2024年に発生したセキュリティの脅威として、北朝鮮のハッカー集団による仮想通貨の搾取があります。DMMビットコインから482億円相当のビットコインが流出し、DMMビットコインは事業から撤退。廃業してSBIVCトレードに事業譲渡するという事態にまで発展しました。
参考:警察庁/北朝鮮を背景とするサイバー攻撃グループ TraderTraitor による暗号資産関連事業者を標的としたサイバー攻撃について
株式会社リッカ
<<あわせて読みたい>>
【ブロックチェーンのセキュリティ】安全性や弱点、対策を徹底解説
情報セキュリティ10大脅威 2024について
独立行政法人情報処理推進機構 (IPA:Information-technology Promotion Agency, Japan)では、情報セキュリティ10大脅威を毎年公表しています。
参考:情報セキュリティ10大脅威 2024(IPA)
セキュリティ対策の重要性は年々高まっていますが、サイバー攻撃の手法や脅威の順位は変わっています。そのため、移り行く情報セキュリティの脅威を毎年チェックし、自社のセキュリティ対策に生かしていくことが大切です。
また、順位の低い脅威であっても、自社にとってはリスクの高い脅威である場合もあります。例えば、コロナ禍の終息に伴って『テレワーク等のニューノーマルな働き方を狙った攻撃』の順位は2023年の5位から、2024年は9位へと下落しています。しかし、自社で引き続きテレワークが日常的に行われている場合、『テレワーク等のニューノーマルな働き方を狙った攻撃』の脅威は優先度が高くなります。
そのため、いかなる順位の脅威に対しても、自社の実情を踏まえたリスク分析と適切な対策を実行していくことが大切です。
情報セキュリティ10大脅威 2024 [組織]
| 「組織」向け脅威 | 初選出年 | 10大脅威での取り扱い(2016年以降) |
|---|---|---|
| 1位:ランサムウェアによる被害 | 2016年 | 9年連続9回目 |
| 2位:サプライチェーンの弱点を悪用した攻撃 | 2019年 | 6年連続6回目 |
| 3位:内部不正による情報漏えい等の被害 | 2016年 | 9年連続9回目 |
| 4位:標的型攻撃による機密情報の窃取 | 2016年 | 9年連続9回目 |
| 5位:修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃) | 2022年 | 3年連続3回目 |
| 6位:不注意による情報漏えい等の被害 | 2016年 | 6年連続7回目 |
| 7位:脆弱性対策情報の公開に伴う悪用増加 | 2016年 | 4年連続7回目 |
| 8位:ビジネスメール詐欺による金銭被害 | 2018年 | 7年連続7回目 |
| 9位:テレワーク等のニューノーマルな働き方を狙った攻撃 | 2021年 | 4年連続4回目 |
| 10位:犯罪のビジネス化(アンダーグラウンドサービス) | 2017年 | 2年連続4回目 |
それぞれの脅威について簡単に解説します。
1位:ランサムウェアによる被害
ランサムウェアは、ファイルを不正に暗号化して使用不能にし、復旧のために身代金を要求するマルウェアを使った攻撃です。特に医療機関や公共機関、機密情報を扱う企業を狙うケースが増加しています。被害者が身代金を支払ったとしても、データが完全に復旧されないことや情報漏えいが止められないケースもあります。
2位:サプライチェーンの弱点を悪用した攻撃
攻撃者が、ターゲットとなる企業の取引先やパートナー企業の脆弱性を悪用して、間接的にターゲットを攻撃する手法です。サプライチェーンの脆弱性を利用して攻撃するため、セキュリティ対策が万全な大企業であっても被害を避けられない場合があります。
<<あわせて読みたい>>
サプライチェーンリスクとは?ブロックチェーンを活用するメリットも解説
3位:内部不正による情報漏えい等の被害
従業員や役員などの関係者が、故意または過失によって情報を漏えいする被害です。退職する者が機密情報を持ち出すケースや、自社の業務や待遇に不満を持つ従業員が不正を行うケースもあります。内部の監視を強化することや適切なアクセス権限の管理が必要となります。
4位:標的型攻撃による機密情報の窃取
特定の個人や組織を狙い、メールやサイトを利用してマルウェアを仕込み、機密情報などを盗む手法です。スピアフィッシングや水飲み場型攻撃が代表例で、情報漏えいだけでなく、業務妨害や社会的信用の失墜も引き起こす可能性があります。
5位:修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃)
修正プログラム(パッチ)が提供される前に、ソフトウェアの脆弱性を悪用する攻撃です。防御策が講じられる前に攻撃を受けるため、被害を防ぐのが非常に困難な攻撃となります。
6位:不注意による情報漏えい等の被害
メールの誤送信や添付ミス、クラウドのアクセス権設定ミスなど、故意ではないうっかりミスによる情報の漏えいです。セキュリティ教育の強化や業務手順の順守が対策として有効です。
7位:脆弱性対策情報の公開に伴う悪用増加
システムの脆弱性に関する情報が公開されると、その情報をいち早く悪用して対策が未実施のシステムを狙って攻撃する手法です。脆弱性の情報が更新されたら、できるだけ早くシステムをアップデートする必要があります。
8位:ビジネスメール詐欺による金銭被害
経営者や取引先を装ったメールを送信し、従業員に金銭の送金を指示する手法です。巧妙なメールが届いた場合、メールを信じて送金してしまうため、ウイルス対策ソフトで被害を防ぐことはできません。また、セキュリティ対策のルールが順守されていても、詐欺を見破ることができなければ被害に遭ってしまう危険性があります。
9位:テレワーク等のニューノーマルな働き方を狙った攻撃
テレワークの普及によって増えている攻撃です。リモートワーク環境の脆弱性や、個人デバイスのセキュリティの甘さを狙います。従業員の自宅のパソコンやネットワークのセキュリティ対策を万全にする必要があります。
10位:犯罪のビジネス化(アンダーグラウンドサービス)
サイバー攻撃がビジネス化し、攻撃ツールや不正アクセスがサービスとして売買される現象です。情報の金銭的価値が高まっているため、サイバー攻撃がビジネスとして成立するようになっています。
今回は、この中から
- ランサムウェアによる被害
- 標的型攻撃による機密情報の窃取
- 不注意による情報漏えい等の被害
について対策も含めて解説していきます。
ランサムウェアによる被害
ランサムウェアとは、サーバーやパソコン、スマートフォンなどに不正にアクセスし、重要なファイルを暗号化して利用できなくした上で、暗号の解除と引き換えに金銭を要求するマルウェアの一種です。
暗号化されたファイルは利用できなくなるため、企業であれば重要な業務が停止する恐れがあります。実際、国内外ではライフラインやクラウドサーバーなどがランサムウェアによる攻撃によって利用できなくなり、深刻な損害を被っている事例があります。
ランサムウェアによって暗号化されたファイルは復元することが難しく、仮に金銭の支払いに応じたとしても暗号が解除される保証はありません。また、機密情報や個人情報を含む場合、それを不正に利用されたり、ネット上で公開されたりするリスクもあります。
対策
そのため、そもそもランサムウェアの攻撃を受けないよう、事前にセキュリティ対策を万全にすることが大切です。具体的な方法としては、
- OSやソフトウェアのセキュリティパッチの更新
- ウイルス対策ソフトの導入と定期的な更新
- IDやパスワードの定期的な変更
- ルーターやIoT機器のファームウェアの更新
- 社員のセキュリティ意識の向上とルールの順守
などで対策を講じる必要があります。
OSやソフトウェアのセキュリティパッチの更新
OSやアプリケーションに発見された脆弱性を修正するためのパッチを適用することは、サイバー攻撃からシステムを守るための基本的な対策です。最新の状態を常に維持することで、攻撃からの防御を高めることができます。
ウイルス対策ソフトの導入と定期的な更新
ウイルスやマルウェアの侵入を防ぐために、信頼性の高いウイルス対策ソフトを導入します。ウイルス定義ファイルを最新に保つことで、新しい脅威にも対応可能です。
IDやパスワードの定期的な変更
セキュリティリスクを軽減するために、強固でユニークなパスワードを使用し、一定期間ごとに変更することが推奨されます。これにより、不正アクセスのリスクが低減されます。
ルーターやIoT機器のファームウェアの更新
ネットワーク機器やIoTデバイスのファームウェアを最新に保つことで、セキュリティホールを修正し、攻撃者が侵入するリスクを軽減します。特にデフォルト設定のまま使用するのは避けるべきです。
<<あわせて読みたい>>
【IoTのセキュリティ】ブロックチェーンを活用するメリットと注意点
社員のセキュリティ意識の向上とルールの順守
企業全体でセキュリティ教育を実施し、社員が適切なルールや手順を守ることが重要です。特に、不審なメールの開封やリンクのクリックは、社内にバックドアを作られてセキュリティを破られる危険性があるため注意が必要です。
フィッシング詐欺や不正なリンクの回避など、日常的なリスク対策を浸透させることで、ヒューマンエラーなどによる情報漏えいを防止します。
参考:ランサムウェア対策特設ページ(IPA)
https://www.ipa.go.jp/security/anshin/measures/ransom_tokusetsu.html
標的型攻撃による機密情報の窃取
標的型攻撃とは、特定の組織や個人をターゲットにして行われるサイバー攻撃の一種です。実在する組織等を装って特定の組織や個人に向けて巧妙な内容のメールを送信します。実際の業務や連絡事項と判別ができない内容なので、サイバー攻撃ということを見抜くことは難しいケースもあります。
また、最近ではよく閲覧するサイトを改ざんして攻撃する水飲み場型攻撃も増加傾向にあります。セキュリティ対策が万全な大企業であっても、取引先のサイトまで高度なセキュリティを施せない場合もあります。そこで攻撃者は、狙いを定めた大企業がよく利用する取引先のサイトに侵入して不正なコードを仕掛け、標的である大企業の担当者がそのサイトを利用した際にウイルス等に感染させ、セキュリティを突破して機密情報へアクセスしたり、サーバーを停止させて業務を妨害したりします。
対策
また、ウイルス等に感染している場合は、パソコンの動きが遅くなったり、冷却ファンの音が大きくなったり、身に覚えのないファイルができていたりすることがあります。パソコンの動きに不審な点があれば、放置せずにセキュリティ担当者に相談をしましょう。
参考:標的型攻撃/新しいタイプの攻撃の 実態と対策(IPA)
https://www.ipa.go.jp/security/j-csip/ug65p9000000nkvm-att/000024542.pdf
不注意による情報漏えい等の被害
不注意による情報漏えい等の被害とは、メールの誤送信や誤ったファイルの添付、クラウドサービス利用時のアクセス権限の設定間違い、機密情報が入ったパソコンや書類の置き忘れなどです。故意によるものではなく、うっかりミスが起因しているため、完全に防止することが難しい脅威です。
また、最近では従業員個人のSNSで業務に関する不適切な文章や画像が投稿されたり、生成AIに機密情報を入力したことによって漏えいしたりするリスクも高まっています。SNSは瞬時に拡散されて炎上する可能性があります。生成AIに入力した内容は機械学習に利用されて、第三者が閲覧してしまう可能性があります。
対策
参考:情報漏えい発生時の 対応ポイント集(IPA)
https://www.ipa.go.jp/security/guide/ps6vr70000007pkg-att/rouei_taiou.pdf
急増する『標的型ソーシャルエンジニアリング』について
標的型ソーシャルエンジニアリングとは、標的型攻撃の一種に分類されるサイバー攻撃です。近年、標的型ソーシャルエンジニアリングによる被害が急増しています。
一般的な標的型攻撃は、メールやサイトを使ってプログラムを不正に実行させることで機密情報や個人情報を盗み出します。
一方、標的型ソーシャルエンジニアリングでは、標的とした企業の担当者にリクルーティングを装って近づいたり、SNSや電話、対面などで信頼関係を構築したりして、機密情報やセキュリティ情報を聞き出します。標的型ソーシャルエンジニアリングは、ウイルス対策ソフトでは抑止することが難しく、業務時間外のプライバシーにまで企業が介入できないという弱点を突いた手法です。
DMMビットコインの流出事件は、標的型ソーシャルエンジニアリングによる攻撃を受けました。攻撃者は、DMMビットコインの委託先企業の社員にリクルーターを装って接近し、信頼関係を構築したうえで、不正なコードを実行させていたことがわかっています。また、海外在住の社員を標的としている点も、この事例の大きな特徴です。
参考:DMM Bitcoin不正流出の手口明らかに、北朝鮮ハッカーがGinco社員に接触=警察庁
https://news.yahoo.co.jp/articles/6fa42d8e1d4640ef848828272e78a2d795ba1d87
まとめ 【2024-2025】年末年始に確認しておきたいセキュリティ対策について
今回は、年末年始に確認しておきたいセキュリティ対策について解説しました。
セキュリティ対策の詳しい内容については、情報セキュリティ10大脅威 2024をぜひ参考になさってください。
参考:情報セキュリティ10大脅威 2024(IPA)
株式会社リッカ
<<あわせて読みたい>>
コメント