![ファイル暗号化DataClasys [データクレシス]](/wp-content/uploads/DataClasys_logo.png){kind=logo}
IPA「情報セキュリティ10大脅威2023」、ランサムウェアによる被害が3年連続で1位に
2023年1月25日、独立行政法人情報処理推進機構(以下IPA)から「情報セキュリティ10大脅威2023」が発表されました。※1
これはIPAが情報セキュリティ対策の啓蒙を目的として2006 年から毎年発表し続けているものです。前年に世間を賑わせた情報漏洩事件やその攻撃手法等をもとに、被害を受ける対象となる「個人」と「組織」毎に選出された上位10個の脅威と解説がまとめられています。
本コラムでは、2023年の10大脅威について、上位に選出されたものや昨年から順位が上がったものなどについて詳しく取り上げます。
「情報セキュリティ10大脅威 2023年」
2023年に選出されたセキュリティ脅威は以下のようになりました。
| 順位 | 「組織」向け脅威 | 昨年順位 |
|---|---|---|
| 1位 | ランサムウェアによる被害 | 1位 |
| 2位 | サプライチェーンの弱点を悪用した攻撃 | 3位 |
| 3位 | 標的型攻撃による機密情報の窃取 | 2位 |
| 4位 | 内部不正による情報漏えい | 5位 |
| 5位 | テレワーク等のニューノーマルな働き方を狙った攻撃 | 4位 |
| 6位 | 修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃) | 7位 |
| 7位 | ビジネスメール詐欺による金銭被害 | 8位 |
| 8位 | 脆弱性対策情報の公開に伴う悪用増加 | 6位 |
| 9位 | 不注意による情報漏えい等の被害 | 10位 |
| 10位 | 犯罪のビジネス化(アンダーグラウンドサービス) | 圏外 |
1位は3年連続で「ランサムウェアによる被害」
「組織」向け脅威の第1位に選出されたのは「ランサムウェアによる被害」でした。これは2021年から3年連続で1位に選出されています。昨年は自動車部品メーカーの小島プレス工業への攻撃や大阪急性期・総合医療センターへの攻撃などが非常に大きな話題となりました。弊社コラムでも過去に何度か取り上げていますが、ランサムウェア攻撃は従来の攻撃手法であるデータの不正暗号化による業務停止だけでなく、同時に機密情報を窃取しダークウェブへ公開すると脅す『第二の脅迫』を行うようになっています。さらに近年ではDDos攻撃によるサービス停止を狙った『第三の脅迫』、被害企業の取引先や窃取した機密情報に記載されていた顧客等へ連絡し、公開と引き換えに被害企業へ訴訟を起こさせるなどの間接的な圧力をかける『第四の脅迫』が行われるように発展しています。このような進化するランサムウェア攻撃に対策するには従来通りのバックアップだけでなく、ネットワークへの侵入防止策から、侵入された後のアクセス制御、さらに不正アクセスの検知やインシデント発生後の対応策まで、全般的な対策を行う必要があります。
前述の小島プレス工業への攻撃により、取引先のトヨタ自動車は3月1日の国内全工場(全国14工場28ライン)の稼働を停止する事態となりました。この事件が初めからトヨタ自動車を狙ったものだったのかは明らかではありませんが、部品供給元であるサプライヤーへの攻撃が主要取引先へ深刻な被害を及ぼすことが明白となったことは事実です。このように2位の「サプライチェーンの弱点を悪用した攻撃」の手法としてランサムウェアが利用されることも多く、非常に関連性が深いと言えます。また、3位の「標的型攻撃による機密情報の窃取」に関しても、以前のばらまき型から特定の企業に狙いを定めて攻撃する標的型の手法を取るようになったランサムウェアと密接に関係しています。さらにランサムウェアの感染経路の多くはVPN機器からの侵入やリモートデスクトップからの侵入であり、テレワークに利用される機器が感染経路となっていること、また感染させるためにゼロデイ攻撃を行う場合も考えられることなどから、今回上位に選ばれたセキュリティリスクの多くがランサムウェアに関連していると言えるのです。
繰り返しになりますが、ランサムウェアによる被害は昨年、一昨年も1位に選出され、警戒を促されているにも関わらず、被害件数は右肩上がりに増加しています。自社が被害に遭わないためにも、セキュリティに不安のある企業は後回しにせず、今年こそ何らかの対策を行うべきでしょう。
4位は「内部不正による情報漏えい」、内部関係者による持ち出しをどう防ぐか
4位に選出されたのは「内部不正による情報漏洩」で、昨年の5位より一つ順位を上げました。内部不正に関して、昨年は大手の回転寿司チェーン店「かっぱ寿司」を経営する「カッパ・クリエイト」の元社長が「はま寿司」の売り上げデータなどを不正に入手したとして、不正競争防止法違反で逮捕されたことが大きな話題となりました。またソフトバンクの元社員が「5G」に関する営業秘密を転職先の楽天モバイルへ持ち出した件で有罪判決が下ったことも記憶に新しいことでしょう。
このような内部関係者による機密情報の持ち出しは、元々情報に対して正規のアクセス権限を持っていることなどから防ぐのが非常に難しく、また社内事情に通じており機密度の高い情報を狙って持ち出せてしまうことから企業に与える被害も甚大化しやすい傾向にあります。
内部不正による情報漏洩を防ぐためには、不正のトライアングルの3要素「動機」「正当性」「機会」を揃えないようにすることが必要だと言われています。(詳しくは→「2021年5月27日開催「関係者の不正行為による情報漏洩対策」セミナーレポート」)
職場環境を改善することで不正を行う「動機」を無くし、社内規定やコンプライアンスを整備することによって「正当性」を無くす。そして、IT技術によるセキュリティ対策で「機会」を無くすことが内部不正への根本的な対策となります。特に具体的なIT対策としては適切なアクセス制御とログ管理が真っ先に挙げられます。これらの対策を一つ一つ積み重ねていくことが、内部関係者による漏洩から自社を守ることに繋がるでしょう。
9位は「不注意による情報漏えい等の被害」、ヒューマンエラーは必ず起こると想定して対策を
9位に選ばれたのは「不注意による情報漏えい等の被害」で、昨年の10位から一つ順位を上げています。不注意による漏洩はメールの誤送信や紙文書の送付先のミス、PCやUSBメモリーなどデバイスの紛失などが代表的な例として挙げられます。昨年は富山県庁で1月から6月にかけて計7回もの漏洩事故が発生しましたが、これらは全て誤送信または誤送付による漏洩となっており、ダブルチェックなどのルール作りを行ったにも関わらず再発防止に至らなかったことからヒューマンエラーによる漏えい事故を防ぐことがいかに難しいことかがわかります。また、兵庫県尼崎市では業務委託先であるBIPLOGY株式会社の無断再々委託先の従業員が全市民46万人分の個人情報が含まれるUSBメモリーを紛失する事案が発生し世間を騒がせましたが、この事件の半年後には職員が公用スマートフォンを紛失してしまうという事件も起きています。
このように、ヒューマンエラーによる漏えいはいくら対策しても対策しきれないというのが実情です。情報漏洩という最悪の事態を防ぐためには、漏えい対策だけでなく漏えいすることを前提とした対策も同時に行っていくべきでしょう。
IRMは多くのセキュリティ脅威に幅広く対応可能
これらの情報漏えいリスクに対して幅広く対応できるシステムがIRM(Information Rights Management)です。IRMはファイルに対して『暗号化』と『利用権限制御』を行うことにより、ランサムウェアによる情報窃取や内部関係者による持ち出しへ対応することが可能です。また、事前にファイルを暗号化しておくことによって、仮にUSBメモリーなどを紛失した際も拾った第三者がファイルを読み解くことができず、漏洩を防ぐことができます。このような情報流出を前提とした対策をファイルに対して施すことが企業を守ることに繋がります。
セキュリティ対策にお悩みの方は是非ご検討ください。
