた旧型VPN装置から侵入され、米国および国内拠点の各機器内のファイルを暗号化される被害を受けました。

https://www.capcom.co.jp/ir/news/html/210413.htmlhttps://www.capcom.co.jp/ir/news/html/210413.html

ランサムウェアの攻撃手口

ランサムウェアの侵入経路としては様々な形がありますが、デバイスを問わない「標的型攻撃」は誰でもいつ被害にあうかわからないところが厄介です。標的型攻撃には、「標的型攻撃メール」と「水飲み場型攻撃」の2種類があります。

標的型攻撃メール

攻撃者がターゲットに対し、ファイルを添付したメールやWEBサイトのURLを記載したメールを送信します。メールの受信者が添付ファイルを開いたり、WEBサイトにアクセスしてダウンロードしたファイルを実行することにより感染し、攻撃を受けます。

水飲み場型攻撃

ターゲットの組織や人物が普段から頻繁にアクセスするWEBサイトを改ざんし、待ち伏せるサイバー攻撃です。サイトにランサムウェア等のマルウェアを組み込んでおき、ターゲットが改ざんされたサイトにアクセスすると自動的に不正プログラムがダウンロードされ、感染する仕組みです。

情報セキュリティ対策の基本

脅威として手口の巧妙化や攻撃は違ってきていますが、従来通り

  • ソフトウェアの更新
  • セキュリティソフトの利用
  • パスワードの管理・認証の強化
  • 設定の見直し
  • 脅威・手口を知る

等が第一の対策とされており、やはり以前からの対策をどれだけ忠実にできるかが重要です。

情報セキュリティ対策の基本+α

従来の対策にプラスアルファで重要になってくるのが、現在広く使われるようになった「クラウドサービス」についての対策です。

システムの選定については、意外と担当者単位で各個人が使いやすい物を利用するといった形で、サービスの管理がされていない状況が多いのではないでしょうか。

IPAによると、クラウドサービスを利用する上では、

・責任範囲の明確化(理解)

・代替案の準備

・設定の見直し

が必要とされています。

責任範囲の明確化(理解)

トラブルが発生した場合に、誰(どの組織)が対応する責任があるのかを明確化(理解)する必要があります。

責任の明確化がされていないと、対応が後手になり、トラブルが発生した場合の発見が遅れたり、被害を最小限に食い止めることができなくなります。

代替案の準備

クラウドサービスを利用することは、サービスが停止する危険性と隣り合わせです。

自社内のデバイスでデータの保存・管理をしていれば意識する必要はありませんでしたが、前述したランサムウェアなどのネットワーク攻撃によってサービスが使えなくなる、あるいはサービスが終了したためにデータにアクセスできなくなる、ということが考えられます。 これらも事業の継続性の観点で大きなリスクとなるため、クラウドサービス以外の安全性の高い代替案を準備する必要があります。

設定の見直し

クラウドサービスはサービスの内容を変更して継続されることがあります。無料利用の範囲であったり、情報保護に関してであったりしますが、それらを見逃して設定不備の部分が出来ると、脆弱になった部分を突かれ、情報漏えいや攻撃への悪用をされることにつながります。

設定を適切にして利用をされているかを一時的に見直すだけでなく、日々のチェックが重要となります。

<ご相談はアストンへ>

アストンではセキュリティの診断から、設定までワンストップでサポートをいたします。

専門家のアドバイスや診断が必要であれば、アストンにお問い合わせください。

まずはご相談ください。


株式会社アストン TONグループ
03−4360−8676
https://aston.jp/contact/

このURLをコピーする
ブログ一覧へもどる