セキュリティソリューションマーケティングチームです。
この記事では、独立行政法人 情報処理推進機構(以下、IPA)が毎年公開している「情報セキュリティ10大脅威」を実際のインシデント事例とともに読み解き、必要な対策について解説します。幅広い組織や企業に当てはまる内容になっていますので、ぜひご覧ください。
- ご相談(無料)やご質問はこちらから
導入する製品を検討中の方、複数の製品をご検討の方
目次
IPA「情報セキュリティ10大脅威」とは
「情報セキュリティ10大脅威」とは、実際に発生した様々なセキュリティ事案から、IPAが脅威となる候補を選出し、「10大脅威選考会」にて審議し決定されるものです。
個人に対する脅威と組織に対する脅威の2つの観点から、その年に社会的に影響を及ぼす可能性のあるセキュリティ脅威がランキング形式で発表されています。セキュリティ動向をキャッチアップすることができるため、毎年多くの企業が注目しています。
本記事では、[組織編]について解説します。
情報セキュリティ10大脅威2024から見る脅威の傾向と対策
2024年1月24日に、「情報セキュリティ10大脅威2024」が公開されました*1。
今年の組織編ランキングでは、10個の脅威すべてが2年連続同じ顔ぶれ(順位変動あり)であることが話題となっています。
その中でも、今年のランキングから分かる脅威の傾向について、実際のインシデント事例とともに読み解いていきます。
順位 | 「組織」向け脅威 | 前年順位 |
1 | ランサムウェアによる被害 | 1位→ |
2 | サプライチェーンの弱点を悪用した攻撃 | 2位→ |
3 | 内部不正による情報漏えい等の被害 | 4位↑ |
4 | 標的型攻撃による機密情報の窃取 | 3位↓ |
5 | 修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃) | 6位↑ |
6 | 不注意による情報漏えい等の被害 | 9位↑ |
7 | 脆弱性対策情報の公開に伴う悪用増加 | 8位↑ |
8 | ビジネスメール詐欺による金銭被害 | 7位↓ |
9 | テレワーク等のニューノーマルな働き方を狙った攻撃 | 5位↓ |
10 | 犯罪のビジネス化(アンダーグラウンドサービス) | 10位→ |
傾向① あらゆる経路から侵入するランサムウェア攻撃
感染した端末を暗号化し、復旧と引き換えに金銭を要求する「ランサムウェアによる被害」は、2021年から4年連続1位となっています。
また、標的の周辺組織を利用する「サプライチェーンの弱点を悪用した攻撃」は2019年の初登場以来、順位を上げ続けています。
最近、ランサムウェア対策製品が増え、多くの組織が対策を進めている一方、ランサムウェアは依然として最大の脅威となっています。また、直近2年間で「犯罪のビジネス化」がランクインしていることから、攻撃者が優位な状況が続いていると言えます。
また、5位、7位には脆弱性の悪用に関する脅威がランクインしていることからも、「脆弱性を悪用し、サプライチェーン自体や本命の標的にランサムウェアを送り込む」という一連の攻撃手法が多用されていると考えられます*2。
昨年に上場企業が公表した個人情報漏えいや紛失事故は175件に上り、その原因の半数以上が「ウイルス感染・不正アクセス」によるものでした。事故件数は年々増加傾向にあり、どの組織も無関係ではいられない状況となっています*3。
次に、関連する事例を紹介します。
■「ランサムウェアによる被害」事例
港湾システムがランサムウェア感染、調査・復旧難航(2日間システム停止)
2023年7月、港湾の制御システムがランサムウェア「Lockbit3.0」に感染しシステムが停止した。感染経路はVPN機器やUSBメモリだと考えられているが、データが暗号化されてしまったため解析が困難であった。
問題点の一部として、以下を読み取ることができる。
・システムで利用されている機器のセキュリティ対策が不十分だった
・原因調査のためのログや、復旧のためのバックアップが不十分だった
・緊急時の対応手順や体制が適切に整備されていなかった
■「サプライチェーンの弱点を悪用した攻撃」事例
大手インターネット企業が委託先企業(関連会社)経由で感染、個人情報流出(44万件)
2023年11月、委託先企業の従業員PCがマルウェアに感染したことをきっかけに、業務を委託していた大手インターネット企業が不正アクセスを受けた。
問題点の一部として、以下を読み取ることができる。
・委託先企業の安全管理措置が不十分だった・最初の不正アクセスから検知までに1週間以上もの時間を要した
対策として、
- 通常時のセキュリティパッチ適用はもちろん、対応が難しい場合でも攻撃者による脆弱性の悪用を阻止すること
- 自社やサプライチェーンが狙われるリスクを事前に把握し、アタックサーフェス管理など適切な対策を講じること
が挙げられます。
✅IWIが提供する解決策:Morphisec(モルフィセック)
Morphisecは既知/未知を問わず攻撃そのものを無効化することで、巧妙化するサイバー攻撃から端末を守るEPP(Endpoint Protection Platform)製品です。
既知の攻撃パターンやマルウェアを検知するための「シグネチャ」の更新を必要としないため、長期間オフラインの端末やサポート切れのOSであっても保護が可能です。
- Morphisecの概要資料請求はこちら
攻撃を無効化するMTD技術で未知の攻撃をも阻止する
✅IWIが提供する解決策:Recorded Future(レコーデッド・フューチャー)
Recorded Futureは、ダークウェブを含む膨大なソースから情報を収集し分析する脅威インテリジェンスです。「自社やサプライチェーンが抱えるリスク」や「インターネット上に晒されている自社の資産およびその脆弱性(Attack Surface Management)」などの情報をリアルタイムかつ継続的に提供します。
これらの情報を活用することで、適切なセキュリティ対策の戦略立案から運用までを支援します。
- Recorded Futureの無料デモ予約はこちら
世界中の脅威情報を元に攻撃を予兆、未然防止に役立てる
傾向② 深刻化する内部情報漏えい
「内部不正による情報漏えい」が上位3位にランクインしたのは2020年以来4年ぶりです。また、意図的な不正に限らず、「不注意による情報漏えい等の報告」も昨年の9位から6位へとランクアップしています。
前述の傾向①で取り上げた昨年の「上場企業における情報漏えい・紛失事故」によれば、「不正持ち出し・盗難」の件数が前年比で約5倍に増加しています。特に、流出した個人情報が100万件を超える大規模なインシデントが相次いだこともあり、注目を集めています。
2022年4月には改正個人情報保護法が施行され、個人情報の漏えい等が発生した場合、個人情報保護委員会への報告と本人への通知が義務化されました。さらに、Pマークを取得している企業は、インシデントの発生によってPマークの取り消しや一時停止となる可能性もあります。
通常、組織のルールや体制の見直しや適用には年単位の時間を要するため、早期の対策検討が必要です。
次に、関連する事例を紹介します。
■「内部不正による情報漏えい」事例
コールセンター業務受託企業の従業員による個人情報漏えい(928万件)
2013年から約10年間にわたり、個人情報がサーバから作業用PCにコピーされ、USB経由でデータを持ち出されていた。一部のデータは名簿業者に販売されていたと報じられている。
問題点の一部として、以下を読み取ることができる。
・作業用PCでデータのダウンロードが可能だった
・作業用PCに外部記録媒体を接続し、データを持ちだすことが可能だった
・セキュリティリスクが大きいと想定される行動を適時に検知できなかった
・ログ等の定期的なチェックが不十分だった
上記のような事例の対策として、従業員のリテラシーや組織の情報セキュリティガイドラインだけに頼らない対策が重要だと考えます。例えば、以下のような対策方法が挙げられます。
- 内部情報漏えい対策に必要な観点である「ルール」「人」「システム」に対し、システム面で対策を行うことで、悪意の有無に関わらず情報漏えいのリスクを抑える
- 不正をさせない/万が一発生した場合でも即時に発見できる仕組みを作る
✅IWIが提供する解決策:CWAT(シーワット)/CWATクラウド
CWATは、PCのすべての操作を監視し、不審な行動を制御する内部情報漏えい対策製品です。
電源オンから電源オフまでの一連の操作ログを記録するとともに、組織に合わせたポリシーを設定することで情報漏えいにつながる操作(外部デバイスの利用、印刷、メール送信、WEBアップロードなど)を監視・抑止・禁止し、違反した場合に管理者へリアルタイムで通知します。
また、特定のキーワード(例:「機密」や「社外秘」など)を含むファイルの持ち出しを検出できる機能など、柔軟な条件でポリシーを設定できるため、業務内容や扱っている重要度に合わせてデータを保護することが可能です。
- CWATクラウドの概要資料請求はこちら
- CWATの概要資料請求はこちら
不審な行動を制御し重要情報の漏えいを防止する
まとめ
インシデントは、外部や内部から発生した場合でも、調査、復旧、報告に多くの時間とコストを要します。さらに、「インシデントが発生した」という事実は、組織や企業のイメージや信頼性に大きく影響します。そのため、サイバー攻撃による企業価値の低下を防止するためには、
被害を未然に防ぐことはもちろん、セキュリティ人材不足が慢性的な課題となっている昨今、事後の対応や調査工数を削減しながらセキュリティを担保することが求められています。
*4 The NIST Cybersecurity Framework (CSF) 2.0を元に作成
脅威が高度化、多様化する中で、当社は「予防」のアプローチを中心としたソリューションを提供しています。
<インシデントを発生させない、「予防」アプローチ>
- 脆弱性を悪用する攻撃から防御する「Morphisec」をもっと知る
- 外部からのリスク特定する「Recorded Future」をもっと知る
- 内部情報漏えいリスクの特定~検知を網羅する「CWAT」をもっと知る
- CWATがさらに進化した「CWATクラウド」をもっと知る
ご不明点などは各種製品ページリンクよりお問合せいただけます。
また、当社では、組織のセキュリティに関するさまざまなご支援が可能です。
- ご相談(無料)やご質問はこちらから
導入する製品を検討中の方、複数の製品をご検討の方
出典(参考文献一覧)
※1 独立行政法人 情報処理推進機構|情報セキュリティ10大脅威 2024 (参照日:2024-03-14)
※2 独立行政法人 情報処理推進機構|情報セキュリティ10大脅威 2024 解説書(参照日:2024-03-14)
※3 東京商工リサーチ|2023年の「個人情報漏えい・紛失事故」が年間最多 件数175件、流出・紛失情報も最多の4,090万人分(参照日:2024-03-14)
※4 NIST | The NIST Cybersecurity Framework (CSF) 2.0(参照日:2024-03-14)