「情報セキュリティ10大脅威」とはIPAが毎年、前年に発生した社会的に影響が大きかったと考えられる情報セキュリティ事案から10大脅威を選出してまとめたものです。

そんな情報セキュリティ10大脅威が今年も発表されました。そこで、10大脅威を全10回に分けて一つずつご紹介していきたいと思います。10大脅威には「個人編」と「組織編」があるのですが、今回は「組織編」がテーマです。

第1位　ランサムウェアによる被害

概要

まずランサムウェアについて簡単にご紹介します。
ランサムウェアはウイルスの一種で、PCやスマートフォンが感染すると、保存されているデータが暗号化されたり、端末自体がロックされて利用できなくなってしまいます。そして、その復旧と引き換えに身代金の要求などを行います。また、上記のような脅迫行為を受けた上で、ロックした情報を暴露される被害なども近年発生しています。

最近では、大手ゲームメーカーがランサムウェアの被害に遭い、ファイル暗号化解除と情報暴露取りやめの身代金として「約11.5億円」が要求されたことも記憶に新しいのではないでしょうか。

1.　メールから感染させる

ウイルスを仕込んだ添付ファイルやリンクを貼りつけたメールを送り付け、開かせることでランサムウェアに感染させる手口です。
標的型攻撃メールの一種として、ランサムウェアの添付が実施されているケースも多いです。

2.　ウェブサイトから感染させる

ウェブサイトからの感染にはさらにいくつかの手口が考えられます。
ひとつはもともと存在しているウェブサイトの脆弱性をつくことで改ざんし、ランサムウェアをダウンロードさせるようにするものです。

もう一つは、攻撃者がランサムウェアに感染させるようなウェブサイトを用意して、メールなどで利用者を誘導しアクセスさせるようなものです。

3.　脆弱性によりネットワーク経由で感染させる

アップデートなどが行われておらず脆弱性が残った状態のOSやソフトウェアを利用しているPCに対して、その脆弱性を悪用することで、インターネット経由でランサムウェアに感染させる手口です。
脆弱性のあるOSやソフトウェアに対して何の対策もしていない場合、攻撃される可能性が高まります。

4.　公開サーバーに不正アクセスして感染させる

様々な企業などの外部公開しているようなサーバーにリモートデスクトップ等で不正アクセスし、アクセスしたサーバー上で攻撃者がウイルスを実行し感染させる手口です。
サーバーに攻撃が仕掛けられるということから大規模な被害や影響につながる可能性があります。

対策

１.　ランサムウェアに関する情報収集及び周知

ランサムウェアに感染させるような怪しいメールやウェブサイトに対応するためには、最新の情報を収集し従業者など全体に対して周知をしていくことがまず大切です。

また、必要に応じてランサムウェアの危険性や不審なメールの見分け方等の教育を行い従業者のリテラシーを向上させることも有効的でしょう。

2.　OSやソフトウェアのルール整備

ランサムウェアはOSやソフトウェアの脆弱性を突いてくることもあります。
対策するためには、「OSやソフトウェアのアップデートに関するルールを決める」「利用していいソフトウェアを明確にする」などのルール整備を行い、従業者に順守してもらうことも大切です。

3.　ネットワークのセキュリティ対策

もしサーバーなどが不正アクセスを受けランサムウェアに感染した場合、非常に広範な被害が発生する可能性があります。

不正アクセスのリスクを減らすためにも重要なサーバやネットワーク機器はインターネットと分離したり、アクセス権限を必要最低限に設定するなどのセキュリティ対策をすることも大切です。

まとめ

今回は、「情報セキュリティ10大脅威（組織編）」の第1位をご紹介しました。

2020年は、大手ゲームメーカーや大手自動車メーカーなどが大規模なランサムウェアによる被害を受けました。また、ランサムウェアは近年も引き続き新たなものが誕生し続けており、対策とのいたちごっこの状態も続いています。

毎年のようにランクインし続けている脅威ですので、しっかりと意識をもって対策していきましょう。