「情報セキュリティ10大脅威 2023」が今年もIPAによって公開されました。
「情報セキュリティ10大脅威 2023」は、2022年に発生した社会的に影響が大きかったと考えられる情報セキュリティにおける事案から、IPAが脅威候補を選出し、情報セキュリティ分野の研究者、企業の実務担当者など約150名のメンバーからなる「10大脅威選考会」が脅威候補に対して審議・投票を行い、決定したものです。
「組織」の立場でのランキングはそれぞれ以下のとおりです。
| 順位 | 前年比 | 脅威 | 昨年順位 |
|---|---|---|---|
| 1 | → | ランサムウェアによる被害 | 1 |
| 2 | ↑ | サプライチェーンの弱点を悪用した攻撃 | 3 |
| 3 | ↓ | 標的型攻撃による機密情報の窃取 | 2 |
| 4 | ↑ | 内部不正による情報漏えい | 5 |
| 5 | ↓ | テレワーク等のニューノーマルな働き方を狙った攻撃 | 4 |
| 6 | ↑ | 修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃) | 7 |
| 7 | ↑ | ビジネスメール詐欺による金銭被害 | 8 |
| 8 | ↓ | 脆弱性対策情報の公開に伴う悪用増加 | 6 |
| 9 | ↑ | 不注意による情報漏えい等の被害 | 10 |
| 10 | ↑ | 犯罪のビジネス化(アンダーグラウンドサービス) |
圏外 |
「ランサムウェアによる被害」が3年連続で1位となりました。昨年初登場した「修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃)」も7位から6位に順位を上げています。
10位には「犯罪のビジネス化(アンダーグラウンドサービス)」がランクインしました。弊社からは、毎月 Check Point 社のマルウェア検出数ランキングを元にした記事を発信しておりますが、そこからもわかるように、近年は金銭目的のサイバー攻撃が目立ちます。
より複雑化した脅威に対抗できるよう、引き続き、各脅威ごとに適切な対応を取ることが求められます。
3年連続で「ランサムウェアによる被害」が1位
国内の企業や病院などでの複数の被害が2022年も相次いで報道され、大きな話題となったランサムウェア。3年連続で組織の脅威1位となりました。
警察庁が2022年9月に発表した資料によると、国内のランサムウェア被害報告件数は、2022年上半期には114件。2022年下半期以降、右肩上がりに増加しています。
令和4年上半期におけるサイバー空間をめぐる脅威の情勢等について|警察庁 広報資料 令和4年9月15日
二重恐喝型ランサムウェアによる被害が多くを占める
従来のランサムウェアは、不特定多数の利用者を狙って電子メールを送信するといった手口が一般的でしたが、近年では標的型攻撃と同様の手口が広がっています。また、データの暗号化で脅迫するに留まらず、窃取した機密情報を公開すると脅迫する事例も増えています。
警察庁の資料によると、114件の被害のうち、警察として手口を確認できたものは81件。このうち、二重恐喝の手口によるものは53件で、65%を占めています。
令和4年上半期におけるサイバー空間をめぐる脅威の情勢等について|警察庁 広報資料 令和4年9月15日
また、被害の内訳は、大企業が36件、中小企業は59件と、企業規模を問わず発生しています。
令和4年上半期におけるサイバー空間をめぐる脅威の情勢等について|警察庁 広報資料 令和4年9月15日
標的型攻撃と同等の技術が駆使されるランサムウェア攻撃には、企業規模を問わず、これまで以上の対策が必要になってきます。ウイルス対策、不正アクセス対策、脆弱性対策などを、確実かつ多層的に適用することが重要です。
宝情報では、ランサムウェア暗号化からのロールバック機能を持つセキュリティ製品を取り扱っています。
「サプライチェーンの弱点を悪用した攻撃」が順位を上げ2位に
2013年から2位以上を維持し続けていた「標的型攻撃による機密情報の窃取」を抑え、「サプライチェーンの弱点を悪用した攻撃」が2位にランクインしました。
2019年に初めて4位にランクインしてから、徐々に順位を上げ続け上位に位置しています。
| 2019 | 2020 | 2021 | 2022 | 2023 |
|---|---|---|---|---|
| 初登場4位 | 4位→ | 4位→ | 3位↑ | 2位↑ |
「サプライチェーンの弱点を悪用した攻撃」を受けると、自組織が被害を受けるだけではなく攻撃者に加担してしまう恐れがあります。
取引相手にも損害を与えてしまうことになるため、業務の一時停止や損害賠償を求められる可能性もあり、ビジネスに莫大な影響を及ぼす恐ろしい脅威です。
この攻撃を防ぐには、中小企業様も含めた自組織のセキュリティ向上が不可欠です。
宝情報では、エンタープライズレベルのセキュリティ機能を搭載しながら、中小企業様にも導入しやすい価格帯を実現したセキュリティ製品を取り扱っております。
「修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃)」が6位に
昨年ランキングに初登場した「修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃)」が今年も登場し、6位にランクインしました。引き続き注意が必要です。
ゼロデイ攻撃とは
ゼロデイ攻撃とは、ソフトウェアなどの脆弱性を標的とし、修正プログラムが提供される前の脆弱性を悪用した攻撃です。対策にも限りがあるため、サイバー攻撃の中でもっとも深刻な脅威の一つと言われています。
通常の脆弱性であれば修正プログラムを速やかに適用することで攻撃を防ぐことも可能ですが、ゼロデイ攻撃の場合、修正プログラムが提供された時点で既に攻撃を受けている可能性があります。
通常の脆弱性に加え、外部からの侵入を 検知・防御 する機器を導入するなどの備えが重要です。
宝情報では、未知の脅威に対抗できるエンドポイントセキュリティ製品を取り扱っています。
「犯罪のビジネス化(アンダーグラウンドサービス)」が5年ぶりにランクイン
今回10位にランクインした「犯罪のビジネス化(アンダーグラウンドサービス)」は、2018年以来5年ぶりにランキングに姿を現しました。
アンダーグラウンドサービスとは、サイバー攻撃を目的としたツールやサービスがアンダーグラウンド市場で取引されていることを指します。
この脅威の恐ろしいところは、専門知識のない攻撃者でも、ツールやサービスを購入することで簡単にサイバー攻撃を行うことができてしまう点です。そのため、攻撃の更なる増加にも繋がると懸念されています。
ツールを購入すれば誰でもサイバー攻撃を始められる時代。今後、このようなサービスの悪用をはじめとした攻撃の増加に備えるため、組織としてのセキュリティ対策がますます重要になっていくと言えるでしょう。
企業が金銭的被害を被りやすい攻撃の代表格といえば、「ランサムウェア」です。
ランサムウェアの脅威は、2023年のランキングでも1位となっていますが、その攻撃の助長の背景には、サービスとしてのランサムウェア(Raas)、すなわち、犯罪のビジネス化が関与しているとも考えられるのです。
こうしたサービスが広まるほど、企業や個人がサイバー攻撃を受けるリスクは高まります。
宝情報では、脅威対策のための様々なソリューションをご用意しております。
また、組織ランキング2位の「テレワーク等のニューノーマルな働き方を狙った攻撃脅威」対策に有効な製品も取り扱っておりますので、ぜひ1度チェックしてみてください。
リモートワーク導入における中小企業のセキュリティ対策についての記事はこちら
参照元
情報セキュリティ10大脅威 2023|IPA
令和4年上半期におけるサイバー空間をめぐる脅威の情勢等について|警察庁