はじめに
「情報セキュリティ10大脅威」は、経済産業省が所管するIPA(独立行政法人情報処理推進機構)が情報セキュリティにおける脅威をランキング形式でまとめた資料です。「組織編」「個人編」、それぞれの立場ごとの脅威について、被害状況や動向、対策などの最新情報が毎年発表されています。そして今年も「情報セキュリティ10大脅威 2023」が発表されました。
本記事では組織における10大脅威から、今注目すべき脅威について解説していきます。
近年の「情報セキュリティ10大脅威」と、注目ポイント
| 情報セキュリティ10大脅威【組織編】 | |||
|---|---|---|---|
| 2021年 | 2022年 | 2023年 | 1位 | ランサムウェアによる被害 | ランサムウェアによる被害 | ランサムウェアによる被害 |
| 2位 | 標的型攻撃による機密情報の窃取 | 標的型攻撃による機密情報の窃取 | サプライチェーンの弱点を悪用した攻撃 |
| 3位 | テレワーク等のニューノーマルな働き方を狙った攻撃 | サプライチェーンの弱点を悪用した攻撃 | 標的型攻撃による機密情報の窃取 |
| 4位 | サプライチェーンの弱点を悪用した攻撃 | テレワーク等のニューノーマルな働き方を狙った攻撃 | 内部不正による情報漏えい |
| 5位 | ビジネスメール詐欺による金銭被害 | 内部不正による情報漏えい | テレワーク等のニューノーマルな働き方を狙った攻撃 |
| 6位 | 内部不正による情報漏えい | 脆弱性対策情報の公開に伴う悪用増加 | 修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃) |
| 7位 | 予期せぬIT基盤の障害に伴う業務停止 | 修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃) | ビジネスメール詐欺による金銭被害 |
| 8位 | インターネット上のサービスへの不正ログイン | ビジネスメール詐欺による金銭被害 | 脆弱性対策情報の公開に伴う悪用増加 |
| 9位 | 不注意による情報漏えい等の被害 | 予期せぬ IT 基盤の障害に伴う業務停止 | 不注意による情報漏えい等の被害 |
| 10位 | 脆弱性対策情報の公開に伴う悪用増加 | 不注意による情報漏えい等の被害 | 犯罪のビジネス化(アンダーグラウンドサービス) |
出典元:IPA(独立行政法人情報処理推進機構)「情報セキュリティ10大脅威2021,2022,2023」を基に作成
上記の表は2021年から2023年の情報セキュリティ10大脅威、組織編についてまとめたものです。
順位の変動はあれども多くの脅威が昨年、一昨年と同じ顔ぶれとなるなかで、ただ一つ「犯罪のビジネス化(アンダーグラウンドサービス)」が新たにランクインしました。この「犯罪のビジネス化」については、今回初めてランクインした脅威というわけでなく、2018年以前にも登場したことのある脅威です。つまり「犯罪のビジネス化」の脅威が再び高まってきたということがわかります。
またこの「犯罪のビジネス化」は、唯一ランキングの変動がなく3年連続トップに位置する「ランサムウェアによる被害」の脅威と、少なからず関係があるとされています。
ここからは再びランクインした脅威、「犯罪のビジネス化」とはどのようなものかをみていきましょう。
新たな脅威「犯罪のビジネス化(アンダーグラウンドサービス)」とは
「犯罪のビジネス化」とは、サイバー犯罪者または犯罪者組織が『ターゲットに関するデータや攻撃に利用するツール、またはノウハウ』といったものを売買し、それを悪用した攻撃が行われることを指します。通常は目に触れることのない闇の世界、いわゆるアンダーグラウンドの中で暗躍し取引が行われるため「アンダーグラウンドサービス」「アンダーグラウンドビジネス」といった呼び方をされることもあります。
サイバー犯罪がビジネス化されたことから、アンダーグラウンドに踏み込みさえすれば誰もが犯罪に手を染められる環境になりました。IT知識の乏しい者でもサイバー攻撃を実行できるというハードルの低さが犯罪を助長。また攻撃者の増加が犯罪ビジネス市場の拡大につながるという悪循環を招くのが「犯罪のビジネス化」の恐ろしい部分です。
「犯罪のビジネス化」と「ランサムウェアによる被害」の関係
犯罪ビジネスの中でも代表格といえるものにRaaS(Ransomware as a Service)があります。Ransomware as a Serviceは直訳すると「サービスとしてのランサムウェア」となり、つまりはランサムウェア攻撃を行うためのサービスです。
クラウドサービスの提供形態として知られるIaaS・PaaS・SaaSと同様にRaaSもサブスクリプションベースで提供されることが多く、料金さえ支払えばランサムウェア攻撃を仕掛けるためのスキルやキットを利用できます。『月額でマルウェアの使用権を支払うモデル』や『攻撃ノウハウやターゲット、さらには身代金要求の例文までパッケージングされているモデル』など、さまざまなRaaSが存在します。
サイバー犯罪組織により開発されたRaaSを利用すれば、顧客はランサムウェアを開発する手間や時間も省けるうえ、たとえ初心者ハッカーであっても効果のある攻撃を行うことが可能です。また組織側にとっても犯罪方法を売買することで定額収入を得られるというメリットがあります。
ランサムウェアを仕掛けるという高度な犯罪がRaaSによって敷居が低くなったことで、専門知識のない者でも犯罪に加担しやすくなりました。加担者の増加でランサムウェアの被害は後を絶たず、恐らく今後も「ランサムウェアによる被害」の脅威は続いていくでしょう。
このように「ランサムウェアによる被害」の脅威は「犯罪のビジネス化」の脅威が活発化していることと深い関係があるのです。
「犯罪のビジネス化」の脅威にどう備えるか
先に犯罪ビジネスの代表的なものとしてRaaSを例に挙げましたが、それ以外にもDDoS攻撃やフィッシング攻撃など、サイバー攻撃につながるさまざまなサービスが取引されています。「犯罪のビジネス化」の活動が続く限り、企業は今後も多くの脅威に晒されることでしょう。
次々発生する脅威に完全に対抗できるという策はありませんが、対策を講じることでリスクを減らすことは可能です。「ソフトウェアの更新」「セキュリティソフトの導入」「パスワードの管理や認証の強化」「セキュリティシステム設定の見直し」といった基本的な対策に加え、次のような対策もあわせて講じ、リスクに備えましょう。
インシデント対応への体制を整える
セキュリティインシデントが発生した場合は早急な対応が必要です。発生した場合にまず何を行い誰に報告すべきか、といったことを理解しておく必要があります。初動対応が遅れるほどに被害はどんどん広がっていくでしょう。被害拡大を防ぐためにも、インシデント対応フローの策定が重要になってきます。また一社員が通常業務と兼務してインシデント対応を担うのは難しいため、万一の状況に備えあらかじめCISO(Chief Information Security Officer)の配置やCSIRT(Computer Security Incident Response Team)を構築するなど、インシデントに備えた体制整備を行いましょう。
CISO、CSIRTなどセキュリティインシデント対策についての詳しい記事はこちら
セキュリティ対策は万全ですか?組織の設置でリスクを最小限にをご覧ください。
社員のセキュリティリテラシーを向上させる
いくら企業側が厳重なセキュリティ体制を敷こうとも社員のセキュリティ意識が欠落していればそこからリスクが生じる可能性は高くなります。不用意にメールを開いたり思わぬ有害サイトをクリックしてしまったりなど、一社員の何気ない一動作が多大なトラブルを招くこともあるということを個々が理解しなければなりません。そのためにも情報セキュリティ教育を定期的に行い、社員一人ひとりのセキュリティ意識やモラルを向上させることが求められます。
サイバー犯罪のトレンドと対策の最新情報を随時収集する
犯罪ビジネスにもトレンドはあります。サイバー犯罪の情報を随時収集し、流行しだしたサイバー攻撃や広く拡散されたツールはないか、目を光らせましょう。犯罪ビジネスの活発化とはいっても高度な攻撃が増えるというよりは、初心者ハッカーの増加により従来からあるサイバー攻撃が増加すると考え、基本的な対策を強化し攻撃に備えることが重要です。
まとめ
「情報セキュリティ10大脅威」3年間のランキングをもとに、新たにランクインした「犯罪のビジネス化(アンダーグラウンドサービス)」を中心に解説しました。「犯罪のビジネス化」が活発になり、従来では考えられなかった初心者ハッカーによるサイバー攻撃も増加しています。これまで以上に情報セキュリティへの意識を高め、基本的な対策を強化し、リスクを最小限に抑えるように努めましょう。
またアンダーグラウンドで売買される攻撃ツールや犯罪手法にはトレンドがあります。常にアンテナを張り、流行に先駆けて対策や対応体制を継続的にアップデートすることが効果的です。こういった専門的なことはその道のプロへお任せください。
セラクではこれまで多くの企業様へ、サイバー攻撃からの被害を最小限に抑えるための施策や組織作りを行ってきた実績があります。日々増加する脅威に対抗するため、よりセキュリティを強化されたいとお考えの場合はセラクへぜひご相談ください。
