情報セキュリティ10大脅威2022とは？順位と対策をご紹介

2022年1月27日、情報処理推進機構（IPA）は「情報セキュリティ10大脅威2022」を発表しました。

情報セキュリティ10大脅威とは、その年で社会的影響が大きかった情報セキュリティにおける事案からIPAが候補を選出し、「10大脅威選考会」の審議・投票により決定したものです。

これは個人の立場と組織の立場にわけてランキング形式で紹介されており、セキュリティ被害状況の把握や今後のセキュリティ対策を検討する上でも役に立ちます。

本コラムでは「組織」の立場におけるTOP10や、初めて登場したセキュリティ脅威の概要とその対策についてご紹介します。

情報セキュリティ10大脅威2023
についてはこちら≫

目次

1. 情報セキュリティ10大脅威2022とは
2. 初登場「修正プログラムの公開前を狙う攻撃（ゼロデイ攻撃）」とは
3. ゼロデイ攻撃の対策
4. おすすめのセキュリティ対策製品・サービス
5. まとめ

「組織」の立場でのTOP10は下記の通りです。ランサムウェアによる被害が、昨年から引き続き1位となりました。

1. ランサムウェアによる被害（昨年順位：1位）
2. 標的型攻撃による機密情報の窃取（昨年順位：2位）
3. サプライチェーンの弱点を悪用した攻撃（昨年順位：4位）
4. テレワーク等のニューノーマルな働き方を狙った攻撃（昨年順位：3位）
5. 内部不正による情報漏えい（昨年順位：6位）
6. 脆弱性対策情報の公開に伴う悪用増加（昨年順位：10位）
7. 修正プログラムの公開前を狙う攻撃（ゼロデイ攻撃）（NEW）
8. ビジネスメール詐欺による金銭被害（昨年順位：5位）
9. 予期せぬIT基盤の障害に伴う業務停止（昨年順位：7位）
10. 不注意による情報漏えい等の被害（昨年順位：9位）

情報セキュリティ10大脅威2022のポイント

ランサムウェアは組織の規模を問わず被害が発生していますが、2021年は多くの病院が被害にあったことも話題となりました。また、近年は不特定多数にばらまく手法から特定の組織に狙いを定めた攻撃へ変化しており、どの組織においてもランサムウェア対策は急務といえます。

7位には初登場の「修正プログラムの公開前を狙う攻撃（ゼロデイ攻撃）」がランクインしました。詳しくは、次の章で解説します。

ゼロデイ攻撃とは、修正プログラムが提供される前の脆弱性を悪用した攻撃のことを指します。

ゼロデイとは、ベンダーが対策を行う日を「1日目」と考えた場合、それ以前の「0日目」に攻撃が行われることから、このように呼ばれています。

情報セキュリティ10大脅威には初めて登場しましたが、2014年のシェルショック脆弱性や2015年のAdobe Flash Playerのゼロデイ攻撃など、以前からある攻撃手法です。

2021年は、Javaでログ出力に使われるライブラリ「Apache Log4j」の脆弱性（CVE-2021-44228）をついた攻撃が確認され話題となりました。

Apache Log4jには一部の文字列を変数として置きかえる機能「JNDI Lookup」があり、これを第三者が悪用することで、悪意のあるプログラムが実行されたりサーバー内の情報を盗まれたりする危険性があります。

Apache Log4jは世界中のさまざまなクラウドサービスで利用されているため、その深刻度は最高レベルに位置づけられました。ベンダーごとに影響の有無や対応状況が公表されていますので、利用しているサービスごとに対応状況を確認することをおすすめします。

次に、基本的なゼロデイ攻撃の対策についてご紹介します。

ゼロデイ攻撃の対策としては、下記の3つが挙げられます。

各対策ごとのおすすめ製品・サービスをご紹介します。

ＪＢサービス株式会社は製品選定から導入・運用代行まで一貫してサポートしますので、お気軽にご相談ください。

本コラムでは、情報セキュリティ10大脅威2022のご紹介と対策をご紹介しました。

これからはオフィス勤務にとらわれないハイブリッドワークがさらに加速することが考えられます。昨年初めて登場した「テレワーク等のニューノーマルな働き方を狙った攻撃」に関しても4位にランクインしていることから、引き続きセキュリティ対策を講じていく必要があります。

セキュリティ対策の導入や運用に関してお悩みの組織については、お気軽にＪＢサービスへご相談ください。

参考・引用

• 「情報セキュリティ10大脅威2022」／情報処理推進機構（IPA）