IT機器の発達やDXの推進は必ずしもメリットだけを享受できるわけではなく、その活用にはさまざまなリスクが顕在しています。ここでは情報社会の今知っておきたい、2023年の情報セキュリティ10大脅威から見る対策方法を紹介・解説していきます。
2023年情報セキュリティ10大脅威とは、IPA(情報処理推進機構)が脅威候補を選出し情報セキュリティ分野の研究者や企業の実務担当者といったメンバーからなる「10大脅威選考会」が審議・投票を行い、決定したものです。組織における脅威としては「ランサムウェアによる被害」や「サプライチェーンの弱点を悪用した攻撃」「標的型攻撃による機密情報の窃取」がベスト3に入っており、これは前年から引き続きの脅威となっています。一方で10位にランクインしている「犯罪のビジネス化」については、前年圏外からのランクインとなっており新たな脅威として認識されています。
1位 | ランサムウェアによる被害 |
---|---|
2位 | サプライチェーンの弱点を悪用した攻撃 |
3位 | 標的型攻撃による機密情報の窃取 |
4位 | 内部不正による情報漏えい |
5位 | テレワーク等のニューノーマルな働き方を狙った攻撃 |
6位 | 修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃) |
7位 | ビジネスメール詐欺による金銭被害 |
8位 | 脆弱性対策情報の公開に伴う悪用増加 |
9位 | 不注意による情報漏えい等の被害 |
10位 | 犯罪のビジネス化(アンダーグラウンドサービス) |
組織における10大脅威としては、「修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃)」や「ビジネスメール詐欺による金銭被害」が前年よりも順位を上げてきています。これらはいずれも組織的な犯行グループによる被害が報告されている状況ですので、まずはそういった脅威があることを知ったうえで対策を講じるようにしましょう。これらの被害に合うと情報漏えいやウイルス感染などといった影響を受ける可能性があるほか金銭的な被害が生じる場合もありますので気を付けましょう。
脆弱性診断(セキュリティ診断)とは?
目的や必要性について詳しく見る
近年では犯罪に使用するサービスやツールなどのログイン情報がアンダーグラウンド市場で取引されるという例が増えており、これらを悪用しての攻撃が多くなっています。攻撃者はITに関する知識がなくてもその販売されているログイン情報などを購入することで容易にサーバー攻撃を行うことができるようになりますが、購入者がいるため販売する者が後を絶たず、これらの情報販売のビジネス化が図られています。こういった脅威から身を守るためには、被害に巻き込まれることがないようにインターネット上での自身の個人情報の取り扱いには最大限の注意を払うようにしましょう。
商品は消費者の元に届けられるまで、企画・開発・原材料の調達・製造・在庫管理・物流・販売といった流れを経ており、この一連の流れはサプライチェーンと呼ばれています。このサプライチェーンの弱点を悪用した攻撃では、犯罪者はセキュリティの強固な標的を直接攻撃するのではなく、サプライチェーンの中でセキュリティの脆弱な箇所を狙い、その箇所を足掛かりにして段階的または間接的に標的を攻撃してきます。自社内のセキュリティをいくら強固にしていても、取引先や客先までは、なかなか管理できないのが現状です。こうした、サプライチェーンの弱点を突いてくるのがこの手口の特徴なのです。ソフトウェア開発のライフサイクルを利用し、ソフトウェアの開発元やサービス提供元に不正アクセスし、ソフトウェアやサービスを改ざんしてウイルスなどを仕掛け、標的の企業や組織にダメージを与えるといった手口もみられます。
内部不正による情報漏えいは、金銭目的や私怨などのため、企業や組織の関係者・元関係者が顧客情報や技術情報などの重要な機密情報を不正に持ち出し、不特定多数の人が閲覧できる場所に公開したり、競合他社へ情報を提供したりするものです。故意に行われるケースもありますが、悪意はなく、自宅で仕事をするために社内規則に従わず重要な機密情報を持ち出してしまい、外部に漏洩してしまうケースもみられます。
修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃)は、ソフトウェアやアプリケーション、OSなどに脆弱性があり、その脆弱性に犯罪者が先に気が付いてしまった場合、その脆弱性を利用して行われる攻撃のことです。ソフトウェアやアプリケーション、OSに脆弱性が発見された場合は、修正プログラムが配布されるなど対応策が施されますが、犯罪者はその前に脆弱性を利用して攻撃してきます。この手口は事前に対応することが非常に難しく、確実に防ぐことは困難なのが現状です。
ビジネスメール詐欺とは、悪意のある第三者が、企業や組織の担当者になりすまし、偽のメールを送りつけたり、やり取りを乗っ取ったりして、最終的に犯罪者が用意した目的の口座に送金させるものです。請求書を偽造したり、取引先の本物のメールアドレスを使用したり、自然な日本語の文章でメールを送ったりするなど手口は年々狡猾になっています。企業間取引における金銭の支払いや領収を狙った犯罪であるため、被害額が大きいという特徴があります。
不注意による情報漏えい等により、その情報を悪用されてしまうことで会社や組織は被害を受けることがあります。具体的には、スマートフォンやPCなどの情報端末やUSBメモリなどの記録媒体、紙の重要書類などの紛失・置き忘れ、メールやFAXの誤送信や添付資料の誤り、SNSなどでWeb上に社内の機密情報を公開してしまう等が挙げられます。これらを防止するには、社内ルールの遵守や情報取り扱いルールの徹底、社員の情報リテラシー向上などの対策が必要です。
技術が発展すると共にサイバー犯罪などにおける攻撃のクオリティもどんどん上がっていき、日々新たな手法が開発されるため新たなサイバー攻撃から守るセキュリティ対策として具体的に取れるものはあまりありません。そんな中でも最も大切なのが「基本的なセキュリティ対策をきっちりと行う」ということであり、ソフトウェアの脆弱性やウイルス感染、パスワード窃取・設定不備・誘導などといったサイバー攻撃の糸口に対してしっかりとした対策を講じる事が重要です。パスワードの適切な運用や情報リテラシー・モラルを向上させるなど、基本的な事をきっちりと行うことにより、サイバー攻撃に狙われるリスクを低減させることはできるでしょう。
当ページの監修協力であるホワイトハッカーが所属する株式会社アルファネット。事務機器用品を中心とするカタログ通販サービス「たのめーる」が有名な大塚商会のグループ企業です。
大塚商会はコンピュータ・ネットワーク関連のシステムインテグレーション事業や、コンピュータ機器の保守、アウトソーシングのサービスも中核にしており、その中でアルファネットはサイバーセキュリティ対策の専門グループ企業として活躍しています。
巨大なデータベース・ネットワークを日々守り続けているのは、ホワイトハッカーの主導による正確な診断と、ツールによる包括的な診断によるもの。大塚商会のグループ企業や顧客を中心に、そのサービスを提供してきました。
またメール訓練など、社員育成の提供にも力を入れています。
ペネトレーションテスト(Webアプリケーション侵入試験)/標的型メール訓練サービス/情報セキュリティ教育/CSIRT構築/クラウド型WAFサービス/セキュリティ診断サービス/ランサムウェア対策調査サービス