こんなものまで…「情報セキュリティ10大脅威2022」から
最新のセキュリティ被害を解説。今年、必要なセキュリティ対策とは？

「情報セキュリティ10大脅威」は、情報セキュリティ対策の啓蒙を目的に、IPAが2006年から毎年発表しているものです。このランキングには最新のリスク動向が反映されています。例えば「テレワーク等のニューノーマルな働き方を狙った攻撃」といったリスクは、コロナ禍のなかテレワークが増えるにつれて台頭してきました。
このように世の中の動きに合わせたランキングを知ることで、企業はどのような対策を強化すればいいのかが見えてきます。

「情報セキュリティ10大脅威2022」では、2021年に発生した情報セキュリティの事案から、社会的影響が大きいと考えられるものを、IPAが選出。それに対して、情報セキュリティ分野における研究者、企業の実務担当者など、約150名のメンバーから成る「10大脅威選考会」によって審議・投票が行われ、決定されました。
「個人編」と「組織編」のランキングが発表されていますが、ここではその組織編を見ていきましょう。（カッコ内は前年の順位、「NEW」は初めてランクインしたもの）

〈情報セキュリティ10大脅威2022 組織編〉

最新動向を解説！ 2022年版に見る3つの注目ポイント

2022年版には、3つの注目ポイントがあります。

1つ目は、前年と同様、外部からの脅威が上位を占めているということです。ランサムウェアや標的型攻撃など、サイバー攻撃の脅威は後を絶ちません。
2つ目は、新たな攻撃の手口がランクインしていることです。7位に選出されている「修正プログラムの公開前を狙う攻撃（ゼロデイ攻撃）」が該当しますが、通常のサイバー攻撃とは異なる手法によって、被害が増大しています。
3つ目は、内部からの情報漏洩が長年にわたってランクインし続けているという事実です。テレワークなどの普及で、その傾向にますます拍車がかかっているということが考えられます。

2022年版でも、前年1位だった「ランサムウェアによる被害」が、2年連続で1位に選出されました。

ランサムウェアとはマルウェア（※1）の一種で、「身代金要求型不正プログラム」とも呼ばれます。感染したパソコンをロックしたり、ファイルを暗号化したりすることによって、利用できなくしたうえで、もとに戻すことを引き換えにランサム（身代金）を要求するという卑劣な攻撃です。
ひと口にランサムウェアといっても、さまざまなタイプがあります。従来は「ばらまき型メール」と呼ばれるものが主流で、不特定多数に「なりすましメール」を送信、脆弱性を攻撃する不正サイトに誘導し、ランサムウェアに感染させるといった手法が多く見られました。しかし近年は「標的型メール」と呼ばれる、特定の組織やユーザー層をターゲットにした攻撃が増えてきています。
これは、2位にランクインしている「標的型攻撃による機密情報の窃取」にもかかわってくる手口です。同じく、特定の組織から大事な情報を盗むことなどを目的として、サイバー攻撃を仕掛けるものです。

日本を震撼させた大手自動車メーカーへの攻撃

2022年2月末、サイバー攻撃に関する大きなニュースが飛び込んできました。日本を代表する大手自動車メーカーの主要な取引先がサイバー攻撃を受け、部品の調達に支障が出るおそれがあるとして、国内すべての工場・ラインの稼働が停止しました。
このサイバー攻撃が巧妙なのは、最初に目標とする自動車メーカーを攻撃したわけではないという点です。車の部品を製造するサプライヤーに攻撃を仕掛け、そのことが部品供給を管理するメーカーのシステムへと影響を及ぼしました。
まさにこれは、3位にランクインしている「サプライチェーンの弱点を悪用した攻撃」です。標的とする企業に直接サイバー攻撃をするのではなく、セキュリティ対策が手薄な取引先や関連会社を経由して、ターゲットを狙うという巧妙な手口です。

※1 ウイルスを含む悪意あるソフトウェアの総称。Malicious（悪意のある）とsoftware（ソフトウェア）を組み合わせた造語。

サイバー攻撃の一種として見過ごせないのが、7位に初登場した「修正プログラムの公開前を狙う攻撃（ゼロデイ攻撃）」です。ゼロデイ攻撃は聞いたことがあるという方も多いと思いますが、実際にどのようなものでしょうか。

私たちが使っているソフトウェアには、セキュリティホールと呼ばれる脆弱性が潜んでいます。ウイルスに感染しやすい、システムに侵入しやすい、プログラムの書き換えもしやすい、いわば無防備な「抜け穴」がセキュリティホールです。それが発見されれば当然、情報が公開されたり、メーカーによって対策が講じられたりするわけですが、その前に攻撃を仕掛けてくることをゼロデイ攻撃といいます。「脆弱性の発見から日にちを空けずに行われる攻撃」ということからのネーミングです。

世界を揺るがした「Apache Log4j」への攻撃

今回、ゼロデイ攻撃が選ばれた理由として、2021年12月に脆弱性が見つかった「Apache Log4j（アパッチ・ログフォージェイ）」を狙った攻撃が挙げられます。
Apache Log4j自体あまり馴染みがないかもしれませんが、ソフトウェアやクラウドサービス（※2）など、さまざまなところで使われており、その脆弱性を悪用した攻撃が国内外で観測されるようになったという報告とともに、対策情報も同じタイミングで公開されたため、大きな話題となりました。内閣サイバーセキュリティセンターなどが、すぐに対策を取るよう呼びかけ、多くの企業が対応に追われました。

「公開後」の脆弱性を狙った攻撃も6位に

6位には、「脆弱性対策情報の公開に伴う悪用増加」という脅威がランクインしています。脆弱性をついた攻撃という意味で、ゼロデイ攻撃と似たような印象を持つかもしれませんが、こちらは脆弱性の「公開後」の攻撃。今回のランキングでは両者は区別されています。前年は脆弱性をついた攻撃がひとつとして扱われていたことを考えると、それだけ今後は脆弱性が狙われるケースが増えていくことが予想されます。

※2 従来、コンピュータで利用していたデータやソフトウェアを、ネットワーク経由で利用できるようにするサービス。

5位に選出されている「内部不正による情報漏えい」も、企業としては気になるところです。これまではサイバー攻撃のような外部の脅威について紹介してきましたが、脅威は外部だけに存在するのではない、ということがわかります。

内部不正というリスク

「手土産転職」という言葉を聞いたことがあるでしょうか？これは、退職する際に顧客情報や技術情報などを持ち出し、手土産として転職先に提供するという内部不正です。近年では、大手キャリアの社員が、5G（※3）関連の情報を転職時に持ち出し、後発のキャリアに転職したというニュースが世間を騒がせました。
また別の事件では、証券会社の委託先のシステムエンジニアが顧客に成りすましておよそ2億円を引き出した、という不正も記憶に新しいところです。残念ながらこうした不正は後を絶ちません。

「ついうっかり」にも要注意

さらにいえば、悪気はないかもしれないけれど、「ついうっかり」起きてしまう人為的なミスも、リスクのひとつです。それが10位にランクインしている「不注意による情報漏えい等の被害」に当たります。実のところ、先ほどのような悪意ある情報漏洩はほんのごく一部で、情報漏洩の大半は不注意によるものだといわれています。こうした現状から、最近では「ゼロトラスト」という考え方が注目されるようになってきました。

「ゼロトラスト」のメリット

ゼロトラストとは、「何も信用しない」という意味です。これまで安全だと思って疑わなかった社内アクセスも含め、すべてのアクセスを検証するということです。

その背景には、DX（※6）の推進、クラウドサービスの利用拡大、テレワークの普及などがあります。こうした新しいサービスや働き方は、「内」と「外」の境界を曖昧にしています。守るべきものは「内」だけでなく「外」にもあり、逆に目を光らせるべき脅威も「外」だけでなく「内」にもある。つまり、これまでのような境界型のセキュリティではなく、社内外を分けないセキュリティ対策が求められます。
「わが社は信頼関係がモットー。何でもかんでも疑ってかかるのはいかがなものか」という経営者の方も少なくないかと思います。しかしクラウドサービスやテレワークが当たり前の現在では、セキュリティ対策において、これまでの「境界型」ではなく、「ゼロトラスト」の考え方を取り入れることにより、

• 強固なセキュリティ体制が実現できる
• 万が一侵入されてもアクセスできる情報が限られるため情報流出のリスクを最小限に抑えられる

といったメリットの方が大きいといえます。これからは、ゼロトラストの考えを取り入れたうえで適切なセキュリティ対策ツールを選ぶことが、ますます重要になってくるでしょう。

※3 5th Generationの略。日本語で「第5世代移動通信システム」。高速かつ大容量をさらに進化させ、低遅延や多数接続の特徴を持つ通信のこと。
※4 Digital Transformationの略。トランスフォーメーションは「変容」の意。デジタル技術による生活やビジネスの変革を指す。

ゼロデイ攻撃、内部不正など、情報セキュリティの脅威にはさまざまなものがあり、どんどん新しい手法や「抜け穴」が出てくるため、情報の流出を完璧に防ぐのはなかなか難しいといわれています。しかし適切な対策を行うことで、かなりの効果を上げることができることもまた事実です。

ソフトウェアを常に最新の状態に！

脆弱性は、あらゆるOSやソフトウェアに付きものです。そのため多くの場合、バージョンを更新しながらこれらの修正を行います。緊急事態の場合は、追加プログラムである「セキュリティパッチ」（※5）が供給元から配布されることもあります。
なお、こうした対策を講じるまでの「空白期間」こそが、ゼロデイ攻撃にとっては狙い目です。それを防御するためには、追加または更新プログラムをできるだけ速やかに適用するのがベストですが、普段からできる対策としては以下のものが挙げられます。

〈研修などにより従業員の情報セキュリティ意識を高める〉

シャドーIT（※6）のような「知らない間に社員が勝手にやっていた」という状況にならないためにも、日ごろから研修などを通して従業員のセキュリティ意識を高めておくことが大事です。セキュリティ対策が手薄な個人のパソコン、スマートフォンなどの使用も控えるよう徹底しておきましょう。

〈包括的なセキュリティ機能を集約したUTMを導入する〉

UTM（日本語では「統合脅威管理」）とは、主としてLANとインターネットの間に設置する、複数のセキュリティ機能を集約したゲートウェイ（※7）のことです。UTMで集中管理することで、攻撃者がネットワークの脆弱性をついてくるさまざまなケースに備えることができます。

このようにひとつだけの対策に頼るのではなく、幅広い情報セキュリティ対策をとることが、ひいては企業価値を高めることにもつながっていきます。さまざまな脅威から企業を守っていくためには、最新の情報を把握したうえで、しっかりした対策をとることが欠かせないのです。

※5 脆弱性を解消するための修正プログラムのこと。服に空いた穴に当てる布（パッチ）に由来。
※6 会社が関知しない、あるいは利用ルールを決めていない機器やサービスを使って従業員が業務を行っている状態。
※7 「玄関」や「入り口」の意。異なるネットワーク同士を中継ぎする仕組みのこと。

ここまで、IPAが発表した最新の「情報セキュリティ10大脅威2022」について、社会背景や傾向、対策などを解説してきました。「これまでも対策はしてきた」という企業は多いと思います。しかし、果たしてそれは十分なものだったでしょうか。新たに登場している脅威に対して備えとなり得るものでしょうか。2022年の今、あらためて何が必要かを考えてみていただければと思います。

サクサでは、「従来の方法では防げないサイバー脅威にも対応したい」「ウイルス侵入されてもリスクを最小限に抑えたい」といった中堅・中小企業の声に寄り添い、解決に向けてサポートいたします。
最新のセキュリティリスクに対応し、外部からの攻撃だけでなく内部からの情報流出などに対応する「UTM（統合脅威管理アプライアンス）」をはじめ、ニューノーマルな働き方、市場環境や社会ニーズの変化など、時代の流れに合わせた課題解決にも、トータルサービスでお応えします。みなさまからのご相談・お問い合わせをお待ちしております。