毎年IPAが発表している“情報セキュリティ10大脅威”は、前年度の情報セキュリティインシデントにおける内容や件数を参考に、その年特に注意すべき脅威をランキング形式でピックアップしたものです。
前回は個人編を解説しましたので、今回は情報セキュリティ10大脅威2022年版(組織編)の概要を見ていきましょう。
情報セキュリティ10大脅威2022年版(組織編)の内容
情報セキュリティ10大脅威2022年版(組織編)では、情報セキュリティ分野の担当者や企業の実務担当者など、約150名ものメンバーで構成される選考会により、以下の脅威を特に注意すべきものと位置付けています。
10位:不注意による情報漏えい等の被害
9位:予期せぬIT基盤の障害が原因の業務停止
8位:ビジネスメール詐欺による金銭被害
7位:ゼロデイ攻撃
6位:脆弱性対策情報の公開に伴う悪用増加
5位:内部不正が原因の情報漏えい
4位:新しい働き方を狙った攻撃
3位:サプライチェーンの弱点を悪用した攻撃
2位:標的型攻撃による機密情報の窃取
1位:ランサムウェアによる被害
それぞれの概要を見てみましょう。
10位:不注意による情報漏えい等の被害
企業に所属する従業員が、機密情報の含まれる書類を誤って紛失したり、宛先を十分にチェックしないまま、メールを誤送信してしまったりといった不注意による情報漏えいは、いまだに多く報告されています。
9位:予期せぬIT基盤の障害が原因の業務停止
企業が利用するデータセンター、あるいはクラウドのIT基盤等が突如停止し、強制的に業務が停止してしまうという事例もよく見られます。
主な理由としては、自然災害やインフラ設備のメンテナンスにおけるヒューマンエラー、あるいは電源等制御システムの障害などが挙げられます。
8位:ビジネスメール詐欺による金銭被害
攻撃者が取引先などになりすましたビジネスメールを送信し、用意した口座に金銭を入金させるという手口です。
他にも、その企業の経営者になりすました攻撃者が、従業員に送金を促すケースなどが報告されています。
7位:ゼロデイ攻撃
ゼロデイ攻撃とは、ソフトウェアなどのセキュリティホールが発見されてから、その情報公開や対策が講じられるまでのタイムラグを狙った攻撃をいいます。
2021年はこちらの攻撃が非常に多く見られ、前年度の情報セキュリティ10大脅威ではランク外だったものの、今年は一気に7位にまで食い込んできています。
6位:脆弱性対策情報の公開に伴う悪用増加
前述したゼロデイ攻撃に極めて近いものですが、ゼロデイ攻撃は修正パッチがリリースされるまでの間にセキュリティホールを狙うのに対し、こちらには脆弱性を悪用するツールを作成したり、公開されたツールを用いて攻撃したりすることも含まれます。
5位:内部不正が原因の情報漏えい
企業などの組織では、所属する従業員、過去に所属していた従業員による不正アクセス、アカウントの悪用、不正な機密情報の持ち出しにより、情報が漏えいするケースが散見されます。
また、関係者の不正により、組織全体が社会的地位を失ったり、損害賠償請求をされたりすることも、脅威の1つだと言えます。
4位:新しい働き方を狙った攻撃
新型コロナウイルスの感染拡大などにより、2021年はテレワークなどの新しい働き方を導入する企業も増えました。
しかし、それと同時に、テレワークに対応したネットワーク環境を整備できない企業も増加し、こちらが攻撃者の不正アクセスなどを誘発するケースもよく見られます。
3位:サプライチェーンの弱点を悪用した攻撃
原材料や部品の調達、製造や在庫管理、物流や販売といった一連の商流をサプライチェーンといいますが、こちらにはあらゆる工程が含まれ、数々の組織が関わっていることから、当該分野におけるセキュリティ対策が十分でない企業は多いです。
また、そのような企業が、攻撃の足掛かりとして利用されるケースも散見されます。
2位:標的型攻撃による機密情報の窃取
標的型攻撃は、攻撃者が特定組織・企業のパソコンをウイルスに感染させたり、機密情報を窃取したりすることを目的に行われます。
また、非常に悪質かつ大胆な手法としては、組織の内部に潜入し、長期間にわたって侵害範囲を少しずつ広げるケースも報告されています。
1位:ランサムウェアによる被害
ランサムウェアの手口は、金銭要求を目的に、不正な添付ファイルによってウイルスに感染させるもの、ウイルスをダウンロードさせるようにウェブサイトを改ざんするもの、当該サイトを閲覧させるためにメール等で誘導するものなどに分類されます。
2021年には、“Dark Side”、“REvil”、“Conti”といったランサムウェアが猛威を振るい、いくつかの事例では、被害企業が数億円以上にも上る巨額の身代金を支払ったとも言われています。
まとめ
ここまで、情報セキュリティ10大脅威2022年版(組織編)の概要を見てきましたが、いかがでしたでしょうか?
ランサムウェアや標的型攻撃など、何年にもわたって企業が被害を受け続けている脅威もあれば、ゼロデイ攻撃など、一気に件数が増加した新しい脅威もあります。
これらの脅威に抵抗するために、企業は情報セキュリティ体制を総合的にグレードアップしなければいけません。
