情報セキュリティ10大脅威 2022
今年もIPAから「情報セキュリティ10大脅威 2022」が発表されました。
どんなものがあるか、企業が気を付けたい脅威についてご案内します。
(ここで言う「脅威」とは、「ネットワークやソフトウェア等のセキュリティの弱点」や「パソコン操作時の人的ミス」などの、「会社経営にリスクを発生させる要因・情報資産に損失を与える要因となるもの」です。)
(ここで言う「脅威」とは、「ネットワークやソフトウェア等のセキュリティの弱点」や「パソコン操作時の人的ミス」などの、「会社経営にリスクを発生させる要因・情報資産に損失を与える要因となるもの」です。)
【1位】ランサムウェアによる被害
ウイルスの一種で、PC やサーバーが感染すると「端末のロック」や「データの暗号化」が行われ、その復旧と引き換えに金銭を要求される。また、重要な情報が窃取されることもあり、社会的信用を失うおそれがある。
ウイルスの一種で、PC やサーバーが感染すると「端末のロック」や「データの暗号化」が行われ、その復旧と引き換えに金銭を要求される。また、重要な情報が窃取されることもあり、社会的信用を失うおそれがある。
【2位】標的型攻撃による機密情報の窃取
特定の組織(官公庁・民間団体・企業・教育機関 等)を標的にして狙う攻撃のことであり、機密情報等を窃取することや業務妨害を目的としている。攻撃者は社会の変化や、働き方の変化に便乗し、状況に応じた巧みな攻撃手法で機密情報等を窃取しようとする。
特定の組織(官公庁・民間団体・企業・教育機関 等)を標的にして狙う攻撃のことであり、機密情報等を窃取することや業務妨害を目的としている。攻撃者は社会の変化や、働き方の変化に便乗し、状況に応じた巧みな攻撃手法で機密情報等を窃取しようとする。
【3位】サプライチェーンの弱点を悪用した攻撃
商品の企画・開発から、調達、製造、在庫管理、物流、販売までの一連のプロセス、およびこの商流に関わる組織群をサプライチェーンと呼ぶ。このサプライチェーンの関係性を悪用し、セキュリティ対策の強固な企業を直接攻撃せずに、その企業が構成するサプライチェーンの中でセキュリティ対策が手薄な関連組織や利用サービスの脆弱性等を最初の標的とし、そこを踏み台として本命の標的である組織を攻撃する手口。
商品の企画・開発から、調達、製造、在庫管理、物流、販売までの一連のプロセス、およびこの商流に関わる組織群をサプライチェーンと呼ぶ。このサプライチェーンの関係性を悪用し、セキュリティ対策の強固な企業を直接攻撃せずに、その企業が構成するサプライチェーンの中でセキュリティ対策が手薄な関連組織や利用サービスの脆弱性等を最初の標的とし、そこを踏み台として本命の標的である組織を攻撃する手口。
【4位】テレワーク等のニューノーマルな働き方を狙った攻撃
新型コロナウイルス感染症の世界的な蔓延に伴い、ニューノーマルな働き方の 1 つであるテレワークが活用され、ウェブ会議サービスや VPN 等を狙った攻撃が行われている。急なテレワークの移行に伴いセキュリティ対策不足の企業が多いことを狙い、「ウェブ会議ソフトの弱点をついてのぞき見する」「リモートデスクトップへの総当たり攻撃」など、様々な弱点をついて情報を窃取しようとする。
新型コロナウイルス感染症の世界的な蔓延に伴い、ニューノーマルな働き方の 1 つであるテレワークが活用され、ウェブ会議サービスや VPN 等を狙った攻撃が行われている。急なテレワークの移行に伴いセキュリティ対策不足の企業が多いことを狙い、「ウェブ会議ソフトの弱点をついてのぞき見する」「リモートデスクトップへの総当たり攻撃」など、様々な弱点をついて情報を窃取しようとする。
【5位】内部不正による情報漏えい
組織に勤務する従業員や元従業員等の組織関係者による故意な機密情報の持ち出しや悪用等の不正行為が発生している。また、組織内における情報管理のルールを守らずに情報を持ち出し、紛失や情報漏えいにつながるケースも散見される。組織関係者による不正行為は、組織の社会的信用の失墜、損害賠償による経済的損失により、組織に多大な損害を与える。また、不正に取得した情報を他組織に持ち込んだ場合、その組織も損害賠償等の対象になるおそれがある。
組織に勤務する従業員や元従業員等の組織関係者による故意な機密情報の持ち出しや悪用等の不正行為が発生している。また、組織内における情報管理のルールを守らずに情報を持ち出し、紛失や情報漏えいにつながるケースも散見される。組織関係者による不正行為は、組織の社会的信用の失墜、損害賠償による経済的損失により、組織に多大な損害を与える。また、不正に取得した情報を他組織に持ち込んだ場合、その組織も損害賠償等の対象になるおそれがある。
【6位】脆弱性対策情報の公開に伴う悪用増加
一般的に、ソフトウェアに脆弱性(セキュリティの弱み)が発見された場合、開発ベンダー等が脆弱性の修正プログラム(パッチ)を作成して情報を公開することで、ソフトウェア。しかし、その公開情報を攻撃者に悪用され、攻撃を受けてしまう事がある。昨今、脆弱性が発見されてからそれを悪用した攻撃が発生するまでの期間が短くなっており、より迅速な対応が求められる。
【7位】修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃)
ソフトウェアの脆弱性が発見され、脆弱性の修正プログラム(パッチ)や回避策が公開される前に脆弱性を悪用したサイバー攻撃が行われることがある。これはゼロデイ攻撃と呼ばれ、その被害は情報漏えいや改ざん、ウイルス感染等、様々である。
【8位】ビジネスメール詐欺による金銭被害
巧妙な偽のメールを組織・企業に送り付け、従業員を騙して送金取引に関わる資金を詐取する等の金銭被害をもたらすサイバー攻撃。取引先になりすまし、攻撃者の用意した口座に差し替えた偽の請求書等を送りつけ振り込ませたり、組織の経営者等になりすまし、同組織の従業員に攻撃者の用意した口座へ振り込ませる場合がある。この時、攻撃者は事前に入手した経営者や従業員の情報を利用し社内メールかのように偽装したり、従業員のメールアカウントを乗っ取ってなりすます場合もあるため、攻撃に気付きにくい。
【9位】予期せぬ IT 基盤の障害に伴う業務停止
組織が利用するサーバー・ネットワーク・クラウドサービス等の IT 基盤に予期せぬ障害(自然災害、人為的な作業事故、データセンターの設備障害など)が発生し、長時間にわたり利用者や従業員に対するサービスを提供できなくなるケースがある。それにより、組織が提供しているサービスの利用者がそのサービスを利用できなくなったり、組織の業務が停止することで、利益減少や競争力の弱体化等、経済的損失につながる。
【10位】不注意による情報漏えい等の被害
組織の情報管理に関する規程の不備や、従業員のセキュリティ意識の低さ、不注意によるミス等によって、個人情報を漏えいさせてしまう事例が後を絶たない。メールの誤送信・飲食時の会話などによる外部流出・端末(PC やスマートフォン等)または記録媒体(USB メモリー等)の紛失など、従業員の意識改善がなければ、組織の社会的信用の失墜や経済的な損失にもつながる可能性がある。
UTMなどセキュリティに関するご相談も
お気軽にどうぞ
株式会社カネタカ
〒424-0812 静岡市清水区小芝町3-18
TEL:054-366-0270 FAX:054-364-7123
TEL:054-366-0270 FAX:054-364-7123