顧客の個人情報、商品開発における技術情報、会社の財務情報などなど、組織が管理すべき情報資産は多岐にわたり、その種類は多様化し、年々増加傾向にあります。一方で、その情報資産を狙う脅威は常に存在し、組織には一層と強力なセキュリティ体制が求められています。
情報資産管理を徹底するためには、情報資産を狙う脅威について広く知ることが大切です。そこで本稿では、IPA(独立行政法人情報処理推進機構)が発表している「情報セキュリティ10大脅威2019」から、必ず知っておきたい最新の情報セキュリティ脅威についてご紹介します。
IPAでは毎年、昨年1年間を通じて社会的に影響が大きかったと考えられる情報セキュリティ事案から、IPAが独自に脅威候補を選出し、情報セキュリティ分野の研究者や企業の実務担当者などから成る「10大脅威選考会」が脅威候補に対して審議・投票を行い、その年の情報セキュリティ10大脅威を決定しています。では実際に、2018年を通じて大きな影響を与えた情報セキュリティ脅威を確認していきましょう。
| 昨年順位 | 個人 | 順位 | 組織 | 昨年順位 |
| 1位※ | クレジットカードの情報の不正利用 | 1位 | 標的型攻撃による被害 | 1位 |
|---|---|---|---|---|
| 1位 | フィッシングによる個人情報等の搾取 | 2位 | ビジネスメール詐欺による被害 | 3位 |
| 4位 | 不正アプリによるスマートフォン利用者への被害 | 3位 | ランサムウェアによる被害 | 2位 |
| New | メール等を使った脅迫・詐欺の手口による金銭要求 | 4位 | サプライチェーンの弱点を悪用した攻撃の高まり | New |
| 3位 | ネット上の誹謗・中傷・デマ | 5位 | 内部不正による情報漏えい | 8位 |
| 10位 | 偽警告によるインターネット詐欺 | 6位 | サービス妨害攻撃(DDoS等)によるサービスの停止 | 9位 |
| 1位 | インターネットバンキングの不正利用 | 7位 | インターネットサービスからの個人情報の窃取 | 6位 |
| 5位 | インターネットバンキングへの不正ログイン | 8位 | IoT機器の脆弱性の顕在化 | 7位 |
| 2位 | ランサムウェアによる被害 | 9位 | 脆弱性対策情報の公開に伴う悪用増加 | 4位 |
| 9位 | IoT機器の不適切な管理 | 10位 | 不注意による情報漏えい | 12位 |
※クレジットカード被害の増加とフィッシング手口の多様化に鑑み、2018年個人1位の「インターネットバンキングやクレジットカード情報等の不正利用」を本年から、①インターネットバンキングの不正利用、②クレジットカード情報の不正利用、③仮想通貨交換所を狙った攻撃、④仮想通貨採掘に加担させる手口、⑤フィッシングによる個人情報等の詐取、に分割。
個人と組織で情報セキュリティ脅威に大きな違いがあることが分かります。組織への情報セキュリティ脅威は高度化しており、より狡猾に、そしてより慎重に、組織が持つ情報資産を狙うサイバー攻撃が増えています。2015年から大きな情報セキュリティ脅威になっている標的型攻撃は、高い危険性を持つ脅威として今年も1位にランクインしています。
それでは、組織における情報セキュリティ脅威について1つ1つ解説していきます。
標的型攻撃は企業や民間団体、環境庁など特定の組織から重要情報を窃取することを目的に、メールに添付ファイルや悪意のあるWebサイトを利用し、組織のパソコンをウイルスに感染させるという情報セキュリティ脅威です。一般的なウイルス感染メールのばら撒きと違う点は、特定のターゲットを決めて攻撃を行うため、成功度が高いという点です。攻撃者はターゲットとなる組織の業界知識を吸収し、クライアントなどを装ってメールを送信します。時には営業担当者等と何度かやり取りをした後に、ウイルス感染したファイルをメールに添付することもあります。
ビジネスメール詐欺(BEC:Business E-mail Compromise)は、取引先や経営者とやり取りするようなビジネスメールを装い、巧妙に細工されたメールによって金銭を取り扱う担当者をだまし、攻撃者が用意した口座へ送金させるという詐欺手口です。ここ数年、国内企業でも被害が報告されており、2018年には日本語での事例も確認されています。
パソコンやサーバー、スマートフォンに保存されているファイルを暗号化したり、画面ロックをしたりして、復旧のために金銭を支払うよう脅迫するウイルスをランサムウェアと呼びます。2017年には世界中で爆発的に流行し、2018年もその脅威は変わっていません。
2018年から新しく確認された情報セキュリティ脅威です。原材料や部品の調達、製造、在庫管理、販売、物流といった一連の商流、およびその商流にかかわる複数の組織群をサプライチェーンと呼びます。このサプライチェーンにかかわる業務委託先組織がセキュリティ対策を適切に実施していないと、業務委託先組織への攻撃を足掛かりとして、業務委託元組織が攻撃されるという被害が発生しています。
組織の従業員や元従業員、組織関係者のよる情報漏えいや、悪用等の不正行為が依然として発生しています。
攻撃者に乗っ取られた複数の機器から形成されるネットワーク(ボットネット)を踏み台にし、組織が提供しているインターネットサービスに対して大量のアクセスを仕掛け、高負荷状態にさせるDDoS攻撃(分散型サービス妨害)が2018年も多数確認されました。
インターネットサービスに介在する脆弱性を悪用され、データベースサーバーを直接操作したりして内部に登録されている個人情報やクレジットカード情報等、重要な情報を窃取する被害が発生しています。
IoT機器をウイルスに感染させ、そのIoT機器を踏み台にして大規模なDDoS攻撃を行い、サービスネットワークやサーバーに悪影響を与える被害が確認されています。IoT機器は稼働台数が爆発的に増えており、それを狙った情報セキュリティ脅威も年々増加傾向にあります。
ソフトウェアベンダーに脆弱性情報の公開は、脆弱性の脅威や対策情報を広く呼び掛けられるメリットがある一方、その情報を攻撃者に悪用され、脆弱性対策を実施していないシステムを狙った情報セキュリティ脅威が発生しています。
組織では情報資産管理に対する意識の低さや確認漏れなどにより、従業員が個人情報や機密情報を誤って漏えいする事例が後を絶えません。
いかがでしょうか?情報セキュリティ脅威には、その年その年で流行している脅威があったり、新しい脅威が発生したり、状況は常に変動しています。組織の情報資産管理担当者としては、情報セキュリティ脅威の最新情報を常にキャッチしておきたいところです。
常に情報セキュリティの脅威に関する最新情報を把握しておくことは、企業の情報資産を守る上でとても大切なことと言えます。
一方で、日々進化する新たな脅威に対応する選択肢として、自社のセキュリティ対策に全てを任せるばかりでなく、より安全で堅牢な環境に大切な情報を移動して保管することも効果的です。
ワンビシでは、「情報資産マネージメント」のリーディングカンパニーとして、紙文書や契約書、機密文書の管理から、オフラインメディアやアーカイブデータの長期保管など、様々な情報資産の管理をサポートしています。
ぜひお気軽にお問い合わせください。
ご不明な点やご要望などお気軽にご連絡ください。