2022年版「情報セキュリティ10大脅威」危険度ランキングから企業担当者が取るべき対策を解説

2022年8月、独立行政法人情報処理推進機構（IPA）が「情報セキュリティ10大脅威」2022年度版を発表しました。これはIPAが2011年よりセキュリティ上のさまざまな脅威の中から特に危険度の高いものをピックアップしたランキングです。

ランキングで選出された脅威は、個人向け、および企業など組織向けの2つがありますが、今回の記事では組織向けのランキングで選出された脅威について紹介し、その対策について解説します。

もくじ

1. 「情報セキュリティ10大脅威 2022」とは?
2. 身近に迫る10大脅威とその対策
   
   • 1位　猛威を振るう「ランサムウェア」
   • 2位 「標的型攻撃」による情報窃取
   • 3位　サプライチェーンの弱点を悪用した攻撃
   • 4位　テレワークなどワークスタイルの変化を狙った攻撃
   • 5位 「内部不正」による情報漏洩
   • 6位　脆弱性対策情報の公開に伴う悪用増加
   • 7位　修正プログラムの公開前を狙った「ゼロデイ攻撃」
   • 8位　ビジネスメール詐欺による金銭被害
   • 9位　ITインフラの障害による業務停止
   • 10位 「不注意」による情報漏洩
3. まとめ

1．「情報セキュリティ10大脅威 2022」とは?

2022年8月、独立行政法人情報処理推進機構（IPA）は「情報セキュリティ10大脅威 2022」を発表しました。

「情報セキュリティ10大脅威」とは、IPAが2011年よりセキュリティ上のさまざまな脅威の中から特に危険度の高いものをピックアップし、「10大脅威選考会」（情報セキュリティ分野の研究者や企業のセキュリティ担当約150名で構成）による審議・投票を元に選出したランキングです。
ランキングで選出された脅威は、個人向け、および企業など組織向けの2つがありますが、今回は「組織向けのランキング」で選出された脅威を紹介し、その対策について解説していきたいと思います。

情報セキュリティ10大脅威 2022：IPA 独立行政法人 情報処理推進機構

「情報セキュリティ10大脅威2022」サイトより引用

※注意点：ランキングの高低＝自組織の重要度とは限らないケースもあります。

なお、ランキングは脅威の高さを示していますが、必ずしも上位の項目を優先してセキュリティ対策を行えば良いというわけではない点に注意が必要です。このランキングは、社会全体で起きうる脅威を順位づけしたものであり、各組織のITの運用状況により優先される項目や対応は異なります。

2．身近に迫る10大脅威とその対策

1位　猛威を振るう「ランサムウェア」

今回、最も危険であると認定された「ランサムウェア」は、ransom（身代金）とsoftwareからの造語です。ランサムウェアはウイルスの一種であり、感染したコンピューター内のデータを暗号化し、システムからいっさい利用できないようにします。

ランサムウェアで攻撃してきた犯人は暗号化したデータの「身代金」（足のつきにくい暗号通貨が利用される）を支払わない限り、暗号化されたデータを復元することはできないと脅してきます。当然ですが、犯人は暗号化されたデータに自在にアクセスできるので、データ内の個人情報や機密データを全世界に公開する、という脅しもかけてきます。

すでに日本国内でも多くの被害が報告されていて、ある病院のシステムがランサムウェアに感染した結果、電子カルテや会計システムが使えなくなり、復旧するまでに数ヶ月を要しています。
また、食品製造業の企業グループ全体で使用する基幹システムがランサムウェアに感染した結果、バックアップまで暗号化されたことで復旧に時間がかかり、決算報告書の提出延期を余儀なくされた、というものもありました。
さらに、ランサムウェアに感染した企業のシステムとネットワークで接続されていた納品先組織のシステムにまでランサムウェアの感染による被害が広がった事例もあります。

事例からもわかるように、ひとたびランサムウェアに感染すると、システムを正常な状態に戻すまでに非常に多くの時間と労力が費やされることになります。
「ランサムウェアに引っかかっても身代金を払えば良いのでは？」という考えもあるかもしれませんが、身代金を払っても本当にデータが正しく復旧できる保証はありません。
また、犯人からは与しやすい相手（カモ）とみなされ、さらなる攻撃のターゲットとなる恐れもあるので、お勧めできません。

ランサムウェアは、メールやウェブサイトからの感染、ソフトウェアの脆弱性を突いた攻撃などによって感染します。
つまり、不用意にメールやウェブサイトに記載されたリンクをクリックしない、OSやアプリケーションは脆弱性対策を施された最新版を使用する、最新のウイルス対策ソフトを使用する、アカウントとパスワードを適切に管理する、などの一般的なセキュリティ対策がそのままランサムウェア対策となります。

2位 「標的型攻撃」による情報窃取

標的型攻撃とは、官公庁や企業、研究所といった特定の組織をターゲットとした攻撃です。政府機関の機密情報やその企業にとって重要な知的財産に関する情報などが漏洩した場合、その影響は深刻です。
では、高度な研究開発などに無縁で、重要な個人情報などを持たない企業であれば安全かといえば、決してそんなことはありません。
その場合はサプライチェーンなどで関連した組織・企業を攻撃する際の踏み台として利用するために狙われることもあり、すべての企業は、自らが標的型攻撃のターゲットになりうるという認識を持つべきです。

日本国内では食品小売業の企業がサイバー攻撃を受け、企業情報などが流出した事案のほか、大手IT企業が提供する情報共有ツールが不正アクセスを受け、クライアントから預かっている情報が盗まれたという事件も起きています。
さらに恐ろしいのは、これらの事案のように情報窃取が判明した事例ばかりではないということです。窃取に気づかないまま、長期間にわたって機密情報を抜かれ続けている目に見えない「事案」もありえます。

標的型攻撃は、メールの添付ファイルを開かせたりリンクをクリックさせたりすることでウイルスを仕込むことから始まる例が多いです。
実際の取引先などを装って数回にわたっていわゆる「なりすまし」メールを送信し、時になりすました上でのやりとりまで行って油断を誘うといった手口が使われます。ほかにも、標的の組織が多く利用するサイトを狙った不正アクセスでウイルスを仕込むといった手口もあります。

標的型攻撃のターゲットとなりうる組織は、このような攻撃があるいうことを組織内で周知するべきです。
また、組織内の情報に関する運用ルールを定め、社員などへ付与するアクセス権限をなるべく小さくするなどして、標的型攻撃を受けた場合でも被害を最小限に抑える対策を実施しましょう。

3位　サプライチェーンの弱点を悪用した攻撃

昨今、企業の多くは他社と協業することでビジネスを行っています。
原料の調達、製造、在庫管理、ロジスティクス、販売といったこれらの企業間の結びつきは、サプライチェーンと呼ばれます。
サプライチェーン内で最もセキュリティ対策の弱い企業を最初のターゲットとし、そこを踏み台として本来のターゲットである企業を狙うタイプの攻撃も増えてきています。

サプライチェーンには国内外のさまざまな企業が含まれることが当たり前になっています。
例えば本社では厳密にセキュリティ運用を行っていても、子会社や取引先企業ではセキュリティ意識が弱く隙だらけといったこともあるでしょう。
実際、国内の光学機器メーカーのアメリカ子会社が攻撃を受け、大量の（数百ギガバイトオーダー）機密データが窃取された事例があります。
また、建設コンサルティング企業のデータが、業務委託先から流出した事例もありました。

時として世界規模にまで繋がるサプライチェーンは、今や世界中の犯罪者・犯罪組織から攻撃されることを念頭に安全確保の仕組みを構築しなければなりません。
子会社や取引先とは情報管理に関する規則を定め、攻撃を受けた場合の対応策などもあらかじめ計画しておくことが重要です。

4位　テレワークなどワークスタイルの変化を狙った攻撃

2020年以降の新型コロナウイルスの蔓延により、テレワークが推奨されており、自宅からVPN経由で社内システムにアクセスしたり、Zoomなどのウェブ会議システムを利用したりする機会が急激に増加しました。
十分な準備期間がなかったため、セキュリティ面で不十分な状態で始められたテレワークに対する攻撃が増加しています。

VPN機器の修正済みの脆弱性対策を実施していない組織で、機器の認証情報が数万社分流出した事例が起きています。
また、リモートワークにおいて、勤務先企業の許可を得ず（許可が不要な場合も）個人所有のパソコンを利用しているパターンも多く見られます。

テレワークを利用する組織はセキュリティポリシーを策定し、各メンバーに遵守をさせる必要があります。
メンバーには出勤する場合とリモートワーク勤務での場合の違いを教育し、ルールに従った安全な業務遂行を心がけてもらいます。
また、ハードウェア／ソフトウェアともにセキュリティパッチの適用を確実に実施しましょう。

関連記事

脆弱性の対策「セキュリティパッチ」は管理も重要！運用サイクルを紹介

5位 「内部不正」による情報漏洩

内部不正とは、社外への持ち出しが禁止されている機密情報が企業の社員や元社員により持ち出されるなどの行為を指します。
社員に対する必要以上に広範囲なアクセス権限の付与や、当該社員の退職後もIT管理者がアカウントを消去していなかったことによる悪用などのほか、データ窃取にUSBメモリーなどの外部記憶装置を用いる例もあります。
持ち出された情報は、金銭目的で競合他社に売却、あるいは転職を有利にするための取引材料にされることもあり、被害側企業に深刻な損害をもたらすこともあります。

例えばモバイルキャリアの元社員が、営業秘密に相当する情報を転職先企業に提供した事案があり、モバイルキャリア側は転職先の企業に10億円の支払いを求める民事訴訟を起こしています。

内部不正を防ぐためには、利用者各人のアクセス権限を最小限に制限することや、退職者のアカウントを直ちに無効化することに加えて、USBメモリーやスマートフォンなど記録できるデバイスについて、重要なデータへアクセスできるエリア内への持ち込み禁止や利用制限などの管理が必要です。
このような管理に加えて大切なのは、メンバーの情報リテラシーの向上や、コンプライアンス教育の強化など人材面での意識変革です。

6位　脆弱性対策情報の公開に伴う悪用増加

ハードウェアに内蔵されているものも含めソフトウェアからバグや脆弱性を完全に取り除くことはできません。
ソフトウェアの発売・公開後にバグや脆弱性が見つかると、開発元はコードを更新し、修正プログラム（パッチ）を提供すると同時にこの脆弱性の情報を公開します。ユーザーへの注意喚起を促すためです。
しかし、対策を採らず放置している場合にこの情報を元に脆弱性を突いた攻撃が行われることがあります。

これに類する事案として、Javaでログを扱ういくつかのフレームワークで用いられているロギングツールとして「Apache Log4j」での攻撃例が挙げられます。
Apache Log4jのリモートから任意のコードが実行可能となる脆弱性（Log4Shell）が公表された際、翌日には実証用のコードが公開され、これを利用した攻撃が多数確認されました。Javaのロギングフレームワークやクラウドサービスにも影響がありました。

脆弱性を残したシステムを何の対策も行わずに運用し、ネットに公開したままにしておくのは非常に危険です。
そのため、自社のシステムで使用しているソフトウェアやライブラリの脆弱性に関する情報には常に目を光らせておく必要があります。
しかし、システム管理者の中には脆弱性を無くすための修正パッチの適用を躊躇する場合があります。なぜかというとシステムに修正パッチを当てて変更を加えることで、システムが正常に動作しなくなる可能性があるからです。
そのようなトラブルを回避するには、実際に運用しているシステムとは別個に検証用の環境を用意しておき、情報と修正パッチが公開されたら直ちに検証を実施する体制が必要です。どうしてもすぐに修正パッチ適用ができない状況であれば、当該システムを一時停止する決断も必要でしょう。

7位　修正プログラムの公開前を狙った「ゼロデイ攻撃」

前項の脆弱性対策情報の悪用よりも危険なものとして、ゼロデイ攻撃があります。
あるOSやソフトウェアの脆弱性を最初に発見したのがベンダーや善意のユーザーであれば、情報が公開される前に修正パッチを作成し、情報公開とともに修正パッチが配布されます。
しかし、攻撃者が先に脆弱性を発見した場合、攻撃用のコードが作成され、ゼロデイ攻撃が行われます。

2021年には海外メーカーのVPN機器に対して、攻撃者が認証を回避して任意のコードを実行できる脆弱性が見つかり、修正プログラムがリリースされるまでに、実際のゼロデイ攻撃が行われていました。

いちユーザー企業がゼロデイ攻撃を完全に防ぐことは困難です。
もし自社で使用しているソフトウェアや開発用ライブラリにゼロデイ脆弱性が見つかった場合、発表されている回避策（workaround）を適用するか、それが難しいのであれば、正式なパッチがリリースされるまで当該ソフトウェアの使用中止も検討する必要があります。

8位　ビジネスメール詐欺による金銭被害

自社の経営者や重役、または取引先などメールの送信元として疑う余地のない送信元になりすまし、攻撃者の口座に支払わせる偽の請求書を送りつける詐欺があります。
実際の従業員のメールアカウントを乗っ取って、そこから送信する場合もあり、受け取った側は内容がおかしいと思ってもメールアドレスを見て騙されてしまうことになります。

実際に起きた事例として、海外支社の担当者宛てに本社の役員を騙ったビジネス詐欺メールが届いた事件が発生しています。
内容は「機密性の高い金融取引を個人的に行いたい」というもので、実在する弁護士のメールアドレスを騙ったアドレスがCCに追加されており、信用性を高める工夫がされていたそうです。

この手の詐欺メールは、不自然な言い回しの日本語が使われていたり、中国語フォントが使われていたりして、以前は一目見ればわかるものもありました。
しかし、昨今では文章もより巧妙な仕上がりになっており、見た目だけでは判断が難しい場合もあります。
そのため、メールで支払いを要求された場合は、なりすまされたと思われるメール送信元に電話や公式Web上の問い合わせフォームなど他の手段でも確認を取るといったことも必要になります。
また、支払いに関するやりとりはメールではなくより信頼性の担保された別のシステムを利用するといった根本的な解決策も検討するべきです。

9位　ITインフラの障害による業務停止

オンプレミスでもクラウドでも、ITインフラに100％はありません。
自然災害や作業ミスによる事故、設備の故障により、システムが利用できなくなるケースは常にありえます。

昨年2021年にも、パブリッククラウド大手の東京リージョンで障害が発生しています。このクラウドベンダーのインフラ上でサービスを展開している銀行・証券など多くの企業のサービスに影響が出ました。

ITインフラのトラブルはあるものとして、トラブルが起きた場合の対応策を事前に検討する必要があります。
可能な限りシステムのSPoF（Single Point of Failure、単一障害点とも）を取り除き、システムの一部分が使えなくなっても、システム全体が止まることのないような設計が求められます。

10位 「不注意」による情報漏洩

どれほど安全なシステムを構築しようとも、ユーザーの不注意による情報漏洩は止められません。
メールの宛先の誤送信や、複数のメールアドレスの送信する際に宛先をBCCにするべきところをCCにしてしまい送信アドレスが受信者全員に見えてしまうミス、業務用パソコンやUSBメモリーを持ち出した社外で紛失するなど、人為的なミスによる情報漏洩は常に起こり得るのです。

2021年にも、信販事業を手掛ける企業が誤って会員のIDとパスワードを必要のない委託先に渡していた事案がありました。
また別の例で、顧客の問い合わせメールに返信する際に、他の顧客のデータを含むファイルを誤って添付した事案もありました。
重要情報を保存したパソコンやUSBメモリーを外出先で紛失した、といった事案は、枚挙に暇がありません。

システムでは「人間が最大のセキュリティホールである」という認識の元、ミスの起きにくい作業プロセスの検討が必要です。
また情報リテラシーの教育の一環として、不注意による情報漏洩の結果どのような被害が起きるのかを各人が正しく認識することも必要でしょう。

関連記事

ネットでの炎上や情報漏洩を未然に防ぐために必要な「ネットリテラシー」とは？

まとめ

今回、IPAが公開した「情報セキュリティー10大脅威2022」について解説しました。

危険度ランキングは以下の通りです。

1位　猛威を振るう「ランサムウェア」
2位 「標的型攻撃」による情報窃取
3位　サプライチェーンの弱点を悪用した攻撃
4位　テレワークなどワークスタイルの変化を狙った攻撃
5位 「内部不正」による情報漏洩
6位　脆弱性対策情報の公開に伴う悪用増加
7位　修正プログラムの公開前を狙った「ゼロデイ攻撃」
8位　ビジネスメール詐欺による金銭被害
9位　ITインフラの障害による業務停止
10位 「不注意」による情報漏洩

企業に押し寄せる情報セキュリティの脅威は多岐にわたります。

その対策に近道はありません。
常に情報を収集し、ヒューマンエラーが起きにくい仕組みを導入し、各人へのITリテラシー教育を実施していくという正攻法こそが結局は最短の道になるのです。