IPA「情報セキュリティ10大脅威2022」、「ゼロデイ攻撃」が7位に初登場。1位に選ばれたのは?
2022年1月27日、独立行政法人情報処理推進機構(以下IPA)から「情報セキュリティ10大脅威2022」が発表されました。
これはIPAが情報セキュリティ対策の啓蒙を目的として2006 年から毎年発表し続けているものです。前年に世間を賑わせた情報漏洩事件やその攻撃手法等をもとに、被害を受ける対象となる「個人」と「組織」毎に選出された上位10個の脅威と解説がまとめられています。
本コラムでは、2022年の10大脅威について、上位に選出されたものや今年から新たにランクインしたものをピックアップし詳しい内容と対策をご紹介します。
「情報セキュリティ10大脅威 2022年」
2022年に選出されたセキュリティ脅威は以下のようになりました。
順位 | 「組織」向け脅威 | 昨年順位 |
---|---|---|
1位 | ランサムウェアによる被害 | 1位 |
2位 | 標的型攻撃による機密情報の窃取 | 2位 |
3位 | サプライチェーンの弱点を悪用した攻撃 | 4位 |
4位 | テレワーク等のニューノーマルな働き方を狙った攻撃 | 3位 |
5位 | 内部不正による情報漏えい | 6位 |
6位 | 脆弱性対策情報の公開に伴う悪用増加 | 10位 |
7位 | 修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃) | NEW |
8位 | ビジネスメール詐欺による金銭被害 | 5位 |
9位 | 予期せぬIT基盤の障害に伴う業務停止 | 7位 |
10位 | 不注意による情報漏えい等の被害 | 9位 |
ゼロデイ攻撃が7位に初登場、「Apache Log4j」に対する攻撃が話題に
2022年の10大脅威では、新たに「修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃)」がランクインしました。ゼロデイ攻撃とは、アプリケーションやシステムの対策前の脆弱性を利用したサイバー攻撃のことで、修正プログラムの公開日を「ワンデイ(1日目)」とした時、それより前の「ゼロデイ(0日)」に攻撃が行われることから、こう呼ばれます。今回ゼロデイ攻撃が選出された理由として、前年12月に大きな話題となった「Apache Log4j」に対する攻撃の影響があります。
「Apache Log4j」はオープンソースでJavaベースのログ出力ライブラリで、企業向けの業務用ソフトウェアやクラウドサービスなど世界中で広く利用されています。この「Apache Log4j」の脆弱性対策情報が、すでに攻撃が観測されているという情報と同時に公開されたことで非常に大きな話題となり、多くの企業が対応に追われました。本件については、IPAからも注意喚起が行われ、国内でも本脆弱性を悪用したと思われる攻撃が観測されていることや、脆弱性の解消と回避策についての案内が行われています。
幸いにも弊社の開発するソフトウェア『DataClasys』はLog4jを使用していないのでこの脆弱性の影響を受けなかったのですが、やはりご心配のお客様から本件に関するお問い合わせを多くいただき、影響の大きさを実感しています。またこれ以外にも、昨年4月には内閣府がゼロデイ攻撃の被害を受けていることもあり※2、今年の10大脅威にランクインしたのも尤もと言えるでしょう。
1位は昨年に引き続き「ランサムウェアによる被害」、他の上位の脅威と関連も
2021年に引き続き、1位に選出されたのは「ランサムウェアによる被害」でした。弊社コラムやセミナーでも何度か取り上げさせていただいたように、ランサムウェア攻撃の手法は年々巧妙化し、被害額も甚大化しています※3。近年のランサムウェア攻撃は従来のばらまき型攻撃メールから変化して標的型の手法を取るようになっており、2位の「標的型攻撃による機密情報の窃取」とも無関係ではありません。また、攻撃の起点としてサプライチェーンの弱点やテレワーク等が狙われやすいことから、3位、4位の項目とも密接に関わっていると言えます。このように上位に選ばれた項目のほとんどがランサムウェアに関連していることからも、ランサムウェア攻撃への対策はすべての企業にとって喫緊の課題であると考えられます。
長年ランクインし続ける「内部不正による情報漏えい」、対策の鍵はゼロトラスト
長年ランクインし続けている「内部不正による情報漏えい」が、今年は5位に選出されました。昨年は手土産転職と呼ばれる転職先への機密情報の持ち出しが大きな話題となり、内部関係者による情報漏えいを防ぐためには今までのような性善説に基づいたセキュリティ対策に依存していてはいけないということが強く印象付けられました※4。社内ネットワーク内部からの持ち出しを防ぐためには、従来のような境界型セキュリティではなく、社内外を分けずすべてのアクセスを検証するゼロトラストの考え方を取り入れた環境を構築することが非常に有効な対策となります※5。防ぐのが難しい内部不正への対策として、検討してみてはいかがでしょうか。
機密情報は流出することを前提に対策を行うべき
このように、ゼロデイ攻撃などサイバー攻撃は年々高度化しており、機密情報の流出を防ぐことは非常に難しい状況にあります。企業は自社のネットワークに侵入されないことだけを考えるのではなく、侵入され、情報が外部に流出してしまった場合のことも考えた対策を練るべきです。
弊社のファイル暗号化ソフト『DataClasys』は、ファイルそのものを暗号化しアクセス制御を行うことで、ファイルが外部に流出しても、流出した先で情報漏えいを防ぐことができます。これは暴露型ランサムウェアによる情報窃取や内部関係者による情報持ち出しなどにも高い効果を発揮します。
セキュリティ対策にお悩みの方は是非ご検討ください。
参考
(※1) 「情報セキュリティ10大脅威 2022」 独立行政法人情報処理推進機構
(※2) 「内閣府でも防げなかったゼロデイ攻撃への対策とは」
(※3) 「2021年上半期のランサムウェア攻撃の傾向と対策まとめ」
(※4) 「2021年5月27日開催「関係者の不正行為による情報漏洩対策」セミナーレポート」
(※5)「IRMによるデータ・アクセス制御の仕組みとは。ゼロトラスト実現の具体策『IRM』でPCやクラウドストレージ上にある情報の漏えいを防ぐ方法を解説」