情報セキュリティ10大脅威 2023
2023年1月25日に情報処理推進機構(IPA)は「情報セキュリティ10大脅威2023」を発表しました。
下表は会社などの組織に向けた情報セキュリティ脅威をランキング形式でまとめています。
順位 | 脅威 | 内容 | 攻撃手口 | 対策 |
---|---|---|---|---|
1位 | ランサムウェアによる被害 |
ランサムウェアとはウイルスの一種である。 PC やサーバーが感染すると、端末のロックや、データの暗号化が行われ、その復旧と引き換えに金銭を要求される。 重要な情報が窃取されることもあり、社会的信用を失うおそれがある。さらに、復旧に時間が掛かる場合、更なる経済的損失につながるおそれもある。 |
・メールから感染させる ・Webサイトから感染させる ・脆弱性によりネットワーク経由で感染させる ・公開サーバーに不正アクセスして感染させる |
・CSIRTなどの対応体制の構築 ・多要素認証の設定を有効にする ・不正アクセス対策やネットワーク分離などの環境構築 ・OSやアプリケーションは常に最新の状態を保つ ・備えとしてバックアップを取得しておく ・セキュリティルールの徹底 →添付ファイルを安易に開かない →提供元が不明なソフトウェアを実行しない |
2位 | サプライチェーンの弱点を悪用した攻撃 |
商品の企画・開発から、調達、製造、在庫管理、物流、販売までの一連のプロセス、およびこの商流に関わる組織群をサプライチェーンと呼ぶ。 セキュリティ対策の強固な企業を直接攻撃せずに、その企業が構成するサプライチェーンの中でセキュリティ対策が手薄な関連組織や利用サービスの脆弱性等を標的とし、そこを踏み台として本命の標的である組織を攻撃する手口である。 |
・取引先や委託先が保有する機密情報を狙う |
・業務委託や情報管理における規則の徹底 ・報告体制等の問題発生時の運用規則整備 ・信頼できる委託先、取引先組織の選定 ・複数の取引先候補の検討 ・取引先や委託先の情報セキュリティ対応の確認、監査 ・情報セキュリティの認証取得 ISMS、P マーク、SOC2、ISMAP 等 |
3位 | 標的型攻撃による機密情報の窃取 |
標的型攻撃とは、特定の組織(官公庁、民間団体、企業等)を狙う攻撃のことであり、機密情報等を窃取することや業務妨害を目的としている。 攻撃者は社会の変化や、働き方の変化に便乗し、状況に応じた巧みな攻撃手法で機密情報等を窃取しようとする。 |
・メールへのファイル添付やリンクの記載 ・ウェブサイトの改ざん ・不正アクセス |
・情報の管理と運用ルール策定 ・従業員に対するセキュリティ教育の実施 ・インシデント対応の定期的な訓練を実施 ・アクセス権の最小化と管理の強化 ・ネットワーク分離 ・重要サーバーの要塞化(アクセス制御、暗号化等) ・攻撃の予兆/被害の早期検知 ・UTM、IDS/IPS、WAF、仮想パッチ等の導入 ・EDR 等を用いたエンドポイントの監視、防御 |
4位 | 内部不正による情報漏えい |
組織に勤務する従業員や元従業員等の組織関係者による機密情報の持ち出しや悪用等の不正行為。 また、組織内における情報管理のルールを守らずに情報を持ち出し、紛失や情報漏えいにつながるケースもある。 |
・アクセス権限の悪用 ・在職中に割り当てられたアカウントの悪用 ・内部情報の不正な持ち出し |
・基本方針の策定 ・資産の把握、対応体制の整備 ・重要情報の管理、保護 ・物理的管理の実施 重要情報を扱う場所への入退室管理 USBメモリーやスマートフォン等の記録媒体の利用制限 ・人的管理及びコンプライアンス教育の徹底 ・システム操作履歴の監視 |
5位 |
テレワーク等のニューノーマルな働き方を 狙った攻撃 |
2020 年から続く新型コロナウイルス感染症の蔓延に伴い、感染症対策の一環として政府機関がニューノーマルな働き方であるテレワークを推奨している。 勤労形態としてテレワークが活用され、ウェブ会議サービスやVPN 等の本格的な活用がされる中、それらを狙った攻撃が行われている。 |
・テレワーク用ソフトウェアの脆弱性の悪用 ・急なテレワーク移行による管理体制の不備 ・私有端末や自宅のネットワークを利用 |
・テレワークのセキュリティポリシーの策定 ・シンクライアント、VDI、VPN、ZTNA/SDP 等 のセキュリティに強いテレワーク環境の採用 ・従業員に対するセキュリティ教育の実施 ・最新セキュリティパッチの適用 ・適切なログの取得と継続的な監視 ・ネットワーク監視、防御 ・UTM、IDS/IPS、WAF、仮想パッチ等の導入 |
6位 |
修正プログラムの公開前を狙う攻撃 (ゼロデイ攻撃) |
ソフトウェアの脆弱性が発見され、脆弱性の修正プログラムや回避策が公開される前に脆弱性を悪用したサイバー攻撃が行われること。 | ・ソフトウェアの脆弱性を悪用 |
・資産の把握、対応体制の整備 ・ネットワークの監視および攻撃通信の遮断 ・エンドポイントの監視、防御 ・利用するソフトウェアの脆弱性情報の収集 ・UTM等の導入と定期的な更新作業 ・当該ソフトウェアの一時的な使用停止 |
7位 | ビジネスメール詐欺による金銭被害 |
ビジネスメール詐欺は、巧妙な騙しの手口を駆使した偽のメールを組織・企業に送り付け、従業員を騙して送金取引に関わる資金を詐取する等の金銭被害をもたらすサイバー攻撃である。 2021 年も経営者になりすました手口が引き続き確認されている。 |
・取引先との請求書の偽装 ・経営者等へのなりすまし ・窃取メールアカウントの悪用 ・社外の権威ある第三者へのなりすまし ・詐欺の準備行為と思われる情報の窃取 |
・ガバナンスが機能する業務フローの構築 ・メールに依存しない業務フローの構築 ・メールに電子署名を付与(S/MIME やPGP) ・複数の手段で事実確認(電話や口座名義確認) ・普段とは異なるメールに注意 ・判断を急がせるメールに注意 ・パスワードの適切な管理 ・ログイン通知機能、多要素認証等の利用 |
8位 | 脆弱性対策情報の公開に伴う悪用増加 |
ソフトウェアや機器類の脆弱性対策情報の公開は、脆弱性の脅威や対策情報を製品の利用者に広く呼び掛けられるメリットがある。 一方で、その情報を攻撃者に悪用され、当該製品に対する脆弱性対策を講じていないシステムを狙う攻撃が行われている。 近年では脆弱性関連情報の公開後に攻撃コードが流通し、攻撃が本格化するまでの時間もますます短くなっている。 |
・対策前の脆弱性(N デイ脆弱性)を悪用 ・公開されている攻撃ツールを使用 |
・資産の把握、対応体制の整備 ・脆弱性関連情報の収集と対応 ・ネットワークの監視および攻撃通信の遮断 ・UTM等の導入と定期的な更新作業 |
9位 | 不注意による情報漏えい等の被害 |
組織で取り扱う重要情報について、組織の規程の不備や情報を扱う従業員に対する情報リテラシー教育の不足、不注意・ミスによって引き起こされる情報漏えいが後を絶たない。 漏えいした情報が悪用され、他の脅威を誘発してしまうおそれがある。 また、組織の社会的信用の失墜や、経済的な損失にもつながる可能性がある。 |
・取り扱い者の情報リテラシーの低さ ・組織規程および取り扱いプロセスの不備 |
・従業員のセキュリティ意識教育 ・組織規程および確認プロセスの確立 ・情報の保護(暗号化、認証) ・機密情報の格納場所の掌握、可視化 ・DLP(情報漏えい対策)製品の導入 ・外部に持ち出す情報や端末の制限 ・メールの誤送信対策等の導入 ・業務用携帯端末の紛失対策機能の有効化 ・問題発生時の内部報告体制の整備 ・外部からの連絡窓口の設置 |
10位 (New) |
犯罪のビジネス化 (アンダーグラウンドサービス) |
準備中 | 準備中 | 準備中 |
IPA 独立行政法人 情報処理推進機構 の公開している「情報セキュリティ10大脅威 2023」を元に作成しています。
詳しくはIPA 情報セキュリティ10大脅威 2023をご確認ください。
イノベイトでは、こういった脅威に対策したセキュリティ商品を多数ご用意しています。
香川県内のお客様であれば、無料で出張相談対応中です。
オンラインでの相談も可能ですので、お気軽にお問い合わせください。