「情報セキュリティ10大脅威 2024」が今年もIPAによって公開されました。
「情報セキュリティ10大脅威 2024」は、2023年に発生した社会的に影響が大きかったと考えられる情報セキュリティにおける事案から、IPAが脅威候補を選出し、情報セキュリティ分野の研究者、企業の実務担当者など約150名のメンバーからなる「10大脅威選考会」が脅威候補に対して審議・投票を行い、決定したものです。
「組織」分野におけるランキングは以下のとおりです。
| 順位 | 前年比 | 脅威 | 昨年順位 |
|---|---|---|---|
| 1 | → | ランサムウェアによる被害 | 1 |
| 2 | → | サプライチェーンの弱点を悪用した攻撃 | 2 |
| 3 | ↑ | 内部不正による情報漏えい | 4 |
| 4 | ↓ | 標的型攻撃による機密情報の窃取 | 3 |
| 5 | ↑ | 修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃) | 6 |
| 6 | ↑ | 不注意による情報漏えい等の被害 | 9 |
| 7 | ↑ | 脆弱性対策情報の公開に伴う悪用増加 | 8 |
| 8 | ↓ | ビジネスメール詐欺による金銭被害 | 7 |
| 9 | ↓ | テレワーク等のニューノーマルな働き方を狙った攻撃 | 5 |
| 10 | → | 犯罪のビジネス化(アンダーグラウンドサービス) | 10 |
1位となったのは「ランサムウェアによる被害」で、実に4年連続です。「修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃)」は2年前に初登場してから順位を上げ、5位にランクインしています。
そして、10位には2年連続で「犯罪のビジネス化(アンダーグラウンドサービス)」がランクインしました。弊社から毎月発信している Check Point 社のマルウェア検出数ランキングでも度々登場しますが、近年は金銭目的のサイバー攻撃が目立っています。
より複雑化した脅威に対抗できるよう、引き続き、各脅威ごとに適切な対応を取ることが求められます。
4年連続で「ランサムウェアによる被害」が1位
国内の企業や病院などでの複数の被害が2023年も相次いで報道され、大きな話題となったランサムウェア。4年連続で組織の脅威1位となりました。
警察庁が2023年9月に発表した資料によると、国内のランサムウェア被害報告件数は、2023年上半期には103件。2022年下半期以降、高い水準で推移しています。
令和5年上半期におけるサイバー空間をめぐる脅威の情勢等について|警察庁 広報資料 令和5年9月21日
二重恐喝型ランサムウェアによる被害が多くを占める
従来のランサムウェアは、不特定多数の利用者を狙って電子メールを送信するといった手口が一般的でしたが、近年では標的型攻撃と同様の手口が広がっています。また、データの暗号化で脅迫するに留まらず、窃取した機密情報を公開すると脅迫する手口(二重恐喝)も増えています。
警察庁の資料によると、103件の被害のうち、警察として手口を確認できたものは83件。このうち、二重恐喝の手口によるものは65件で、78%を占めています。
令和5年上半期におけるサイバー空間をめぐる脅威の情勢等について|警察庁 広報資料 令和5年9月21日
さらに、最近の事例として「ノーウェアランサム」による被害も、新たに6件確認されています。ノーウェアランサムとは、企業のネットワークに侵入し、ランサムウェアを用いてデータを暗号化することなく窃取した上で、対価を要求する手口です。
一方で、被害の内訳は、大企業が30件、中小企業は60件と、規模を問わず発生しています。
令和5年上半期におけるサイバー空間をめぐる脅威の情勢等について|警察庁 広報資料 令和5年9月21日
標的型攻撃と同等の技術が駆使されるランサムウェア攻撃には、企業規模を問わず、これまで以上の対策が必要になってきます。ウイルス対策、不正アクセス対策、脆弱性対策などを、確実かつ多層的に適用することが重要です。
宝情報では、ランサムウェア暗号化からのロールバック機能を持つセキュリティ製品を取り扱っています。
「サプライチェーンの弱点を悪用した攻撃」が2年連続で2位に
「サプライチェーンの弱点を悪用した攻撃」が昨年2023年に引き続き2位にランクインしました。
「サプライチェーンの弱点を悪用した攻撃」を受けると、自組織が被害を受けるだけではなく攻撃者に加担してしまう恐れがあります。
取引相手にも損害を与えてしまうことになるため、業務の一時停止や損害賠償を求められる可能性もあり、ビジネスに莫大な影響を及ぼす恐ろしい脅威です。
この攻撃を防ぐには、中小企業様も含めた自組織のセキュリティ向上が不可欠です。
宝情報では、エンタープライズレベルのセキュリティ機能を搭載しながら、中小企業様にも導入しやすい価格帯を実現したセキュリティ製品を取り扱っております。
「修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃)」が5位に
昨年ランキングに初登場した「修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃)」が今年も登場し、5位にランクインしました。引き続き注意が必要です。
ランキング推移| 2022 | 初登場 | 7位 |
|---|---|---|
| 2023 | ↑ | 6位 |
| 2024 | ↑ | 5位 |
ゼロデイ攻撃とは、ソフトウェアなどの脆弱性を標的とし、修正プログラムが提供される前の脆弱性を悪用した攻撃です。対策にも限りがあるため、サイバー攻撃の中でもっとも深刻な脅威の一つと言われています。
通常の脆弱性であれば修正プログラムを速やかに適用することで攻撃を防ぐことも可能ですが、ゼロデイ攻撃の場合、修正プログラムが提供された時点で既に攻撃を受けている可能性があります。
通常の脆弱性に加え、外部からの侵入を 検知・防御 する機器を導入するなどの備えが重要です。
宝情報では、未知の脅威に対抗できるエンドポイントセキュリティ製品を取り扱っています。
「犯罪のビジネス化(アンダーグラウンドサービス)」が2年連続で10位に
2018年以来5年ぶりにランキングに姿を現した「犯罪のビジネス化(アンダーグラウンドサービス)」が、今年も10位にランクインしました。
アンダーグラウンドサービスとは、サイバー攻撃を目的としたツールやサービスがアンダーグラウンド市場で取引されていることを指します。
この脅威の恐ろしいところは、専門知識のない攻撃者でも、ツールやサービスを購入することで簡単にサイバー攻撃を行うことができてしまう点です。そのため、攻撃の更なる増加にも繋がると懸念されています。
ツールを購入すれば誰でもサイバー攻撃を始められる時代。今後、このようなサービスの悪用をはじめとした攻撃の増加に備えるため、組織としてのセキュリティ対策がますます重要になっていくと言えるでしょう。
企業が金銭的被害を被りやすい攻撃の代表格といえば、「ランサムウェア」です。
ランサムウェアの脅威は、2024年組織分野のランキングでも1位となっていますが、その攻撃の助長の背景には、サービスとしてのランサムウェア(Raas)、すなわち、犯罪のビジネス化が関与しているとも考えられるのです。
こうしたサービスが広まるほど、企業や個人がサイバー攻撃を受けるリスクは高まります。
宝情報では、脅威対策のための様々なソリューションをご用意しております。