1月24日(水)、独立行政法人情報処理推進機構(IPA)は情報セキュリティに関わる脅威の中でも、特に2023年に日本社会に大きな影響を与えたトピックを集約し、「情報セキュリティ10大脅威 2024」として公表しました。この報告は、情報セキュリティの対策や認識の向上を目的として、2006年から続く年次報告の最新版であり、前年に発生した情報セキュリティ事故や攻撃の状況を分析し、その結果から脅威を選出しています。この選出プロセスには、情報セキュリティ分野の研究者や企業の実務担当者など、約200名の専門家が参加し、彼らの投票により最終的な10大脅威が決定されました。

個人向け脅威の概観

「個人」向けの脅威は、日々の生活の中でインターネットを利用する際に直面する可能性のあるものです。これには、インターネット上のサービスからの個人情報の窃取、不正ログイン、クレジットカード情報の不正利用、スマホ決済の不正利用、偽警告によるインターネット詐欺などが含まれます。また、ネット上での誹謗中傷やデマの拡散、フィッシングによる個人情報の詐取、不正アプリによるスマートフォン利用者への被害、メールやSMSを使った脅迫・詐欺手口による金銭要求、ワンクリック請求などの不当請求による金銭被害も重要な脅威として挙げられています。これらの脅威は、パソコンやスマートフォンなどのデジタルデバイスを使用するすべての人々にとって関連があり、攻撃者は常に新しい手口を開発し、利用者を騙そうとしています。

脅威順位の誤解とその影響

IPA(情報処理推進機構)は、脅威の順位を危険度と誤認することによるリスクを考慮し、個人向け脅威の順位表示を廃止しました。現在では五十音順で脅威を紹介しており、これによりユーザーは各脅威に対して均等な注意を払うことが促されています。脅威の順位に関係なく、下位に位置する脅威でも高いリスクを持つ可能性があるため、全ての脅威に対して注意を払うことが重要です。

攻撃の手口と対策の重要性

特に注意すべき点は、攻撃者が社会的に注目されるイベントや新しい技術トレンドを利用して、その手口を進化させていることです。たとえば、フィッシング攻撃では、電力やガス、食料品の価格高騰に関する緊急支援給付金を装い、不審なメールを送付して個人情報を詐取しようとするケースが報告されています。このような攻撃に対処するためには、個人ユーザーが常に警戒心を持ち、最新のセキュリティ情報に注意を払い、知識を更新し続けることが極めて重要です。

組織を対象とした情報セキュリティ脅威の分析

一方で、「組織」向けの脅威には、ランサムウェアによる被害、サプライチェーンの弱点を悪用した攻撃、内部不正による情報漏えい、標的型攻撃による機密情報の窃取などが含まれます。例年ランキングに上がり続けるこれらの脅威は、組織の運営に直接的な影響を与えるだけでなく、その信頼性や業務の継続性にも深刻な影響を及ぼす可能性があります。特にランサムウェア、そしてランサムウェアによるサプライチェーン攻撃は、組織が直面する脅威の中でも特に深刻であり、これらに対する防御策の強化が求められています。

以下では、組織が現在直面している主要な情報セキュリティ脅威トップ10について解説し、それぞれの脅威に対する有効な対策を簡単にご説明します。

ランサムウェアによる被害

ランサムウェア攻撃は、組織のデータを人質に取り、復旧のための身代金を要求するという手法です。2016年から9年連続で最も深刻な脅威としてランクされており、その影響は業務の中断から信頼性の損失まで多岐にわたります。対策としては、定期的なバックアップ、従業員へのセキュリティ意識の向上、そして早期発見システムの導入が有効です。

サプライチェーンの弱点を悪用した攻撃

サプライチェーン攻撃は、組織の外部パートナーやサプライヤーを通じて実施される攻撃で、2019年に初めて選出されて以来、その頻度と深刻度が増しています。サプライチェーン全体のセキュリティ基準の強化と、第三者との連携における厳格なセキュリティチェックが重要な対策となります。

内部不正による情報漏えい

内部不正は、組織内部の従業員や関係者による意図的、または過失による情報の漏えいです。2016年からの選出で、持続的なリスクとして認識されています。内部不正防止策としては、アクセス権限の管理、定期的なセキュリティ研修、そして異常行動の監視システムが効果的です。

標的型攻撃による機密情報の窃取

標的型攻撃は、特定の組織や個人を狙った高度な攻撃で、機密情報の窃取が主な目的です。対策には、入念なセキュリティ対策の実施、従業員へのフィッシング詐欺等への意識向上、そして継続的なシステムの監視が求められます。

修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃)

ゼロデイ攻撃は、ソフトウェアの未公開の脆弱性を利用した攻撃で、発見が困難であるため特に危険です。対策としては、セキュリティパッチの迅速な適用、脆弱性の定期的なスキャン、そして侵入検知システムの導入が有効です。

不注意による情報漏えい

従業員の不注意から起こる情報漏えいは、組織にとって予期せぬリスクです。教育プログラムの充実や、データの取り扱いに関する明確なポリシーの設定が重要な対策となります。

脆弱性対策情報の公開に伴う悪用増加

脆弱性情報の公開は、攻撃者に悪用される可能性があります。情報の管理と共有には慎重さが求められ、セキュリティパッチの迅速な適用が必要です。

ビジネスメール詐欺による金銭被害

ビジネスメール詐欺は、偽のメールを使って組織から金銭を詐取する詐欺手法です。従業員への教育と、メールの真偽を確認するためのプロトコルが対策として効果的です。

テレワークのセキュリティリスク

テレワークの普及に伴い、リモートアクセスのセキュリティが新たな課題となっています。VPNの利用や、二要素認証の導入が推奨されます。

犯罪のビジネス化(アンダーグラウンドサービス)

サイバー犯罪のサービス化は、攻撃ツールや手法が容易に入手可能になっている現状を示しています。組織は、サイバー犯罪のトレンドに常に注意を払い、防御策を更新し続ける必要があります。

組織が直面するこれらのセキュリティ脅威に対処するためには、総合的なセキュリティ戦略の策定と実施、従業員の教育と意識向上、そして最新のセキュリティ技術への投資が不可欠です。セキュリティは一過性の取り組みではなく、組織文化として根付かせることが重要です。

参照:https://www.ipa.go.jp/security/10threats/10threats2024.html

アクトのサイバーセキュリティ対策支援

アクトが提供するEDR+SOCサービス「セキュリモ」は、サイバー攻撃に対してAIでリアルタイム検知し、攻撃内容の可視化と分析内容を報告するPCやサーバーのセキュリティサービスです。弊社SOCチームが、グローバルトップクラスの検知率・防御力を持ったEDR(SentinelOne、Cybereason)のおまかせ運用を実現します。

アクトはSentinelOneとMSSP契約を持つ正式パートナーかつ、国内唯一のIRパートナーであり、 平常時からインシデント対応までお客さま負担をかけることなく、最高レベルのサイバーセキュリティをご提供します。

また、IT導入補助金対象サービスの『データお守り隊』もご提供しております。
EDR+SOC+簡易サイバー保険をお手頃価格でパッケージしたサービスです。補助金を申請することで低コストで高度なサイバーセキュリティ対策を実現できます。
ご興味がございましたら下記よりご確認ください。