現代社会において情報セキュリティの脅威は無視できないものとなっています。
偽メールに騙され、個人情報を盗まれてしまった!
PC、スマホのパスワードが流出し、情報が盗まれてしまった!
などなど、他にも様々な脅威がありますが、これらの脅威から身を守るには個人がしっかりとセキュリティに気を配る必要があります。
どんなに情報管理に優れたシステムであっても、使い手のセキュリティ意識が弱い場合、簡単にパスワードや情報の流出に繋がってしまいます。
そこで、この記事では情報セキュリティの10大脅威をまとめ、読者が自らのデータや情報を守るための基本的な対策についても解説します。
記事を読み終わった後は、セキュリティ意識が高まり、自らのデータを守るための実践的な手段を持つことができるでしょう。
株式会社リッカ
<<あわせて読みたい>>
【ブロックチェーンのセキュリティ】安全性や弱点、対策を徹底解説
【2024年度版】情報セキュリティの10大脅威とは?
毎年、経済産業省のIT政策実施機関であるIPA(独立行政法人情報処理推進機構)が前年に社会的に影響が大きかったセキュリティ上の脅威について掲載しています。
その中でも2023年に影響が大きかった脅威のうち、上位10位までを紹介します。
情報セキュリティ10 大脅威 2024:https://www.ipa.go.jp/security/10threats/nq6ept000000g22h-att/kaisetsu_2024.pdf
IPA情報セキュリティ:https://www.ipa.go.jp/security/index.html
1位:ランサムウェアによる被害(9年連続9回目)
ランサムウェアとはコンピュータウィルスの一種です。(Ransom と Software を組み合わせた造語)
ランサムウェアに感染するとコンピュータやネットワーク上のファイルやデータを暗号化されてしまうため、被害者はデータに一切アクセスできなくなります。この状態を利用し、攻撃者は復号する方法と引き換えに金銭を要求する攻撃手法です。
(参考:https://www.nikkei.com/article/DGXZQOUE056JB0V01C23A0000000/)
- 攻撃の手口
- 脆弱性を悪用し、ネットワークから感染させる
- 公開サーバーに不正アクセスして感染させる
- メールから感染させる
- Webサイトから感染させる
2位:サプライチェーンの弱点を悪用した攻撃(6年連続6回目)
サプライチェーンの弱点を悪用した攻撃は、攻撃者がターゲットとなる組織や個人に直接攻撃を仕掛けるのではなく、その組織や個人が利用するソフトウェアやサービスを提供するサプライヤーやベンダー、またはサプライチェーン全体に存在する脆弱性や弱点を標的にする攻撃手法です。
攻撃を受けた場合、機密情報の漏えいや信用の失墜等、様々な被害が発生する可能性があります。また、自組織から派生して取引相手に損害を与えてしまった場合、損害賠償を求められる可能性もあります。
(参考:https://www.trendmicro.com/ja_jp/jp-security/22/j/securitytrend-20221024-03.html)
- 攻撃の手口
- 取引先や委託先が保有する機密情報を狙う
- ソフトウェア開発元や MSP(マネージドサービスプロバイダー)等を攻撃し、標的組織を攻撃するための足掛かりとする
<<あわせて読みたい>>
サプライチェーンセキュリティとは?重要性やブロックチェーン活用のメリットを解説
3位:内部不正による情報漏えい等の被害(9年連続9回目)
内部不正による情報漏えい等の被害は、従業員(元従業員含む)などの組織関係者が、社内の機密情報を故意に持出したり、誤って社内情報を紛失・削除することなどによって発生します。
情報の漏洩や紛失等が行われた場合、組織の社会的信用の失墜や損害賠償の請求、業務停滞などの様々な経済的損失が発生します。
- 攻撃の手段
- アクセス権限の悪用
- 在職中に割り当てられたアカウントの悪用
- USBメモリーやクラウドサービス、メールなどを用いた情報の持出し
4位:標的型攻撃による機密情報の窃取(9年連続9回目)
標的型攻撃による機密情報の窃取とは、機密情報を取得することを目的として特定の組織を狙うことです。
窃取された機密情報が悪用された場合、企業の事業継続や国家の安全保障等に重大な影響を及ぼす可能性があります。
- 攻撃の手段
- メールへのファイル添付やリンクの記載
- Webサイトの改ざん
- 不正アクセス
5位:修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃)(3年連続3回目)
修正プログラムの公開前を狙う攻撃とは、脆弱性が発見された直後のOS、ソフトウェア、サーバーアプリケーションなどに対して、修正パッチ公開前に攻撃が行われることです。
未知の脆弱性を突いて攻撃をされるため、詳細な情報の取得や解消までが困難であり、被害が大きくなる可能性が高いです。
※ゼロデイは「0日目」を意味する
- 攻撃の手段
- ソフトウェアの脆弱性の悪用
6位:不注意による情報漏えい等の被害(6年連続7回目)
不注意による情報漏えい等の被害は、システム設定時に非公開にすべき情報を公開設定にしてしまったことや、個人情報を含んだ記憶媒体を紛失するなどによって発生します。
また、メールの誤送信で情報の漏洩が発生したというケースもあるため、日々の情報の取り扱いには十分な注意が飛鳥です。
- 要因
- 情報を取り扱う人の情報リテラシーの低さ
- 組織規程及び情報を取り扱うプロセスの不備
- 誤送信を想定した偽メールの存在
7位:脆弱性対策情報の公開に伴う悪用増加(4年連続7回目)
ソフトウェアやハードウェアの脆弱性宅情報の公開は、製品利用者へ注意喚起ができるメリットがありますが、攻撃者にとっては新しい攻撃手段を知り得る機会でもあります。
- 攻撃の手段
- 対策前の脆弱性を悪用
8位:ビジネスメール詐欺による金銭被害(7年連続7回目)
ビジネスメール詐欺による金銭被害とは、悪意のある第三者が標的組織やその取引先の従業員になりすましてメールを送信し、偽の銀行口座に金銭を振り込んでしまうことで発生する被害です。
この攻撃は、組織の従業員を標的にした振り込め詐欺とも言えるもので、ビジネスメール詐欺(Business E-mail Compromise:BEC)と呼ばれています。
- 攻撃の手段
- 取引先の請求書の偽造
- 経営者等へのなりすまし
- 窃取メールアカウントの悪用
- 社外の権威ある第三者へのなりすまし
9位:テレワーク等のニューノーマルな働き方を狙った攻撃(4年連続4回目)
新型コロナウイルス感染症の世界的な蔓延後、テレワークが多くの企業で普及しました。テレワークを行うにあたりVPNサービス等が本格的に活用される中、それらを狙った攻撃が引き続き行われています。
- 攻撃の手段
- テレワーク用製品の脆弱性の悪用
- 脆弱なテレワーク環境への攻撃
- 私有端末や自宅のネットワークへの侵入
10位:犯罪のビジネス化(アンダーグラウンドサービス)(2年連続4回目)
アンダーグラウンド市場では、アカウントの ID やパスワード、クレジットカード情報、ウイルスなどが売買され、 あまり攻撃スキルがなくてもハッキングなどの犯罪行為を行えるようになっています。
- 攻撃の手段
- ツールやサービスを購入した攻撃
- 認証情報を購入した攻撃
- サイバー犯罪に加担する人材の募集
<<あわせて読みたい>>
【IoTのセキュリティ】ブロックチェーンを活用するメリットと注意点
複数の脅威に有効な対策
ここまで様々な情報セキュリティの脅威について説明をしました。情報セキュリティの脅威にしっかりと対策するためには、個人、組織関わらずセキュリティ意識を高めることが不可欠です。ここからは代表的なセキュリティ対策方法をご紹介します。
パスワードを適切に設定する
現代社会ではSNSやオンラインショップのアカウントなど様々な場面でパスワードの設定を求められます。このパスワードが適切に設定されていない場合、アカウントを乗っ取られることもあるため、以下の内容に注意してパスワードを設定してください。
- 初期設定のままにしない
- IDとパスワードを同じ文字列にしない
- 誕生日、名前、キーボードの縦横配列など推測しやすい文字列にしない
- パスワードを使いまわさない
また、上記の点に注意したパスワードを設定したとしても、他人にパスワードを教えたり、パスワードをメモした紙などを紛失したりすると意味がありません。
そのため、パスワードは設定だけでなく管理も怠らないようにしましょう。
情報リテラシー、モラルを向上させる
情報漏洩に関する脅威および対策について知らない、もしくは知っているが故意に不正を行う人がいる場合、周りが努力しても脅威を取り除くことはできません。
悪気があるかないかに関わらず、問題が発生した場合には、担当者の責任が問われる可能性があることを十分に意識してもらう必要があります。
メールなどの添付ファイルやリンクを安易にクリックしない
メールに添付されているファイルやリンクがマルウェアに感染している場合、クリックすることで情報が盗まれたり、システムを乗っ取られたりする可能性があります。
不審なメールが届いたときには、安易にクリックしないでください。
適切な報告/連絡/相談を行う
他者と業務を行う上で適切な報告/連絡/相談は必要不可欠となります。不安を感じたときに誰にも相談せず1人で対応してしまうと、誤った対応をする可能性に繋がり、最悪の場合さらに被害を出してしまうこともあります。
このような事態に陥らないためにも、不安を感じた時や被害にあった時は、上長や社内のセキュリティ担当などの適切な相手に連絡を入れましょう。
IPA情報セキュリティ:https://www.ipa.go.jp/security/index.html
インシデント対応体制を整備し対応する
セキュリティ意識を個々が持つことも大切ですが、インシデントが発生したときに備えて体制を整備し、組織に周知することも重要です。
インシデントが発生した際に、何をすればよいのか、誰に連絡をすればよいのかがわからない場合、組織としての対応が遅れる要因となります。特にサイバー攻撃を受けたときには迅速な対応が必要となりますが、報告が遅れると被害を抑えることができません。
このような事態にならないためにも、インシデント発生時のマニュアルを組織全体で把握しておく必要があります。
インシデントが発生したときの連絡先が明確になっていない場合、組織内だけでなく、客先との連携が遅れる原因となります。最悪の場合、他社や利用者から損害賠償請求を受けたり、社会的信用が失墜したりする事態に発展する可能性もあります。
このような事態を防ぐためにも、あらかじめ組織内で環境を整え、マニュアルを共有する必要があります。
サーバーやクライアント、ネットワークに適切なセキュリティ対策を行う
サイバー攻撃を受ける要因には、サーバーやクライアント、ネットワークに適切なっセキュリティ対策が設けられていないこともあげられます。
「サポート切れのOSやソフトウェア、ハードウェアを使用している」、「個人ごとの設定が面倒なため、複数人に共通の権限を付与する」などの対策漏れを放置していた場合、サイバー攻撃を防ぐことができなくなります。
適切なバックアップ運用を行う
ランサムウェア等の攻撃や、操作ミスによってデータを失った場合、復旧のために多大な時間と人手が必要となってしまいます。復旧まで時間がかかるほど社会的信用が失墜し、業務継続も困難になるなど深刻な事態を引き起こします。
適切なバックアップを行っておけば、復旧にかかる時間を短縮することができます。結果として、被害を最小限にできる可能性があります。
<<あわせて読みたい>>
ブロックチェーンとは?分散型台帳の基礎や仕組み、セキュリティ、活用法を図解でわかりやすく解説!
まとめ 情報セキュリティの10大脅威と基本的な対策について
今回は情報セキュリティの10大脅威と基本的な対策について説明をしました。
個人、組織を問わず、セキュリティの基本的な知識を身につけることで、サイバー攻撃による甚大な被害を未然に防いだり、被害を最小限に食い止めたりすることが可能となります。
本記事で紹介した内容は多数あるセキュリティに関する情報の一部にすぎません。
より詳細な内容を知りたいという場合は、IPAが公開している情報を参考にしてください。
情報セキュリティ10 大脅威 2024:https://www.ipa.go.jp/security/10threats/nq6ept000000g22h-att/kaisetsu_2024.pdf
IPA情報セキュリティ:https://www.ipa.go.jp/security/index.html
株式会社リッカ
<<あわせて読みたい>>
コメント