2024年1月、独立行政法人情報処理推進機構(IPA)が「情報セキュリティ10大脅威」2024年度版を発表しました。これは2023年に発生した情報セキュリティ事案からIPAが選出した脅威候補から、約200名の専門家からなる「10大脅威選考会」が決定したものです。
「情報セキュリティ10大脅威」は、個人向け、および企業など組織向けの2つがありますが、今回の記事では主に組織向けのランキングで選出された脅威について紹介し、その対策について解説します。
- もくじ
1.「情報セキュリティ10大脅威 2024」とは?
2024年1月、独立行政法人情報処理推進機構(IPA)は「情報セキュリティ10大脅威 2024」を発表しました。
「情報セキュリティ10大脅威」とは、2023年に発生した情報セキュリティ事案からIPAが脅威候補を選出して、さらに「10大脅威選考会」(専門家約200名で構成)による審議・投票を元に決定されたものです。
「情報セキュリティ10大脅威」は個人向けと組織向けがあり、従来はどちらもランキング形式で発表されていましたが、2024年から個人向けは「五十音順」となりました。
これは、ランキング化すると下位への対策が疎かになるという懸念からです。
今回は「組織向けのランキング」で選出された脅威を紹介し、その対策について解説していきたいと思います。
※注意点:ランキングの高低=自組織の重要度とは限らないケースもあります。
組織向けの「情報セキュリティ10大脅威」のランキングは脅威の高さを示してはいますが、必ずしも上位の項目を優先してセキュリティ対策を行えば良いというわけではない点に注意しましょう。
なぜなら、このランキングは、社会全体で起きうる脅威を順位づけしたものであり、各組織のITの運用状況により優先される項目や対応は異なるためです。
組織によって重要度が異なることに気をつけてください。
2.組織向けランキングで見る"10大脅威"と対策
ここでは組織向けランキング順に「情報セキュリティ10大脅威」とその対策を見ていきましょう。個人の対策の参考にもしてください。
1位 猛威を振るう「ランサムウェア」
今回、最も危険であると認定された「ランサムウェア」は、ransom(身代金)とsoftwareからの造語です。ランサムウェアはウイルスの一種であり、感染したコンピューター内のデータを暗号化し、システムからいっさい利用できないようにします。
ランサムウェアで攻撃してきた犯人は暗号化したデータの「身代金」(足のつきにくい暗号通貨が利用される)を支払わない限り、暗号化されたデータを復元することはできないと脅してきます。当然ですが、犯人は暗号化されたデータに自在にアクセスできるので、データ内の個人情報や機密データを全世界に公開する、という脅しもかけてきます。
すでに日本国内でも多くの被害が報告されていて、ある病院のシステムがランサムウェアに感染した結果、電子カルテや会計システムが使えなくなり、復旧するまでに数ヶ月を要しています。
また、食品製造業の企業グループ全体で使用する基幹システムがランサムウェアに感染した結果、バックアップまで暗号化されたことで復旧に時間がかかり、決算報告書の提出延期を余儀なくされた、というものもありました。
さらに、ランサムウェアに感染した企業のシステムとネットワークで接続されていた納品先組織のシステムにまでランサムウェアの感染による被害が広がった事例もあります。これらの事例からもわかるように、一度ランサムウェアに感染すると、システムを正常な状態に戻すまでに非常に多くの時間と労力が費やされることになります。
「ランサムウェアに引っかかっても身代金を払えば良いのでは?」という考えもあるかもしれませんが、身代金を払っても本当にデータが正しく復旧できる保証はありません。また、犯人からは扱いやすい相手(カモ)とみなされ、さらなる攻撃のターゲットとなる恐れもあるので、お勧めできません。
主な対策
ランサムウェアは、メールやウェブサイトからの感染、ソフトウェアの脆弱性を突いた攻撃などによって感染します。
つまり、不用意にメールやウェブサイトに記載されたリンクをクリックしない、OSやアプリケーションは脆弱性対策を施された最新版を使用する、最新のウイルス対策ソフトを使用する、アカウントとパスワードを適切に管理する、などの一般的なセキュリティ対策がそのままランサムウェア対策となります。
2位 サプライチェーンの弱点を悪用した攻撃
昨今、企業の多くは他社と協業することでビジネスを行っています。原料の調達、製造、在庫管理、ロジスティクス、販売といったこれらの企業間の結びつきは、サプライチェーンと呼ばれます。
サプライチェーン内で最もセキュリティ対策の弱い企業を最初のターゲットとし、そこを踏み台として本来のターゲットである企業を狙うタイプの攻撃も増えてきています。
サプライチェーンには国内外のさまざまな企業が含まれることが当たり前になっています。例えば本社では厳密にセキュリティ運用を行っていても、子会社や取引先企業ではセキュリティ意識が弱く隙だらけといったこともあるでしょう。
実際、国内の光学機器メーカーのアメリカ子会社が攻撃を受け、大量の(数百ギガバイトオーダー)機密データが窃取された事例があります。また、建設コンサルティング企業のデータが、業務委託先から流出した事例もありました。
主な対策
時として世界規模にまで繋がるサプライチェーンは、今や世界中の犯罪者・犯罪組織から攻撃されることを念頭に安全確保の仕組みを構築しなければなりません。
子会社や取引先とは情報管理に関する規則を定め、攻撃を受けた場合の対応策などもあらかじめ計画しておくことが重要です。
3位 「内部不正」による情報漏洩
内部不正とは、社外への持ち出しが禁止されている機密情報が企業の社員や元社員により持ち出されるなどの行為を指します。
社員に対する必要以上に広範囲なアクセス権限の付与や、当該社員の退職後もIT管理者がアカウントを消去していなかったことによる悪用などのほか、データ窃取にUSBメモリーなどの外部記憶装置を用いる例もあります。
持ち出された情報は、金銭目的で競合他社に売却、あるいは転職を有利にするための取引材料にされることもあり、被害側企業に深刻な損害をもたらすこともあります。
例えばモバイルキャリアの元社員が、営業秘密に相当する情報を転職先企業に提供した事案があり、モバイルキャリア側は転職先の企業に10億円の支払いを求める民事訴訟を起こしています。
主な対策
内部不正を防ぐためには、利用者各人のアクセス権限を最小限に制限することや、退職者のアカウントを直ちに無効化することです。
それに加えて、USBメモリーやスマートフォンなど記録できるデバイスについて、重要なデータへアクセスできるエリア内への持ち込み禁止や利用制限などの管理が必要です。
このような管理に加えて大切なのは、メンバーの情報リテラシーの向上や、コンプライアンス教育の強化など人材面での意識変革です。
4位 「標的型攻撃」による情報窃取
標的型攻撃とは、官公庁や企業、研究所といった特定の組織をターゲットとした攻撃です。政府機関の機密情報やその企業にとって重要な知的財産に関する情報などが漏洩した場合、その影響は深刻です。
一方、高度な研究開発などに無縁で、重要な個人情報などを持たない企業であれば安全かといえば、決してそんなことはありません。その場合はサプライチェーンなどで関連した組織・企業を攻撃する際の踏み台として利用するために狙われることもあり、すべての企業は、自らが標的型攻撃のターゲットになりうるという認識を持つべきです。
日本国内では食品小売業の企業がサイバー攻撃を受け、企業情報などが流出した事案のほか、大手IT企業が提供する情報共有ツールが不正アクセスを受け、クライアントから預かっている情報が盗まれたという事件も起きています。
さらに恐ろしいのは、これらの事案のように情報窃取が判明した事例ばかりではないということです。窃取に気づかないまま、長期間にわたって機密情報を抜かれ続けている目に見えない「事案」もありえます。
標的型攻撃は、メールの添付ファイルを開かせたりリンクをクリックさせたりすることでウイルスを仕込むことから始まる例が多いです。実際の取引先などを装って数回にわたっていわゆる「なりすまし」メールを送信し、時になりすました上でのやりとりまで行って油断を誘うといった手口が使われます。ほかにも、標的の組織が多く利用するサイトを狙った不正アクセスでウイルスを仕込むといった手口もあります。
主な対策
標的型攻撃のターゲットとなりうる組織は、このような攻撃があるいうことを組織内で周知するべきです。
また、組織内の情報に関する運用ルールを定め、社員などへ付与するアクセス権限をなるべく小さくするなどして、標的型攻撃を受けた場合でも被害を最小限に抑える対策を実施しましょう。
5位 修正プログラムの公開前を狙った「ゼロデイ攻撃」
前項の脆弱性対策情報の悪用よりも危険なものとして、ゼロデイ攻撃があります。
あるOSやソフトウェアの脆弱性を最初に発見したのがベンダーや善意のユーザーであれば、情報が公開される前に修正パッチを作成し、情報公開とともに修正パッチが配布されます。しかし、攻撃者が先に脆弱性を発見した場合、攻撃用のコードが作成され、ゼロデイ攻撃が行われます。
2021年には海外メーカーのVPN機器に対して、攻撃者が認証を回避して任意のコードを実行できる脆弱性が見つかり、修正プログラムがリリースされるまでに、実際のゼロデイ攻撃が行われていました。
主な対策
いちユーザー企業がゼロデイ攻撃を完全に防ぐことは困難です。
もし自社で使用しているソフトウェアや開発用ライブラリにゼロデイ脆弱性が見つかった場合、発表されている回避策(workaround)を適用するか、それが難しいのであれば、正式なパッチがリリースされるまで当該ソフトウェアの使用中止も検討する必要があります。
6位 「不注意」による情報漏洩
どれほど安全なシステムを構築しようとも、ユーザーの不注意による情報漏洩は止められません。
メールの宛先の誤送信や、複数のメールアドレスの送信する際に宛先をBCCにするべきところをCCにしてしまい送信アドレスが受信者全員に見えてしまうミス、業務用パソコンやUSBメモリーを持ち出した社外で紛失するなど、人為的なミスによる情報漏洩は常に起こり得るのです。
2021年にも、信販事業を手掛ける企業が誤って会員のIDとパスワードを必要のない委託先に渡していた事案がありました。
また、別の例で、顧客の問い合わせメールに返信する際に、他の顧客のデータを含むファイルを誤って添付した事案もありました。
主な対策
重要情報を保存したパソコンやUSBメモリーを外出先で紛失した、といった事案は、枚挙に暇がありません。
システムでは「人間が最大のセキュリティホールである」という認識の元、ミスの起きにくい作業プロセスの検討が必要です。また、情報リテラシーの教育の一環として、不注意による情報漏洩の結果どのような被害が起きるのかを各人が正しく認識することも必要でしょう。
7位 脆弱性対策情報の公開に伴う悪用増加
ハードウェアに内蔵されているものも含めソフトウェアからバグや脆弱性を完全に取り除くことはできません。
ソフトウェアの発売・公開後にバグや脆弱性が見つかると、開発元はコードを更新し、修正プログラム(パッチ)を提供すると同時にこの脆弱性の情報を公開します。ユーザーへの注意喚起を促すためです。
しかし、対策を採らず放置している場合にこの情報を元に脆弱性を突いた攻撃が行われることがあります。
これに類する事案として、Javaでログを扱ういくつかのフレームワークで用いられているロギングツールとして「Apache Log4j」での攻撃例が挙げられます。
Apache Log4jのリモートから任意のコードが実行可能となる脆弱性(Log4Shell)が公表された際、翌日には実証用のコードが公開され、これを利用した攻撃が多数確認されました。Javaのロギングフレームワークやクラウドサービスにも影響がありました。
主な対策
脆弱性を残したシステムを何の対策も行わずに運用し、ネットに公開したままにしておくのは非常に危険です。
そのため、自社のシステムで使用しているソフトウェアやライブラリの脆弱性に関する情報には常に目を光らせておく必要があります。
しかし、システム管理者の中には脆弱性を無くすための修正パッチの適用を躊躇する場合があります。なぜかというとシステムに修正パッチを当てて変更を加えることで、システムが正常に動作しなくなる可能性があるからです。
そのようなトラブルを回避するには、実際に運用しているシステムとは別個に検証用の環境を用意しておき、情報と修正パッチが公開されたら直ちに検証を実施する体制が必要です。どうしてもすぐに修正パッチ適用ができない状況であれば、当該システムを一時停止する決断も必要でしょう。
8位 ビジネスメール詐欺による金銭被害
自社の経営者や重役、または取引先などメールの送信元として疑う余地のない送信元になりすまし、攻撃者の口座に支払わせる偽の請求書を送りつける詐欺があります。
実際の従業員のメールアカウントを乗っ取って、そこから送信する場合もあり、受け取った側は内容がおかしいと思ってもメールアドレスを見て騙されてしまうことになります。
実際に起きた事例として、海外支社の担当者宛てに本社の役員を騙ったビジネス詐欺メールが届いた事件が発生しています。内容は「機密性の高い金融取引を個人的に行いたい」というもので、実在する弁護士のメールアドレスを騙ったアドレスがCCに追加されており、信用性を高める工夫がされていたそうです。
主な対策
この手の詐欺メールは、不自然な言い回しの日本語が使われていたり、中国語フォントが使われていたりして、以前は一目見ればわかるものもありました。しかし、昨今では文章もより巧妙な仕上がりになっており、見た目だけでは判断が難しい場合もあります。
そのため、メールで支払いを要求された場合は、なりすまされたと思われるメール送信元に電話や公式Web上の問い合わせフォームなど他の手段でも確認を取るといったことも必要になります。
また、支払いに関するやりとりはメールではなくより信頼性の担保された別のシステムを利用するといった根本的な解決策も検討するべきです。
9位 テレワークなどワークスタイルの変化を狙った攻撃
2020年以降の新型コロナウイルスの蔓延により、テレワークが推奨されており、自宅からVPN経由で社内システムにアクセスしたり、Zoomなどのウェブ会議システムを利用したりする機会が急激に増加しました。
十分な準備期間がなかったため、セキュリティ面で不十分な状態で始められたテレワークに対する攻撃が増加しています。
VPN機器の修正済みの脆弱性対策を実施していない組織で、機器の認証情報が数万社分流出した事例が起きています。また、リモートワークにおいて、勤務先企業の許可を得ず(許可が不要な場合も)個人所有のパソコンを利用しているパターンも多く見られます。
主な対策
テレワークを利用する組織はセキュリティポリシーを策定し、各メンバーに遵守をさせる必要があります。
メンバーには出勤する場合とリモートワーク勤務での場合の違いを教育し、ルールに従った安全な業務遂行を心がけてもらいます。
そして、ハードウェア/ソフトウェアともにセキュリティパッチの適用を確実に実施しましょう。
10位 犯罪のビジネス化(アンダーグラウンドサービス)の増加
最近では、サイバー攻撃を目的としたツールがアンダーグラウンドで取り引きされ、さらに、攻撃を行うサービスも登場しています。
これにより、ITに関する知識がない悪意のある人がサイバー攻撃を行えるようになってしまっています。つまり、スキル・知識がなくてもフィッシングサイトなどを作成できてしまいます。
アンダーグラウンド市場では、IDやパスワード、クレジットカード情報だけでなく、ウイルスなどが売買されており、犯罪行為のビジネス化が広まっています。アンダーグラウンドの掲示板で、犯罪を行う人材募集が行われていることもあります。
2023年には日本企業の情報がダークウェブに漏洩していることが判明したり、月額でウイルスサービスが行われていたりしたことが確認されています。
主な対策
対策としては、組織として脅威に備える体制を確立しておくことがポイントになります。1位から9位までの対策を徹底することも重要です。
3.身近に迫っている10大脅威と対策ポイント
ここまで見てきたように、「情報セキュリティ10大脅威」は多岐にわたり、個人と組織で内容が異なりますが、その「攻撃の糸口」は似通っているとIPAは指摘しています。
このポイントは「情報セキュリティ10大脅威 2024 セキュリティ対策の基本と共通対策」という文書にまとめられています。
最近はクラウドサービスの利用も増え、状況が複雑化している反面、「情報セキュリティ10大脅威」を見ると意外にメールや「不注意」がきっかけになっているものもあります。
ソーシャルハッキング的な攻撃が増えているともいえます。上のIPAの文書では、脅威の対策に有効な共通事項が指摘されています。
指摘されているのは「パスワードの適切運用」「リテラシーの向上」怪しいメールのリンクを踏まない、ファイルを開かない......といった、基本的ともいる対策です。基本に忠実に、基礎対策をしっかりと行うことが、なによりの対策ポイントなのかもしれません。
まとめ
今回、IPAが公開した「情報セキュリティ10大脅威 2024」を説明しました。
個人・企業に押し寄せる情報セキュリティの脅威は多岐にわたります。
その対策に近道はありません。常に情報を収集し、ヒューマンエラーが起きにくい仕組みを導入し、各人へのITリテラシー教育を実施する正攻法こそが結局は最短の道となることでしょう。