【2023年最新】
「情報セキュリティ10大脅威2023」から考える、今必要な対策とは?(前編)

2023年に入っても、マルウェア不正アクセスなど、巧妙なサイバー攻撃が後を絶ちません。被害が出てしまうと、その影響は社内にとどまらず、社外にも広がっていきます。そこで、今後の情報セキュリティ対策を立てるうえでも、最新の動向について知っておくことが大切です。今回は、IPA(独立行政法人 情報処理推進機構)が発表した「情報セキュリティ10大脅威2023」をもとに、具体的な事例も参照しながら、今必要な対策について考えます。

今回のお悩み
さまざまな情報セキュリティ関連のニュースが耳に入ってくる。セキュリティインシデント(※1)が起きてしまう前に、最新の動向を把握したうえで必要な対策を立てたい。

私が解説します!
IPAが発表した「情報セキュリティ10大脅威2023」をもとに、最新のリスクとその事例を交え、どのような取り組みが有効かを解説します。前編となる今回は、情報セキュリティ10大脅威の概要とリスクについてお伝えします。

※1 セキュリティインシデント:インシデントとは事故などが発生する恐れのある事態のこと。情報分野ではマルウェア感染、不正アクセス情報漏洩などを指す。

( 1 ) 情報セキュリティ10大脅威2023

まずはランキングをチェック

IPA(独立行政法人 情報処理推進機構)では、2023年1月25日に、「情報セキュリティ10大脅威2023」を発表しました。
これは、2022年に発生した情報セキュリティに関する事案の中からIPAが候補を選出し、情報分野の専門家、企業の担当者などおよそ200人のメンバーからなる「10大脅威選考会」が審議および投票を行い、決定されたものです。ランキングには〈個人編〉と〈組織編〉がありますが、ここでは〈組織編〉を見ていきましょう。

情報セキュリティ10大脅威 2023〈組織編〉

順位 「組織」向け脅威 前年順位
1位 ランサムウェアによる被害 1位
2位 サプライチェーンの弱点を悪用した攻撃 3位
3位 標的型攻撃による機密情報の窃取 2位
4位 内部不正による情報漏えい 5位
5位 テレワーク等のニューノーマルな働き方を狙った攻撃 7位
6位 修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃 7位
7位 ビジネスメール詐欺による金銭被害 8位
8位 脆弱性対策情報の公開に伴う悪用増加 6位
9位 不注意による情報漏えい等の被害 10位
10位 犯罪のビジネス化 圏外
出典:IPA 独立行政法人 情報処理推進機構「情報セキュリティ10大脅威 2023」

今年もランサムウェアが1位に

今回も「ランサムウェアによる被害」が昨年と同じく1位にランクインしました。2位の「サプライチェーンの弱点を悪用した攻撃」と、3位の「標的型攻撃による機密情報の窃取」も相変わらず上位を占めています。これらについて、以下、事例も挙げながら詳しく解説していきます。

( 2 ) ランサムウェア、サプライチェーン攻撃、標的型攻撃の事例

【1位】身代金を要求するランサムウェア

「Ransom(ランサム)」とは「身代金」の意味で、ランサムウェアとはつまり身代金を要求するマルウェアのことです。メールを主な感染経路としており、添付されているファイルを開いたり、リンクにアクセスしたりすると、ランサムウェアがダウンロードされるという仕組みです。ランサムウェアに感染するとPCなどに保存されているデータが暗号化されて使えなくなり、それを復旧する見返りとして金銭が要求されます。

〈事例〉子会社のネットワークを経由

2021年7月、大手食品メーカーの子会社が管理するネットワークを経由してランサムウェアが侵入し、多くのサーバやパソコンが暗号化されました。これによってグループ会社を含めた全面的なシステム障害が発生。基幹業務がストップしただけでなく、バックアップシステムも被害にあったことから、復旧には2カ月以上もかかりました。

【2位】“つながり”を悪用するサプライチェーン攻撃

先のランサムウェアで挙げた事例もそうですが、いきなりターゲットを狙うのではなく、取引会社や関連会社を通じて不正アクセスを行うのが、サプライチェーン攻撃です。 サプライチェーンとは、原料の調達、商品の製造、流通など、一連の“つながり”を指す言葉で、これ自体は悪い意味ではありません。この仕組みを悪用する攻撃者がいるということです。

〈事例〉取引先に被害が拡大

2022年2月、大手自動車メーカーの一次請け企業がサイバー攻撃の被害を公表しました。最初に攻撃を受けたのはその企業の子会社で、リモート接続機器の脆弱性が狙われました。同企業では、影響の範囲を特定するために社内サーバをすべて停止。大手自動車メーカーの生産ラインも、いったんすべてストップする事態に陥りました。

【3位】特定の企業を狙う標的型攻撃

従来のサイバー攻撃は、不特定多数のユーザーを狙うものが多かったのですが、近年は特定の企業や組織を狙うものが増えています。これが標的型攻撃です。目的は金銭の要求、機密情報の窃取などさまざまですが、標的を定めて巧妙に攻撃が仕掛けられる(時間をかけて計画的に実行される、何度も執拗に攻撃される)ため、なかなか対策が難しいとも言われています。

2020年10月、あるIT関連の企業がマルウェアの「Emotet(エモテット)」(※2)に感染したことを発表しました。一台のパソコンの感染をきっかけに、過去に送受信したメール1万7000件以上、それらに紐づいたメールアドレス900件近くのデータが窃取された模様です。その後、感染したパソコンをネットワークから隔離し、社内ネットワークにつながっていたすべてのパソコンのフルスキャンを実施し、マルウェアを駆除しました。

※2 Emotet(エモテット):高い感染力と拡散力を持つマルウェアの一種。拡散と収束を繰り返している。

( 3 ) 中小企業が「踏み台」にされるリスク

セキュリティインシデントは他人事ではない

先に挙げた事例にもあるように、「我が社のような小さな会社は大丈夫だろう」とは決して言えないことがご理解いただけるのではないかと思います。
会社には規模の大小にかかわらず、必ず顧客や複数の取引先があります。それらはネットワークを通してつながっているため、サイバー攻撃者はその脆弱性を突いてくるのです。実際、ランサムウェアの被害報告の多くは中小企業と言われています。
さらにサプライチェーン攻撃の事例からは、一社のシステム障害が大きな事態に発展することの怖さを思い知らされます。中小企業は大手企業に比べてセキュリティ対策が十分ではない可能性が高いため、攻撃者は侵入しやすいのではないかと考えます。こうした「踏み台」にされるリスクは、すべての企業に存在すると言えるでしょう。

Emotetにも引き続き警戒を

さらに、標的型攻撃のところで出てきたEmotetについても、今後とも注意が必要です。2022年には日本国内でEmotetの攻撃および感染が拡大し、IPAも注意喚起を呼びかけました。
これもまた大企業だけを狙うとは限りません。先の事例で紹介したIT関連の企業も、従業員が100人に満たない中小企業です。Emotetが厄介なのは、メールの偽装が巧妙なため、うっかりだまされて添付ファイルを開いてしまう人が後を絶たないことです。たった一台のパソコンが感染しただけでも、被害が社内外にどんどん広がっていくリスクがあります。

ゼロデイ攻撃について

ランキング6位の「ゼロデイ攻撃」は少し耳慣れないかもしれませんので、これについても解説しておきましょう。
通常、OSやアプリケーションは脆弱性が発覚した場合、バージョンアップや修正プログラムによって修復が行われます。その修正日を「ワンデイ」とした場合、それより前、つまり「ゼロデイ」に行われるサイバー攻撃ゼロデイ攻撃です。
なお、ランキングの5位には「テレワーク等のニューノーマルな働き方を狙った攻撃」が入っていますが、攻撃者にしてみれば「働き方が多様化すればするほど、どこかに弱点が出てくるはず」と考えます。そんなとき、対策以前の無防備な状態が狙われるのです。

社会や経済に大きな影響が及ぶ

情報セキュリティ対策は、今や国を挙げて取り組んでいることの一つです。例年同様、2023年2月1日~3月18日までを「サイバーセキュリティ月間」として、NISC(内閣サイバーセキュリティセンター)をはじめ産学官民で連携し、さまざまな啓発活動も行われました。その際に公開された内閣官房長官のメッセージにも、「我が国を始め世界中で、ランサムウェアを始めサイバー攻撃による被害が多発し、社会や経済にも大きな影響が及んでいます」という言葉があります。
自社のことだけでなく、ひいては社会や経済にもダメージが広がる可能性を考えると、情報セキュリティ対策をあらためて「自分ごと」としてとらえる必要があると言えるでしょう。

参照:首相官邸「サイバーセキュリティ月間における松野内閣官房長官メッセージ」

( 4 ) 内部不正や不注意による情報漏洩のリスク

脅威は外部からだけではない

ところで、ランキングの4位には「内部不正による情報漏えい」が入っています。また9位には「不注意による情報漏えい等の被害」もランクインしています。
これらは、リスクは社内にもあることを物語っています。情報セキュリティ対策には「外部からの攻撃に備える」というイメージがありますが、社内にも脅威が潜んでいることを忘れないでおくことも必要です。

ライバル企業への「手土産転職」

手土産転職という言葉を聞かれたことがあるでしょうか。これは従業員が転職に際して顧客情報、技術情報、機密情報などを不正に持ち出して、転職先(ライバル企業)に提供することです。内部不正の典型と言っていいでしょう。
もう少し広くとらえれば、従業員だけでなく、業務委託先、ビジネスパートナー、あるいはすでに退職した者なども「内部関係者」ととらえることができます。「信頼して任せていたのにまさか…」という内部不正は、残念ながら後を絶ちません。

悪気はなくても情報漏洩は起きる

また、誤送信や紛失などの“うっかりミス”が原因となって情報漏洩が起きてしまうケースは意外にも多い、という報告もあります。悪気はなくても、いくらミスのないよう努めても、ヒューマンエラーは起こるものです。特に集中力や注意力が低下したときには、そのリスクが高まってしまいます。

会社の信用低下を防ぐために

そこで、情報セキュリティ対策では「ゼロトラストセキュリティ」という概念も注目されています。要は、「誰(ユーザー)も、どこ(ネットワーク)も、何(デバイス)も信じない」ということを基本スタンスとするものです。
例え誤送信であっても、情報漏洩が起きてしまうと会社の信頼にかかわります。場合によっては大きな事故に発展することもあり得ます。社会的信用の低下を招かないためにも、対策を徹底することが重要です。

( 5 ) 前編のまとめ

ここまで、情報セキュリティ10大脅威2023の概要及びセキュリティリスクについて解説しました。後半では、様々な情報セキュリティ脅威について、対策の検討方法や具体的な対策について解説します。是非後半もご覧ください。

リンク:【2023年最新】「情報セキュリティ10大脅威2023」から考える、今必要な対策とは?(後編)はこちら

経営課題におけるトレンド情報や課題解決にお役立ていただける資料をまとめております。
ぜひ一度お読みください。

お役立ち資料一覧はこちら