ここではIPA(情報処理機構)がまとめた2022年の情報セキュリティ10大脅威を参考に、企業がどのようなサイバー攻撃の脅威にさらされているのか傾向を分析。その上で今後必要とされる対策として何が有効なのかを考えます。
「2022年情報セキュリティ10大脅威」はIPAが2021年に発生した影響の大きかった情報セキュリティ事案をピックアップ。約150名の研究者・メンバーが審議・投票を行い、その中から10大脅威としてランキング形式にまとめた資料です。
ランキングには個人編と組織編がありますが、企業が関わる組織編の結果は以下の通りです。
1位 | ランサムウェアによる被害 |
---|---|
2位 | 標的型攻撃による機密情報の窃取 |
3位 | サプライチェーンの弱点を悪用した攻撃 |
4位 | テレワーク等のニューノーマルな働き方を狙った攻撃 |
5位 | 内部不正による情報漏えい |
6位 | 脆弱性対策情報の公開に伴う悪用増加 |
7位 | 修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃) |
8位 | ビジネスメール詐欺による金銭被害 |
9位 | 予期せぬIT基盤の障害に伴う業務停止 |
10位 | 不注意による情報漏えい等の被害 |
情報セキュリティ10大脅威のランキングでは前年度の順位も掲示しています。新たに加わった7位の修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃)の他に、6位の脆弱性対策情報の公開に伴う悪用増加は2021年の10位からランクアップしています。
その他、順位を上げているものとして4位→3位のサプライチェーンの弱点を悪用した攻撃、6位→5位の内部不正による情報漏えいがあります。こうした順位の動きから今後注意したいサイバーセキュリティ脅威を見ていきましょう。
脆弱性診断(セキュリティ診断)とは?
目的や必要性について詳しく見る
6位の脆弱性対策情報の公開に伴う悪用増加と7位の修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃)の両者は深く関わっています。前者は公開された脆弱性対策情報を利用し、まだ対策を講じていないシステムを探して攻撃するものです。
後者は脆弱性を修正するパッチが配信される前にサイバー攻撃を仕掛けます。どちらもシステムの脆弱性対策の遅れを狙う点では共通しています。
当サイトのSSRF脆弱性の事例にもありますが、マイクロソフトは2022年9月にサーバーにゼロデイ脆弱性があることを発表し、標的型攻撃が確認されたとしています。
サプライチェーンとは商品の企画・開発から製造、物流、販売までの一連のプロセスのこと。本社だけでなく事業者や子会社、関連会社などから成り立っています。この攻撃はその中でセキュリティ対策の弱い企業を狙うものです。
そこから機密情報などを盗み出し、本来標的としていた本体の企業への不正アクセスなど攻撃の足掛かりとします。また子会社のシステムから侵入し、ネットワーク経由で親会社のシステムに入り込むケースもあります。
当サイトの製造業のサイバーセキュリティ被害事例の中でタカミヤの顧客情報漏えい+ランサムウェア感染の被害やポルシェジャパンの顧客流出が紹介されていますが、これらはサプライチェーンの弱点を悪用した攻撃が疑われます。
従業員や職員の機密情報の持ち出しや悪用による情報漏えい被害のことです。在職者・離職者が悪意を持って不正に情報を持ち出すケースと、悪意はないもののルールを守らずに勝手に情報を外部に持ち出し紛失するケースがあります。
これらは外部の攻撃者からのサイバー攻撃による被害とは性質が異なり、アクセス権限・管理の強化、社内の情報管理規定の遵守、従業員・職員のセキュリティ教育などを行うことで防止可能な部分があります。
当サイトでも不正閲覧・不正アクセスの事例として電力会社の複数社員が顧客情報を不正に閲覧、USBメモリ・モバイル機器紛失の事例では、無許可で持ち帰ったUSBメモリを教員が紛失など、社員訓練で防げるリスクとして紹介しています。
情報セキュリティ10大脅威の中で増加傾向にある攻撃を分析すると、攻撃者はほんの少しのすき間を突いていることがわかります。脆弱性が修正される前の時間を使ったり、標的企業からは遠回りして関係会社から狙っています。
それは従来に比べると技術的なセキュリティ対策を行っている企業が増え、不正アクセスを困難にしているとも言えます。注意したいのは人為的ミスやモラルの低い従業員によるリスクはシステマティックな対策が難しいことです。
またサイバーセキュリティ対策は時間の経過とともにすぐに陳腐化します。従業員教育も含め、当サイトで紹介されている事例のような脅威にさらされる可能性がないか診断した上で、次の脅威に向けOODAループを回していくことが重要です。
当ページの監修協力であるホワイトハッカーが所属する株式会社アルファネット。事務機器用品を中心とするカタログ通販サービス「たのめーる」が有名な大塚商会のグループ企業です。
大塚商会はコンピュータ・ネットワーク関連のシステムインテグレーション事業や、コンピュータ機器の保守、アウトソーシングのサービスも中核にしており、その中でアルファネットはサイバーセキュリティ対策の専門グループ企業として活躍しています。
巨大なデータベース・ネットワークを日々守り続けているのは、ホワイトハッカーの主導による正確な診断と、ツールによる包括的な診断によるもの。大塚商会のグループ企業や顧客を中心に、そのサービスを提供してきました。
またメール訓練など、社員育成の提供にも力を入れています。
ペネトレーションテスト(Webアプリケーション侵入試験)/標的型メール訓練サービス/情報セキュリティ教育/CSIRT構築/クラウド型WAFサービス/セキュリティ診断サービス/ランサムウェア対策調査サービス