【2023年最新】
「情報セキュリティ10大脅威2023」から考える、今必要な対策とは？（前編）

まずはランキングをチェック

IPA（独立行政法人 情報処理推進機構）では、2023年1月25日に、「情報セキュリティ10大脅威2023」を発表しました。
これは、2022年に発生した情報セキュリティに関する事案の中からIPAが候補を選出し、情報分野の専門家、企業の担当者などおよそ200人のメンバーからなる「10大脅威選考会」が審議および投票を行い、決定されたものです。ランキングには〈個人編〉と〈組織編〉がありますが、ここでは〈組織編〉を見ていきましょう。

情報セキュリティ10大脅威 2023〈組織編〉

今年もランサムウェアが1位に

今回も「ランサムウェアによる被害」が昨年と同じく1位にランクインしました。2位の「サプライチェーンの弱点を悪用した攻撃」と、3位の「標的型攻撃による機密情報の窃取」も相変わらず上位を占めています。これらについて、以下、事例も挙げながら詳しく解説していきます。

【1位】身代金を要求するランサムウェア

「Ransom（ランサム）」とは「身代金」の意味で、ランサムウェアとはつまり身代金を要求するマルウェアのことです。メールを主な感染経路としており、添付されているファイルを開いたり、リンクにアクセスしたりすると、ランサムウェアがダウンロードされるという仕組みです。ランサムウェアに感染するとPCなどに保存されているデータが暗号化されて使えなくなり、それを復旧する見返りとして金銭が要求されます。

〈事例〉子会社のネットワークを経由

【2位】“つながり”を悪用するサプライチェーン攻撃

先のランサムウェアで挙げた事例もそうですが、いきなりターゲットを狙うのではなく、取引会社や関連会社を通じて不正アクセスを行うのが、サプライチェーン攻撃です。 サプライチェーンとは、原料の調達、商品の製造、流通など、一連の“つながり”を指す言葉で、これ自体は悪い意味ではありません。この仕組みを悪用する攻撃者がいるということです。

〈事例〉取引先に被害が拡大

【3位】特定の企業を狙う標的型攻撃

従来のサイバー攻撃は、不特定多数のユーザーを狙うものが多かったのですが、近年は特定の企業や組織を狙うものが増えています。これが標的型攻撃です。目的は金銭の要求、機密情報の窃取などさまざまですが、標的を定めて巧妙に攻撃が仕掛けられる（時間をかけて計画的に実行される、何度も執拗に攻撃される）ため、なかなか対策が難しいとも言われています。

セキュリティインシデントは他人事ではない

先に挙げた事例にもあるように、「我が社のような小さな会社は大丈夫だろう」とは決して言えないことがご理解いただけるのではないかと思います。
会社には規模の大小にかかわらず、必ず顧客や複数の取引先があります。それらはネットワークを通してつながっているため、サイバー攻撃者はその脆弱性を突いてくるのです。実際、ランサムウェアの被害報告の多くは中小企業と言われています。
さらにサプライチェーン攻撃の事例からは、一社のシステム障害が大きな事態に発展することの怖さを思い知らされます。中小企業は大手企業に比べてセキュリティ対策が十分ではない可能性が高いため、攻撃者は侵入しやすいのではないかと考えます。こうした「踏み台」にされるリスクは、すべての企業に存在すると言えるでしょう。

Emotetにも引き続き警戒を

さらに、標的型攻撃のところで出てきたEmotetについても、今後とも注意が必要です。2022年には日本国内でEmotetの攻撃および感染が拡大し、IPAも注意喚起を呼びかけました。
これもまた大企業だけを狙うとは限りません。先の事例で紹介したIT関連の企業も、従業員が100人に満たない中小企業です。Emotetが厄介なのは、メールの偽装が巧妙なため、うっかりだまされて添付ファイルを開いてしまう人が後を絶たないことです。たった一台のパソコンが感染しただけでも、被害が社内外にどんどん広がっていくリスクがあります。

ゼロデイ攻撃について

ランキング6位の「ゼロデイ攻撃」は少し耳慣れないかもしれませんので、これについても解説しておきましょう。
通常、OSやアプリケーションは脆弱性が発覚した場合、バージョンアップや修正プログラムによって修復が行われます。その修正日を「ワンデイ」とした場合、それより前、つまり「ゼロデイ」に行われるサイバー攻撃がゼロデイ攻撃です。
なお、ランキングの5位には「テレワーク等のニューノーマルな働き方を狙った攻撃」が入っていますが、攻撃者にしてみれば「働き方が多様化すればするほど、どこかに弱点が出てくるはず」と考えます。そんなとき、対策以前の無防備な状態が狙われるのです。

社会や経済に大きな影響が及ぶ

情報セキュリティ対策は、今や国を挙げて取り組んでいることの一つです。例年同様、2023年2月1日～3月18日までを「サイバーセキュリティ月間」として、NISC（内閣サイバーセキュリティセンター）をはじめ産学官民で連携し、さまざまな啓発活動も行われました。その際に公開された内閣官房長官のメッセージにも、「我が国を始め世界中で、ランサムウェアを始めサイバー攻撃による被害が多発し、社会や経済にも大きな影響が及んでいます」という言葉があります。
自社のことだけでなく、ひいては社会や経済にもダメージが広がる可能性を考えると、情報セキュリティ対策をあらためて「自分ごと」としてとらえる必要があると言えるでしょう。

脅威は外部からだけではない

ところで、ランキングの4位には「内部不正による情報漏えい」が入っています。また9位には「不注意による情報漏えい等の被害」もランクインしています。
これらは、リスクは社内にもあることを物語っています。情報セキュリティ対策には「外部からの攻撃に備える」というイメージがありますが、社内にも脅威が潜んでいることを忘れないでおくことも必要です。

ライバル企業への「手土産転職」

手土産転職という言葉を聞かれたことがあるでしょうか。これは従業員が転職に際して顧客情報、技術情報、機密情報などを不正に持ち出して、転職先（ライバル企業）に提供することです。内部不正の典型と言っていいでしょう。
もう少し広くとらえれば、従業員だけでなく、業務委託先、ビジネスパートナー、あるいはすでに退職した者なども「内部関係者」ととらえることができます。「信頼して任せていたのにまさか…」という内部不正は、残念ながら後を絶ちません。

悪気はなくても情報漏洩は起きる

また、誤送信や紛失などの“うっかりミス”が原因となって情報漏洩が起きてしまうケースは意外にも多い、という報告もあります。悪気はなくても、いくらミスのないよう努めても、ヒューマンエラーは起こるものです。特に集中力や注意力が低下したときには、そのリスクが高まってしまいます。

会社の信用低下を防ぐために

そこで、情報セキュリティ対策では「ゼロトラストセキュリティ」という概念も注目されています。要は、「誰（ユーザー）も、どこ（ネットワーク）も、何（デバイス）も信じない」ということを基本スタンスとするものです。
例え誤送信であっても、情報漏洩が起きてしまうと会社の信頼にかかわります。場合によっては大きな事故に発展することもあり得ます。社会的信用の低下を招かないためにも、対策を徹底することが重要です。

ここまで、情報セキュリティ10大脅威2023の概要及びセキュリティリスクについて解説しました。後半では、様々な情報セキュリティ脅威について、対策の検討方法や具体的な対策について解説します。是非後半もご覧ください。