IPA「情報セキュリティ10大脅威 2024」決定、組織内の人に起因する脅威が順位を上げる結果に

2024年1月24日、独立行政法人情報処理推進機構(以下IPA)から「情報セキュリティ10大脅威 2024」が発表されました。※1

「情報セキュリティ10大脅威」は、IPAが情報セキュリティ対策の啓蒙を目的として2006 年から毎年発表し続けているものです。前年に世間を賑わせた情報漏えい事件やその攻撃手法等をもとに、被害を受ける対象となる「個人」と「組織」毎に選出された上位10個の脅威と解説がまとめられています。

今年発表された「組織」向けの脅威は、1位から10位まですべてが前年と同じものでした。しかし、順位には変動があり、「内部不正による情報漏えい」(昨年4位→今年3位)や「不注意による情報漏えい等の被害」(昨年9位→今年6位)などの組織内の「人」に起因する脅威が順位を上げる結果となりました。また、4年連続で1位に選出された「ランサムウェアによる被害」など、順位に変動はないものの攻撃手法そのものが年々変化しているものも存在します。そのため、常に最新の情報を把握し、それに見合った対策を検討しておくべきでしょう。

本コラムでは、2024年の組織向け10大脅威について詳しく取り上げます。

「情報セキュリティ10大脅威 2024年」

2024年に選出されたセキュリティ脅威は以下のようになりました。 

順位「組織」向け脅威初選出年10大脅威での取り扱い
(2016年以降)
1位ランサムウェアによる被害2016年9年連続9回目
2位サプライチェーンの弱点を悪用した攻撃2019年6年連続6回目
3位内部不正による情報漏えい等の被害2016年9年連続9回目
4位標的型攻撃による機密情報の窃取2016年9年連続9回目
5位修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃)2022年3年連続3回目
6位不注意による情報漏えい等の被害2016年6年連続7回目
7位脆弱性対策情報の公開に伴う悪用増加2016年4年連続7回目
8位ビジネスメール詐欺による金銭被害2018年7年連続7回目
9位テレワーク等のニューノーマルな働き方を狙った攻撃2021年4年連続4回目
10位犯罪のビジネス化(アンダーグラウンドサービス)2017年2年連続4回目
出典:IPA『情報セキュリティ10大脅威 2024』「組織」向け脅威のみ抜粋

選出された脅威の内容は2023年と変わらず

先述の通り、2024年に発表された10大脅威は1位から10位まですべて2023年と同じ内容でした。これについてIPAは「種類が同じであっても脅威を取り巻く環境は同じではない。被害者を騙す手口は常に更新されており、社会的に注目されているニュースや新しい技術(生成AI等)を駆使して攻撃を仕掛けてくる。常日頃から脅威に関する最新情報に注意を払い、手口を知っておくことが重要だ」とコメントしています。※2

「ランサムウェアによる被害」が4年連続1位に

組織向け脅威の第1位に選出されたのは「ランサムウェアによる被害」でした。これは2021年から4年連続で1位に選出されています。昨年は7月に発生した名古屋港のコンテナターミナルシステムに対するランサムウェア攻撃が、日本の重要インフラに影響を及ぼした事例として注目を集めました。

近年のランサムウェア攻撃は、従来の攻撃手法である暗号化による業務停止だけでなく、同時に機密情報を窃取しダークウェブへ公開すると脅す「二重恐喝」を行うようになっています。昨年9月に警察庁が公表した資料では、2023年上半期(1月~6月)に報告されたランサムウェア被害の内、約8割が二重恐喝の手法を取っていたとされています。※3

さらに、同資料では新たなランサムウェア攻撃手法として「ノーウェア(非暗号化型)ランサム」の存在が報告されています。この手法では、従来のようにデータの暗号化を行わずに、データの窃取だけを行い、身代金を要求します。この手口を取る理由として、不正な暗号化を行わないことで標的企業のネットワークに侵入した後に管理者権限の奪取などの手間が省け、さらにEDRなどでの検知が難しくなり、発覚を遅らせるメリットが考えられます。そのため、今後ノーウェアランサムの手法が増加すると予想されています。実際、昨年12月には伊丹市の委託事業者が利用するシステムにノーウェアランサムの被害が発生し、個人情報が外部に流出したと発表されています。※4

ランサムウェアによる攻撃は年々巧妙化し、被害はとどまることを知りません。常に最新の動向に注意しつつ、適切な対策を実施することが重要です。

組織内の「人」に起因する脅威の順位が上昇

今年の10大脅威において特筆すべきなのは、組織内の「人」に起因する情報漏えいの順位が上昇している点です。内部関係者による漏えいは大まかに2つに分類できます。一つは内部不正などの「意図的な」漏えいであり、これは「内部不正による情報漏えい等の被害」として3位にランクインしています。もう一つは人的ミスなどによる「意図的でない」漏えいであり、これは「不注意による情報漏えい等の被害」として6位に選ばれています。

「内部不正による情報漏えい等の被害」は、一昨年から現在まで順位を5位→4位→3位と着実に上昇させています。特に昨年は、6月に国の研究機関である産業技術総合研究所の主任研究員が自身の研究内容を中国企業へ漏えいさせたとして、不正競争防止法違反で逮捕された事件が注目を集めました。さらに12月には電子部品大手のアルプスアルパインの元社員が転職先のホンダへ技術情報を持ち出し逮捕されています。産業スパイの存在は先端技術を狙うものとして、一般企業でも警戒が必要なセキュリティ脅威となっています。また、転職市場の活性化も持ち出し事件の増加に拍車をかけていると考えられます。
昨年はさらに、NTT西日本子会社の元派遣社員が顧客情報を不正にダウンロードし持ち出した事件も大きな話題となりました。このような業務委託先の従業員による不正持ち出しも、内部関係者による意図的な漏えいに該当するでしょう。

次に、「不注意による情報漏えい等の被害」は、管理者によるミスと従業員によるミスの2つのパターンが考えられます。たとえば、クラウドの設定ミスによる漏えいは前者に該当し、一昨年の尼崎市で発生したUSB紛失事件などは後者に該当します。特に昨年は前者の設定ミスによる漏えいが相次ぎ、それが順位上昇の要因と考えられます。詳細については、IPAから公開される解説が2月下旬に待たれます。

IRM(Information Rights Management)の重要性がますます高まっています

弊社が提供するファイル暗号化ソフト『DataClasys』は、IRM(Information Rights Management:情報権限管理)として知られるシステムです。IRMは、機密データを暗号化し、同時に利用権限(復号(暗号化解除)、閲覧、編集、印刷など)を設定することで、ファイルを厳密に管理することができます。

ランサムウェアによる情報窃取の被害を防ぐためには、事前にIRMでファイルを暗号化することが非常に有効です。IRMで暗号化されたファイルは、仮に外部に流出しても開封できず、情報漏えいを防ぐことができます。この手法は今後増加が予想されるノーウェアランサムにも効果的な対策となります。

さらに、ファイルに利用権限を設定することで、組織内の人による漏えいも防ぐことができます。つまり、従業員には業務に必要な権限(例:「閲覧」「更新」)だけを与え、「復号」の権限を与えないように設定すれば、意図的な漏えいに対策することが可能です。また、設定ミスにより意図せずクラウドストレージが公開されていても、そこに保管されているファイルが暗号化されていれば漏えいを防ぐことができます。

弊社は、IRMのようにコンテンツ自体にセキュリティを施す「コンテンツ・セキュリティ」の重要性が今後ますます高まると考えています。ご興味のある方は、下記より資料請求ください。

カタログ・資料ダウンロードはこちら

参考

※1 情報セキュリティ10大脅威 2024 | 独立行政法人情報処理推進機構 2024年1月24日

※2 プレス発表「情報セキュリティ10大脅威 2024」を決定 | 独立行政法人情報処理推進機構 2024年1月24日

※3 令和5年上半期におけるサイバー空間をめぐる脅威の情勢等について | 警察庁 2023年9月21日

※4 委託事業者による個人情報の流出事案の発生について | 伊丹市 2023年12月27日