企業のサイバーネットワークを攻撃する、あの手この手
企業や個人を取り巻く、情報セキュリティの脅威
情報セキュリティに関する脅威は、企業や組織だけでなく個人にも及んでいます。それらの脅威を具体的に示した興味深いデータが、経済産業省が所管する「独立行政法人 情報処理推進機構(IPA)」のWebサイトで公開されています。
「情報セキュリティ10大脅威 2020」と題されたコンテンツは、前年の2019年に発生した社会的に影響が大きかったと考えられる情報セキュリティにおける事案から脅威候補を選出したもので、選出にはIPAのほか情報セキュリティ分野の研究者、企業の実務担当者などが関わっています。
【組織の10大脅威】
1位 標的型攻撃による機密情報の窃取
2位 内部不正による情報漏えい
3位 ビジネスメール詐欺による金銭被害
4位 サプライチェーンの弱点を悪用した攻撃
5位 ランサムウェアによる被害
6位 予期せぬIT基盤の障害に伴う業務停止
7位 不注意による情報漏えい(規則は遵守)
8位 インターネット上のサービスからの個人情報の窃取
9位 IoT機器の不正利用
10位 サービス妨害攻撃によるサービスの停止
【個人の10大脅威】
1位 スマホ決済の不正利用
2位 フィッシングによる個人情報の詐取
3位 クレジットカード情報の不正利用
4位 インターネットバンキングの不正利用
5位 メールやSMS等を使った脅迫・詐欺の手口による金銭要求
6位 不正アプリによるスマートフォン利用者への被害
7位 ネット上の誹謗・中傷・デマ
8位 インターネット上のサービスへの不正ログイン
9位 偽警告によるインターネット詐欺
10位 インターネット上のサービスからの個人情報の窃取
(独立行政法人情報処理推進機構「情報セキュリティ10大脅威 2020」を基に作成)
多様化・複雑化する情報セキュリティの脅威
ランキングを見ると、組織に対しては、情報セキュリティへのアクセスや攻撃等の脅威が広範囲にわたり、多様化・複雑化していることがわかります。一方、個人に対しては、日々の暮らしに身近な決済サービスや金融サービスなどに脅威が迫っていることがわかります。ちみなに、1位のスマホ決済の不正利用は、キャッシュレスサービスの利用拡大を背景に、初めてランクインした脅威として注視されています。
ここでは以下に、組織の脅威についてその概要を紹介します(「情報セキュリティ10大脅威 2020」より)。
1位 標的型攻撃による機密情報の窃取
企業や民間団体そして官公庁等、特定の組織に対して、機密情報等を窃取することを目的とした標的型攻撃が発生している。2020年初頭には、複数の防衛関連企業が不正アクセスを受けていたという報道があった。
2位 内部不正による情報漏えい
組織の従業員や元従業員等、組織関係者による機密情報の持ち出しや悪用等の、不正行為が発生している。また、組織の情報管理のルールを守らずに情報を持ち出し、さらにはそれを紛失し、情報漏えいにつながることもある。内部不正は、組織の社会的信用の失墜、損害賠償による経済的損失等により、組織に多大な損害を与える。
3位 ビジネスメール詐欺による金銭被害
ビジネスメール詐欺(Business E-mail Compromise:BEC)は、海外の取引先や自社の役員等になりすまし、巧妙に細工された偽の電子メールを企業の出納担当者に送り、攻撃者が用意した口座へ送金させる詐欺の手口である。海外だけではなく日本国内でも高額な被害が確認されている。
4位 サプライチェーンの弱点を悪用した攻撃
原材料や部品の調達、製造、在庫管理、物流、販売までの一連の商流、およびこの商流に関わる複数の組織群をサプライチェーンと呼ぶ。また、組織が特定の業務を外部組織に委託している場合、この外部組織もサプライチェーンの一環となる。業務委託先組織がセキュリティ対策を適切に実施していないと、業務委託元組織への攻撃の足がかりとして狙われる。昨今、業務委託先組織が攻撃され、預けていた個人情報が漏えいする等の被害が発生している。
5位 ランサムウェアによる被害
ファイルの暗号化や画面ロック等を行うランサムウェアに感染し、PC(サーバー含む)やスマートフォンに保存されているファイルを利用できない状態にされ、復旧と引き換えに金銭を要求される被害が発生している。不特定多数に対して行う攻撃だけではなく、特定の国や組織を狙う標的型攻撃に近い攻撃も行われる。
6位 予期せぬIT基盤の障害に伴う業務停止
組織がインターネット上のサービスや業務システム等で使用しているネットワークやクラウドサービス、データセンター設備等のIT基盤に予期せぬ障害が発生し、長時間にわたり利用者や従業員に対するサービスを提供できなくなるケースがある。IT基盤の停止は利用している組織の事業の妨げとなり、ビジネスに大きな影響を与えるおそれがある。
7位 不注意による情報漏えい(規則は遵守)
組織や企業において、情報管理体制の不備や情報リテラシー不足等が原因となり、従業員が個人情報や機密情報を漏えいしてしまう事例が2019年も多く見られた。漏えいした情報が悪用される二次被害が発生するおそれもあるため、十分な対策が求められる。
8位 インターネット上のサービスからの個人情報の窃取
ショッピングサイト(ECサイト)等のインターネット上のサービスへ脆弱性等を悪用した不正アクセスや不正ログインが行われ、サービスに登録している個人情報等の重要な情報を窃取される被害が発生している。窃取された情報を悪用されるとクレジットカードの不正利用等の二次被害につながる。
9位 IoT機器の不正利用
ウイルスに感染させたIoT機器を踏み台として、サービスやネットワーク、サーバーに悪影響を与える大規模なDDoS(分散型サービス妨害)攻撃の被害が確認されている。今後も普及拡大することが予想されるIoT機器は、セキュリティ対策が必要な対象として認識しなければならない。
10位 サービス妨害攻撃によるサービスの停止
攻撃者に乗っ取られた複数の機器から形成されるネットワーク(ボットネット)が踏み台となり、企業や組織が提供しているインターネット上のサービスに対して大量のアクセスを一斉に仕掛け高負荷状態にさせる、もしくは回線帯域の占有によるサービスを利用不能とさせる等のDDoS(分散型サービス妨害)攻撃が行われている。標的とされた組織は、ウェブサイト等のレスポンスの遅延や、機能停止状態となり、サービスの提供に支障が出るおそれがある。
以上のランキングを見ると、特に「6位 予期せぬIT基盤の障害に伴う業務停止」は、金融機関や通信事業者などで何らかのシステム障害が起こり、長時間のサービス停止が発生したことは記憶に新しい出来事です。大規模システム障害が事業に与える影響は大きく、多くの企業や組織でBCP(事業継続計画)を見直すきっかけにもなりました。
次回のブログでは、サイバーネットワークに攻撃を受けたときの対応のプロセスなどについて紹介します。