IPA(独立行政法人 情報処理推進機構)が、1月27日に『情報セキュリティ10大脅威2021』を発表しました。これは毎年恒例で発表されるものですが、前年に発生した情報セキュリティ事案をIPAが選出して、企業の実務担当者など約160名のメンバーからなる「10大脅威選考会」が、脅威候補に対して審議・投票を行い、決定されるものです。この情報セキュリティ10大脅威を見ると、どういったセキュリティの問題が、それぞれの時代で起きているのかが明らかになります。今回はこの『情報セキュリティ10大脅威2021』の内容を解説すると共に、脅威への適切な対策についてもみていきたいと思います。
『情報セキュリティ10大脅威2021』
「情報セキュリティ10大脅威 2021」の最大の特徴は、デジタルトランスフォーメーション(DX)、クラウドサービスやテレワークの普及はもちろん、新型コロナウイルスの影響で組織の働き方が変化した結果生まれてしまった弱点を突いた脅威が台頭していることです。個人部門、組織部門にランクインした脅威をそれぞれ見てみましょう。
- 個人部門
1位 スマホ決済の不正利用
2位 フィッシングによる個人情報等の詐取
3位 ネット上の誹謗・中傷・デマ
4位 メールやSMS等を使った脅迫・詐欺の手口による金銭要求
5位 クレジットカード情報の不正利用
6位 インターネットバンキングの不正利用
7位 インターネット上のサービスからの個人情報の窃取
8位 偽警告によるインターネット詐欺
9位 不正アプリによるスマートフォン利用者への被害
10位 インターネット上のサービスへの不正ログイン
- 組織部門
1位 ランサムウェアによる被害
2位 標的型攻撃による機密情報の窃取
3位 テレワーク等のニューノーマルな働き方を狙った攻撃
4位 サプライチェーンの弱点を悪用した攻撃
5位 ビジネスメール詐欺による金銭被害
6位 内部不正による情報漏えい
7位 予期せぬIT基盤の障害に伴う業務停止
8位 インターネット上のサービスへの不正ログイン
9位 不注意による情報漏えい等の被害
10位 脆弱性対策情報の公開に伴う悪用増加
今回組織部門で注視するのは、3位の「テレワーク等のニューノーマルな働き方を狙った攻撃」が初めてランクインしたことです。これまで社内のパソコンで仕事をして、社内のネットワークでデータをやり取りしていましたが、テレワークの実施による自宅勤務により、各自の自宅で仕事をしてインターネット経由でデータをやり取りするように変わりました。仮想専用回線などを利用してデータをやり取りする企業ばかりではなく、従業員の個人のネット回線、パソコンで仕事を行うケースも多々あります。そうなるとセキュリティポリシーが未整備なことも予想され、新しいセキュリティ的な脅威が多数発生してもおかしくありません。この他「予期せぬIT基盤の障害に伴う業務停止(7位)」や「インターネット上のサービスへの不正ログイン(8位)」等からは、急速な働き方の変化に、IT環境の整備や適切なセキュリティ対策が追い付いていない印象を受けます。
また1位の「ランサムウェアによる被害」も昨年の5位から上昇し深刻度が増しています。2017年、Wannacryで一躍注目を集めたランサムウェアが、コロナ禍でも猛威を振るっています。2020年にも多くの企業がランサムウェアの被害に遭い、ニュースでも大きく取り上げられていました。ある病院では、ランサムウェア感染により数日間にわたって電子カルテが使えなくなるなど、命に関わる問題も発生しています。さらに、「標的型攻撃による機密情報の窃取(2位)」「ビジネスメール詐欺による金銭被害(5位)」等、2019年のEmotet騒ぎから引き続き、攻撃手法にメールが使われることが多い脅威もランクインしています。オフィスであれば「変なメールが来ているね」と雑談のなかで警戒できていた不審メールも、自宅で一人でテレワークをしていると「つい開いてしまった」というケースもあったのではないしょうか。
取るべき適切な対策(組織部門1~5位)
ランサムウェアによる被害
「ランサムウェア」とは、感染すると、パソコンがロックしたり、端末内のデータを暗号化したりした上で、復号化と引き換えに高額な身代金を要求する恐ろしいマルウェアです。2017年には「WannaCry」が世界150カ国以上、およそ30万台に感染したことでランサムウェアの認知度が一気に高まりました。
<基本的な対策>
- セキュリティソフトを導入する
- OSおよび利用ソフトウェアを最新の状態にする
- メールの添付ファイル、本文中のURLに注意する
- 重要なファイルを定期的にバックアップする
しかしこれは極々基本事項であり、万全の対策とはなり得ません。例えば4のバックアップも、コンピューターに外付けハードディスクを接続したまま使用すると、外付けデバイスのデータまでランサムウェアに暗号化されてしまう可能性があります。より安全なのはクラウドストレージをバックアップに使用することでしょう。クラウドストレージをバックアップに使用する場合は、ファイルを以前に保存したバージョンに戻すことができます。クラウドストレージのこうした機能を活用すれば、ランサムウェアに感染してファイルを暗号化されてしまっても、暗号化される前の状態のファイルを復元することができます。
標的型攻撃による機密情報の窃取
標的型攻撃は、機密情報を盗み取ることなどを目的として、特定の個人や組織を狙った攻撃です。業務関連のメールを装ったウイルス付きメール(標的型攻撃メール)を、組織の担当者に送付する手口が知られています。従来は府省庁や大手企業が中心に狙われてきましたが、最近では地方公共団体や中小企業もそのターゲットとなっています。
<基本的な対策>
- 不審な添付ファイル・リンクを絶対にクリックしない
- OSやソフトウェアのバージョンを最新状態に保つ
- 基本的なセキュリティ製品を導入する
- セキュリティに関する社内教育を徹底する
- インシデント情報を迅速に共有する
- 日常的にログをチェックする
標的型攻撃は、狙われた組織向けに巧妙に作り込まれているため、完璧な防御対策を立てることは困難であるのが現状です。被害を最小限に抑えるためには、攻撃の侵入を防ぐための対策、侵入された場合にすばやく検知するための対策、検知した場合にすばやく対処するための対策をバランスよく行うことが重要です。
テレワーク等のニューノーマルな働き方を狙った攻撃
ニューノーマルな働き方として一気に普及した「自宅からオフィスへのVPN接続」「Web会議サービスの利用」「私物のPCや自宅のインターネット環境の業務利用」「初めて使うリモートアクセス環境」などを狙った攻撃です。
<基本的な対策>
- テレワーク規定や運用ルールの整備
- セキュリティ教育の再実施
- テレワーク環境のセキュリティ対策の見直し
インターネット上にデータを保存し、複数の端末で気軽にデータのやりとりができるクラウドサービスにおいても、便利な反面、情報漏えいのリスクを忘れてはいけません。クラウドサービス上のデータは、管理者によって安全に保全されていることがほとんどです。しかし、過度に信用をしすぎず、各従業員それぞれにできる限りの対策を行ってもらうことが情報漏えいの防止には必要です。クラウドサービスからの情報流出を防ぐために、データの格納先や方法については、ドキュメントには必ずパスコードをかけるなど、会社全体で明確なポリシーやルールを設けましょう。
サプライチェーンの弱点を悪用した攻撃
サプライチェーンとは、「原材料や部品の調達、製造、在庫管理、物流、販売、業務委託先などの一連の商流」のことです。サプライチェーン攻撃のリスクはかねてから指摘されていました。経済産業省が2015年に公表した「サイバーセキュリティ経営ガイドライン」で、経営者が認識すべき3原則の2番目に「自社のみならず、系列企業やサプライチェーンのビジネスパートナー等を含めたセキュリティ対策が必要」と記し対策を促してきましたが、その手口は多様化し未だに被害が発生しています。
<基本的な対策>
- ネットワークへの不正侵入を防ぐIPSの導入
- EDR導入による端末の不正な挙動の監視
- 取引先や関連会社を含めた啓発とセキュリティ対策の向上
サプライチェーン攻撃の怖さは、企業や組織が被害者だけでなく、加害者にもなる点にあります。マルウェアに感染した企業のPCから、サプライチェーンで繋がりのある別の企業に攻撃を仕掛るからです。特に中小企業は狙われやすく、知らないうちに侵入経路となることも少なくありません。自社の取引先企業や関連会社の委託契約を見直し、サイバー攻撃に強いサプライチェーンを構築することが重要です。
ビジネスメール詐欺による金銭被害
ビジネスメール詐欺は、いまやあらゆる企業や組織にとって見過ごせない脅威の1つです。経営幹部や取引先などになりすました業務依頼メールを発端として、金銭や機密情報をだまし取られる被害が相次いでいます。
<基本的な対策>
- 送金や情報提供を促すメールを注意深く確認する
- 勤務先の規程に従って行動する
- メールのURLリンクや添付ファイルを不用意に開かない
- メールのURLリンクや添付ファイルを不用意に開かない
- OSやソフトを正しく更新し、セキュリティソフトも最新の状態で利用する
不審なメールの内容が巧妙であり担当者がそれに気づかず、見分けられなかったことで被害が多発しています。組織のセキュリティ対策を強化することや、社員に不審なメールを見抜くための教育を実践することや電話などメール以外の方法で確認することなど必要になってきます。怪しいメールを受信した際に社員がどのような対応をすべきかルール化し、社員全員に周知・徹底させ、しかもビジネスメール詐欺が発覚した時に、被害拡大を最小限に抑えるようにしましょう。
さいごに
毎年世相を反映する『情報セキュリティ10大脅威2021』ですが、コロナ禍から1年ほどたち、分散型の仕事環境に求められるセキュリティが必要になる等今年も興味深いものでした。どのような脅威であろうと大切なのは日頃からのセキュリティ対策への意識と、データの暗号化、セキュアなクラウド環境の利用、適切なセキュリティポリシーの制定といった基本的な事に尽きるでしょう。
