IPA(情報処理推進機構)は、2020年に発生した情報セキュリティ関連の事件や事故を参考に、組織が2021年に注意すべき10大脅威をランキング形式でまとめています。
これは、毎年新たに発表されているデータであり、企業にとって情報セキュリティ対策の参考にしない手はありません。
内容を詳しく解説しましょう。
10位:脆弱性情報の悪用
各ベンダーは、定期的にソフトウェアにおける脆弱性情報を公開し、利用者に対策を取ってもらうための活動を行います。
しかし、この脆弱性情報は、攻撃者によって悪用される可能性があり、実際対策が遅れた企業は、外部からの業務システムの不正操作などの被害を受けています。
9位:組織のミスによる情報漏えい
情報セキュリティに対する意識が低い企業、またはテレワークなどの新しい労働環境が正しく整備されていない企業では、メールの誤送信や不注意による個人情報の公開、社用パソコンや外部機器の紛失などが原因で、機密情報が漏えいしてしまう可能性があります。
8位:ネット上のサービスへの不正ログイン
組織、企業が利用するあるいは提供するネット上のサービスに対し、外部から不正なログインが行われると、個人情報の窃取や不正操作が実行されます。
また、このログインが一般ユーザーのID、パスワードを窃取して行われた場合、それを不正と判断するのは難しくなります。
7位:IT基盤の障害
地震や台風、ヒューマンエラー、設備障害などにより、T基盤が機能しなくなると、企業は通常通り業務を遂行できなくなります。
また、それが利益の減少や競争力、信用の低下、ひいてはユーザーの日常生活における支障へとつながることも考えられます。
6位:内部不正
組織や企業における従業員、もしくは元従業員の不正により、勝手に機密情報を持ち出されたり、悪用されたりすることがあります。
また、これには不正目的の持ち出しだけでなく、単純に社内ルールを破り、自宅で作業をする目的などで情報を持ち出したことにより、結果的に紛失や漏えいなどに繋がるケースも含まれます。
5位:ビジネスメール詐欺
ビジネスメール詐欺は、ネットを利用した金銭搾取を伴う詐欺行為です。
攻撃者は、取引先や経営者になりすまし、容易した口座へ送金するよう、巧みに誘導します。
また、ビジネスメール詐欺では、攻撃者が入念な準備を行っていて、偽メールや偽の請求書は精巧に作られているため、従業員が個々に偽物と見破るのは至難の業です。
2020年は、コロナ関連のビジネスメール詐欺も多く見られました。
4位:サプライチェーンの脆弱性を突いた攻撃
サービス提供を行うための一連のビジネス活動、取引先や関連企業などを含めたビジネス活動の流れを“サプライチェーン”といいますが、時にこの仕組みの脆弱性が攻撃者に狙われることがあります。
具体的には、セキュリティ体制が堅固な大手企業ではなく、比較的対策が手薄な取引先を経由したり、利用しているソフトウェア等の製品に不正プログラムを紛れ込ませたりする形で攻撃を実行します。
3位:テレワーク等の新しい働き方を狙った攻撃
新型コロナウイルスの感染拡大により、日本ではオフィス以外の場所(主に自宅)で業務を行うテレワークを導入する企業が増加しました。
ただ、テレワーク増加に伴い、これを狙った攻撃が多く発生しているのも事実です。
主な原因としては、企業におけるテレワーク体制の整備が不十分なこと、従業員の情報セキュリティ意識が低いことなどが挙げられます。
2位:標的型攻撃
標的型攻撃は、毎年のように当ランキングの上位に食い込んでくる脅威です。
明確な目的を持って、特定のターゲット(組織)に仕掛けられるサイバー攻撃で、主な目的としては、ターゲットに対する嫌がらせ、窃取した情報によって金銭的利益を追求することなどが挙げられます。
2020年は、コロナやテレワークといった要因による社会情勢の変化に便乗し、新手の標的型攻撃が数多く実行されました。
1位:ランサムウェア
2021年に組織、企業がもっとも注意しなければいけないのは、やはりランサムウェアです。
これも標的型攻撃と同様に、毎年重大な脅威としてピックアップされています。
ウイルスの一種であるランサムウェアは、システムのハードディスクを暗号化し、パソコン内の写真や文書の読み込みを妨害したり、操作不能にしたりするものです。
また、制限を解除して元に戻す条件として、金銭を要求する画面を表示させるのも特徴です。
近年は、事前にターゲットのデータを窃取しておき、「金銭を支払わなければ、データを公開する」と脅迫する“二重の脅迫(Double Extortion)”という手口も頻繁に確認されています。
まとめ
ここまで、組織が2021年に注意すべき情報セキュリティの10大脅威を見てきましたが、いかがでしたでしょうか?
ランキングの中には、相変わらず減少する気配のない脅威もあれば、この時世ならではの脅威も含まれています。
企業はこれらの内容を細かく把握し、多方面から脅威に対応できるような情報セキュリティ体制を構築しなければいけません。