2023年1月にIPA(情報処理推進機構)から「情報セキュリティ10大脅威 2023」が公開されました。これは2022年に発生した情報セキュリティ上の脅威からインパクトの大きかったものを、組織編・個人編にわけてランキングしたものです。この記事では「情報セキュリティ10大脅威 2023」にランクされている脅威について解説します。
なおこの記事は、IPAの「情報セキュリティ10大脅威 2023」の内容に基づいて作成されています。
こうした一つ一つのセキュリティ脅威に網羅的に対策するためには、やはり、従業員のセキュリティリテラシーが不可欠です。
従業員のセキュリティリテラシー向上に、セキュリティ教育クラウド「セキュリオ」がおすすめです。
情報セキュリティ10大脅威とは?
「情報セキュリティ10大脅威」とは、IPA(情報処理推進機構)が公開している、社会的にインパクトが大きかった情報セキュリティ上の脅威を選出して、約150名からなる専門家による審議・投票によって決定されたランキングです。
情報セキュリティ10大脅威(組織編)の内容
まず情報セキュリティ10大脅威の組織編から紹介します。
【1位】ランサムウェアによる被害
組織片の1位はランサムウェアによる被害です。ランサムウェアとはマルウェアの一種であり、感染したパソコンのファイルやフォルダを勝手に暗号化して、復号させるために身代金を要求するものです。さらに身代金を支払わないと、情報を不正に公開すると脅迫するケースも確認されています。
ランサムウェアによる被害は数年にわたって拡大しており、実際に要求通りに身代金を支払った企業もあります。その場合、元通りに復号されたケースもありましたが、実際はデータは復号されず、金銭的な被害がさらに発生しただけのケースが大半です。
ランサムウェアの感染源はメールの添付ファイルやWebサイト、ネットワーク経由などさまざまです。
ランサムウェアの対応は、一般的なマルウェアへの対応と同様です。不審な添付ファイルをクリックしない、怪しいURLにアクセスしない、セキュリティ対策ソフトの導入と定期的な更新などです。それに加えて、万が一の感染に備えて、安全な場所に重要データのバックアップを保存しておくなどがあげられます。
【2位】サプライチェーンの弱点を悪用した攻撃
サプライチェーンとは、商品の開発から材料の調達、製造、物流、販売まで一連のプロセスのことです。このサプライチェーンの構築には多くの企業や組織がかかわっていることがあり、中にはセキュリティ対策が不十分な企業や組織が含まれているケースもあります。攻撃者はこの弱点を持つ企業へのサイバー攻撃を足がかりとして、本来のターゲットへの攻撃を仕掛けるなど被害を発生させることがあります。
たとえ自社のセキュリティ対策が万全でも、自社が関わっているサプライチェーンに脆弱性を持つ企業や組織が存在していると危険です。対策としては、セキュリティ対策が不十分な企業や組織とは取引をしない、ISMSやPマークなどの情報セキュリティ認証を取得して情報を適切に運用できる体制を整える、他社との取引開始時には契約内容を確認して、賠償などに関する条項を盛り込むことなどがあげられます。
【3位】標的型攻撃による機密情報の窃取
特定の企業や組織に狙いを定めて、機密情報などを窃取することを目的としたサイバー攻撃が標的型攻撃です。攻撃者は、まるでターゲット企業の関係者であるようなメールを送信して、受信者に対して添付ファイルを実行させたり、不正なURLへ遷移させようとします。このようなメールの送受信を複数回実行することで、ターゲットを油断させようとする手口も知られています。
標的型攻撃への対応は、まず自社の従業員に対して、標的型攻撃のようなサイバー攻撃が存在していることをしっかりと認識させることです。そのためには情報セキュリティ教育などの実施が効果的でしょう。このような教育によって、標的型攻撃を目的としたメールへの適切な対応を学ぶことができます。さらにセキュリティ対策ソフトの導入や、機密情報の暗号化などが効果的です。
標的型攻撃の教育については「標的型攻撃の教育実施方法とは?メールの見分け方についても解説」で解説していますので、あわせてご覧ください。
【4位】内部不正による情報漏えい
サイバー攻撃は外部から行われるとは限りません。自社の従業員や元従業員など内部関係者が機密情報などを流出させるケースも確認されています。関係者による情報漏洩は、自社の社会的な信用を大きく失墜させかねません。場合によっては、損害賠償により金銭的な被害も発生することがあります。
内部不正による情報漏えいを防ぐためには、自社の情報資産に対して適切なアクセス権限を設定しておくことが効果的です。従業員によっては悪意を持たずに情報漏えいさせることがあるため、情報リテラシー教育の実施も効果的でしょう。また情報漏えいの兆候を検知するために、ファイルやネットワークへのアクセスログを取得するようにして、従業員に監視していることを周知させ、不正行為を予防させるのも効果があります。
【5位】テレワーク等のニューノーマルな働き方を狙った攻撃
新型コロナウィルス感染対策の一環として、多くの企業がテレワークを導入しました。テレワークでは、Web会議システムやクラウドなどが活用されていますが、それらの脆弱性を狙った攻撃が発生しています。
対策として、テレワーク実施者に対して十分なセキュリティ教育の実施やVPNの導入、ウェブ会議ツールの適切な設定、テレワーク運用のルールを明確にするなどがあります。
【6位】修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃)
ソフトウェアや機器に脆弱性が発見されても、それを修正するプログラムが公開されるまでには時間があります。この修正プログラムの公開前を狙う攻撃がゼロデイ攻撃です。多くのユーザーがいるソフトウェアの場合、ゼロデイ攻撃が発生すると、より被害が甚大になる恐れがあります。
対策として、修正プログラムがリリースされたら速やかにアップデートする、脆弱性が公開されたソフトウェアや機器の使用を一時的に停止して、代替となる安全なものに切り替える、ネットワークを監視して攻撃の兆候があったら通信を遮断するなどがあります。
【7位】ビジネスメール詐欺による金銭被害
取引先や従業員になりすまして偽のメールを送信して、ターゲットに不正に送金させるなど金銭的な被害をもたらすのがビジネスメール詐欺です。正規のメールアドレスを使ったり、全く不自然な点がない日本語が使われていたりすることがあり、手口は巧妙になっています。
対策として、金銭の移動が発生する業務は上長や複数の従業員の確認を要求するようなルールを作成したり、メールを受信したさいに、相手に電話などの手段を使って、正しいメールであることを確認したりすることがあげられます。また電子署名が付与されているメールのみを信用するというのも効果的です。
ビジネスメール詐欺も標的型攻撃メールと同様に、従業員が適切に見抜くことが重要になります。一緒に確認しましょう。
【8位】脆弱性対策情報の公開に伴う悪用増加
ベンダーが公開した脆弱性対策情報を悪用したシステムへのサイバー攻撃も確認されています。
脆弱性対策情報の公開の目的は、脆弱性のあるソフトウェアや機器類を周知させて、被害の発生を未然に防ぐことです。しかしこの情報を逆手にとって、脆弱性のあるソフトウェアや機器類をターゲットにしたサイバー攻撃が行われることがあります。
対策として、セキュリティサポートが充実しているソフトウェアや機器を使用する、ネットワークのログを取得して、攻撃の兆候を確認したら通信を遮断させる、脆弱性が公開されているソフトウェアや機器の使用を一時的に停止するなどがあげられます。
【9位】不注意による情報漏えい等の被害
故意のサイバー攻撃ではなく、従業員の不注意によって情報漏えいが発生するリスクも無視できません。たとえばメールの誤送信やUSBメモリの紛失・盗難などはちょっとした不注意が原因となる場合が多く、実際に多くの企業で発生しています。
また情報を取り扱っている従業員の情報リテラシーが低く、機密情報や個人情報を軽率にWebサーバーやSNSにアップロードしてしまうケースもあります。
情報リテラシーや情報モラルを向上させる、データのアクセス権限の適切な設定、メールの誤送信を未然に防ぐためのシステムの導入、万が一データの流出時のためにデータを暗号化しておくなどの対策が効果的です。
【10位】犯罪のビジネス化(アンダーグラウンドサービス)
かつて、サイバー攻撃は愉快犯やイデオロギーに基づいた抗議活動として行われるものでしたが、近年では、ランサムウェアやビジネスメールといった手法で金銭を窃取することを目的にしたものが多くを占めています。
さらに最近では、サイバー攻撃の手段となる不正プログラムや、不正アクセスで窃取された個人情報の売買が横行し、コミュニティ、マーケットとして成立するようになりました。
これが、「アンダーグラウンドサービス」「アンダーグラウンドビジネス」と呼ばれるもので、今も日に日に拡大しています。
これの問題点は、高度な攻撃手法が普及し、サイバー犯罪に遭う機会が増える、不正窃取された個人情報がこれまで以上に大規模流出してしまう、といったことが考えられるでしょう。
企業としては、これまで以上に情報セキュリティ対策に取り組み、従業員に危機感を持ってもらうことが求められます。
情報セキュリティ10大脅威(個人編)の内容
引き続き、情報セキュリティ10大脅威の個人編の内容について紹介します。
【1位】フィッシングによる個人情報等の詐取
フィッシング詐欺とは、公的機関や金融機関、ECサイトなどを騙るメールを送信して、受信者に正規のWebサイトになりすました偽のWebサイトへ誘導させて、個人情報やクレジットカード情報などを盗み取ろうとするサイバー攻撃です。
現在ではメールだけでなく、SMS(ショートメッセージサービス)やSNS、偽の広告などを悪用した手口も確認されています。
対策として、ECサイトやオンラインバンクへアクセスするときは、必ず正規のWebサイトのURLが登録されているブックマークからアクセスすることを心掛けることや、通常とは異なるログインが合ったときに通知するように設定する、迷惑メールフィルタの導入、多要素認証を設定しておくことなどがあります。
【2位】ネット上の誹謗・中傷・デマ
SNSなどにおいて、匿名アカウントによる誹謗・中傷・デマも大きな問題となっています。
これらの行為は直接的な経済的損失をもたらすものではありませんが、被害者に精神的な苦痛を与えたり、不当に評価を下げることもあります。
誹謗・中傷・デマは匿名で行われることが多いものの、SNSの運営者や警察に被害届を提出することで、アカウントを特定して損害賠償を請求したり、書き込みを削除させることも可能です。
まずは投稿者本人に対して、誹謗・中傷・デマを止めるように警告したうえで、それでも止まらない場合は、警察や弁護士に相談するとよいでしょう。
【3位】メールやSMS等を使った脅迫・詐欺の手口による金銭要求
メールやSMSを使って「個人情報をばらす」「身に覚えのない利用料金の請求」などの脅迫や詐欺による金銭的要求も個人に対する大きな脅威です。
攻撃の手口もさまざまであり「アダルトサイトの閲覧を撮影した」「住所やパスワードなど個人的な情報を入手している」「公的な機関の関係者であると偽る」などがあります。
このようなメールやSMSを受信したとしても、メールに書かれている内容は架空の物であることが多く、たとえ脅迫されても支払いに応じる必要はありません。しかしメールにかかれているパスワードが実際に使用しているパスワードであった場合、パスワードが漏洩している可能性があるため、速やかにパスワードを変更して、できれば多要素認証を有効にすると良いでしょう。
【4位】クレジットカード情報の不正利用
クレジットカード情報を不正に利用されてしまうことも大きな脅威の一つです。クレジットカードを登録しているWebサイトがハッキングされてカード番号が漏洩することがあり、それを入手した攻撃者が悪用して金銭的な被害が発生しています。
対策として、クレジットカードの利用明細を小まめに確認する、クレジットカード支払いを行ったときに通知する機能を有効にする、クレジットカードではなく、プリペイドカードを利用するなどがあります。
【5位】スマホ決済の不正利用
スマートフォンを利用したキャッシュレス決済も普及しています。手軽に利用できる反面、なりすましによる不正利用や、不正に金銭が引き出されるケースも確認されています。
対策として、スマホ決済のアカウントに利用してるパスワードを使いまわさない、3Dセキュア機能を導入する、利用していないスマホ決済サービスから退会しておく、スマートフォンの盗難や紛失にそなえて、画面ロック機能を有効にしておくなどがあります。
【6位】不正アプリによるスマートフォン利用者への被害
スマートフォンに不正なアプリをインストールさせて、個人情報を窃取したり、不正に請求して金銭的な損害を与えるサイバー攻撃もあります。
たとえば実在するWebサイトに関連するような偽のアプリをインストールさせたり、もともとは健全なアプリだったものを、バージョンアップにより不正なアプリに変化させるケースも確認されています。
スマートフォンのアプリをインストールするときは、できるだけ公式のマーケットから入手するようにし、アプリのレビューやアプリ開発者の情報を見て信頼できるかどうか確認しましょう。
また正規のアプリであっても使い方によって個人情報を流出させることがあるがあるため、不要なアプリはインストールしないことを心掛けることも重要です。
【7位】偽警告によるインターネット詐欺
パソコンやスマートフォンでWebサイトを閲覧しているときに「ウイルスに感染しています!」「個人情報が流出しています!」などの偽の警告を表示させて、悪意のあるソフトウェアをインストールさせたり、高額なサービスに契約させたりしようとする詐欺が確認されています。
もちろんこれらはユーザーを騙すための偽の警告ですが、知識を持たないユーザーに対して大きな不安を与えてしまうでしょう。その結果、ソフトウェアをインストールしたパソコンから個人情報を流出させたり、金銭的な被害が発生したりしてしまいます。
最も有効な対策は、このような偽警告が表示されても無視して、その指示に従わないことです。
万が一ソフトウェアをインストールした場合、マルウェアが仕込まれている可能性があるため、端末を初期化した方がよいでしょう。
【8位】インターネット上のサービスからの個人情報の窃取
ECサイトなどのインターネット上のサービスから個人情報を窃取されることもあります。攻撃者は不正に入手したIDとパスワードを利用しサービスにログインして、クレジットカード番号などを入手して不正利用されるおそれがあります。
対策として、利用していないECサイトやサービスからは退会しておく、ログイン時に多要素認証を設定しておく、クレジットカードの利用明細を小まめに確認して、身に覚えのない請求があったら、カード会社に問い合わせるなどがあります。
【9位】インターネット上のサービスへの不正ログイン
複数のサービスやSNSにおいて、同じIDとパスワードを利用しているパスワードリスト攻撃などにより、インターネット上のサービスへ不正ログインされるおそれがあります。
対策として、同じIDとパスワードを使いまわさない、安全なパスワード管理ソフトを導入する、単純なパスワードを設定しない、利用していないサービスから退会する、安易に認証情報を入力しないなどがあげられます。
【10位】ワンクリック請求等の不当請求による金銭被害
PCやスマートフォンでWebサイトを閲覧時に、画像や認証ボタンをクリックしただけで「会員登録が完了しました」等との表示が出て、金銭を不当に要求される被害です。中には、「個人情報取得が完了しました」のようなユーザーの焦燥を促す文言が添えられている場合もあります。
多くは、数万円程度のポケットマネーで支払える金額を数日間の短い期日で請求するため、ユーザーがうっかり支払ってしまうケースも少なくありません。
ユーザー心理をあおる文言や、有名サイトにそっくり似せたサイトデザインなどで巧妙にユーザーの支払いを促します。厳重に注意して、遭遇してしまった場合は無視してブラウザを閉じてしまいましょう。
不安な場合、支払ってしまった場合はサイトの名前、リンク、利用医薬請求画面などをスクリーンショットしておき、後々資料として使えるようにしましょう。国民生活センターや警察に相談するのももちろんOKです。
まとめ
情報セキュリティ10大脅威は、脅威のなかでも社会的なインパクトの大きかったものを選別したものです。もちろん情報セキュリティ上の脅威、10大脅威に取り上げられたものに限りません。
また順位が低いからといって、リスクの低い脅威であるというわけでもありません。セキュリティ対策を実施する際には、このランキングの順位に捉われずに適切な優先度を付けて対策する必要があります。
