前回の記事では、2019年の事案を元に、IPAによって発表された“2020年版情報セキュリティ10大脅威・個人編”を紹介しました。
今回は、それの“法人編”について、同じくランキング形式で紹介したいと思います。
個人が注意すべき脅威と、法人が注意すべき脅威には大きな違いがあるということを、理解していただけると幸いです。
第10位:サービス妨害攻撃によるサービスの停止
これは、攻撃者に乗っ取られた複数の機器から形成される“ボットネット”を踏み台とし、企業等が提供するネット上のサービスに対して大量アクセスによる負荷をかけたり、DDoS攻撃が行われたりするものです。
この攻撃を受けた企業は、ウェブサイトが機能を低下させたり、機能停止になったりすることで、顧客に十分なサービスを提供できなくなります。
したがって、企業だけでなく、サービスを利用する顧客にも被害が及びます。
第9位:IoT機器の不正利用
ネット接続されたIT機器以外を指す“IoT機器”を踏み台とし、サービスやネットワーク、サーバ等に悪影響を与えるDDoS攻撃を行うというものです。
これからIoT機器が普及していくことを考えると、この脅威が今後、さらにランキング上位に食い込む可能性は高いでしょう。
第8位:ネット上サービスからの個人情報の窃取
これは、ECサイト等のサービスに不正アクセスし、サービスに登録している顧客の個人情報を盗んだり、窃取した情報を悪用したりするものです。
個人編にもランクインしている脅威ですが、企業はここからさらに“信頼性の低下”という極めて大きなダメージも負うことになります。
第7位:企業の過失による情報漏えい
これは、企業等において、情報管理体制が十分に構築されていないことが原因で、従業員の過失が発生し、顧客等の個人情報を漏えいさせてしまうというものです。
例えば、「個人情報が含まれる資料が風で飛ばされてなくなった」「個人情報が含まれるデバイスが入ったカバンを電車に置き忘れた」といったヒューマンエラーですね。
第6位:想定外のIT基盤障害に伴う業務停止
これは、企業等が業務で使用するネットワーク、クラウドサービス等のIT基盤に想定外の障害が発生し、長期間業務が停止してしまうというものです。
業務が停止すれば、当然企業における生産性はなくなりますし、その間顧客へのサービス提供も十分に行えなくなります。
第5位:ランサムウェア
ファイルの暗号化、画面ロック等を行い、復旧と引き換えに金銭を要求する悪質なウイルスを“ランサムウェア”といいます。
長年企業を苦しめ続けている、非常に厄介な脅威ですね。
また、近年は、不特定多数の企業等ではなく、特定の組織や国をターゲットにした、標的型攻撃のようなランサムウェアも多々見られます。
第4位:サプライチェーンの脆弱性を突いた攻撃
製品・商品における仕入れ~販売までの一連の流れをサプライチェーンと言いますが、近年はここの脆弱性を突いた攻撃事例がよく見られます。
具体的には、サプライチェーンの過程の一部を外部に委託する企業が、委託先への攻撃により、預けていた個人情報を漏えいさせるといった事例ですね。
第3位:ビジネスメール詐欺
これは、海外の取引先や自社の役員等を装い、巧妙に作られた偽のメールを企業の出納担当者に送信し、攻撃者が用意した口座に送金させるという詐欺行為です。
主に企業間での取引を装う詐欺行為のため、1回あたりの被害金額が高額になる可能性が高く、実際に日本国内でも、高額な被害事例がいくつか確認されています。
第2位:内部不正による情報漏えい
これは、企業等の従業員や元従業員、あるいは関係者によって、機密情報が持ち出され、悪用等の不正行為を働くというものです。
また、悪用する気がなくとも、企業における情報管理のルールを守らず、無断で情報を持ち出したことが原因で、情報漏えいに繋がるケースもこれに該当します。
このような事例が発生すると、企業は社会的信用を失墜させるだけでなく、損害賠償による経済的損失も負うことになります。
第1位:標的型攻撃による機密情報の窃取
企業等に対し、機密情報を窃取することを目的とした標的型攻撃が仕掛けられるというものです。
これも先ほど紹介したランサムウェア同様、長年企業が注意すべき脅威としてピックアップされているものですね。
主な攻撃手段としては、メールの添付ファイルやリンクを開かせる方法、ウェブサイトを改ざんする方法、企業のメールのクラウドサービスやサーバに不正アクセスする方法などが挙げられます。
ちなみに、2020年初頭には、複数の防衛関連企業が不正アクセスを受けていたとして、一時話題になりました。
まとめ
ここまで、法人向けの2020年版・情報セキュリティ10大脅威をランキング形式で紹介してきました。
法人が注意すべき脅威は、時代の流れとともに徐々に変化しているものの、ランサムウェアや標的型攻撃などは、いまだに根強く残っています。
また、企業の過失や不注意による情報セキュリティ事故も、現時点ではあまり減少していません。
