2023年1月25日、情報処理推進機構(IPA)は「情報セキュリティ10大脅威2023」を発表しました。
情報セキュリティ10大脅威とは、その年で社会的影響が大きかった情報セキュリティにおける事案からIPAが候補を選出し、「10大脅威選考会」の審議・投票により決定したものです。
これは個人の立場と組織の立場にわけてランキング形式で紹介されており、セキュリティ被害状況の把握や今後のセキュリティ対策を検討する上でも役に立ちます。
本コラムでは「組織」の立場におけるTOP10や、6年ぶりにランクインした脅威についてご紹介します。
情報セキュリティ10大脅威2023とは?
「組織」の立場でのTOP10は下記の通りです。ランサムウェアによる被害が3年連続1位となりました。
10大脅威2022の9位にランクインしていた「予期せぬIT基盤の障害に伴う業務停止」が圏外となり、10位には「犯罪のビジネス化(アンダーグラウンドサービス)」が6年ぶりにランクインしました。
各脅威の解説や対策のポイントについてはリンク先をご覧ください。犯罪のビジネス化(アンダーグラウンドサービス)については後述します。
| 1位 | ランサムウェアによる被害(昨年順位:1位) |
|---|---|
| 2位 | サプライチェーンの弱点を悪用した攻撃(昨年順位:3位) |
| 3位 | 標的型攻撃による機密情報の窃取(昨年順位:2位) |
| 4位 | 内部不正による情報漏えい(昨年順位:5位) |
| 5位 | テレワーク等のニューノーマルな働き方を狙った攻撃(昨年順位:4位) |
| 6位 | 修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃)(昨年順位:7位) |
| 7位 | ビジネスメール詐欺による金銭被害(昨年順位:8位) |
| 8位 | 脆弱性対策情報の公開に伴う悪用増加(昨年順位:6位) |
| 9位 | 不注意による情報漏えい等の被害(昨年順位:10位) |
| 10位 | 犯罪のビジネス化(アンダーグラウンドサービス)(圏外) |
ランサムウェアによる被害の変化
2022年に観測されたランサムウェア攻撃の多くはリモートサービスの悪用が発端となっていました。
インターネット経由でどこからでもアクセスできるアプリケーションはリモートワークで有効な反面、脆弱性を見つけた攻撃者によって悪用されてしまいます。
まずは企業で利用しているシステムで外部から接続できるものを整理し、定期的にバージョンや脆弱性情報を確認しましょう。脆弱性が発見された場合は、ベンダーからセキュリティパッチの配布があり次第、早急に対応しましょう。
また二重脅迫、四重脅迫を行っているケースも多く観測されました。これまでのランサムウェア被害は攻撃者により会社のデータを暗号化され、解除と引き換えに身代金を要求する、というケースが一般的でした。
この「データの暗号化」に加えて、「技術情報や顧客情報などの公開」「サービス妨害」「ランサムウェア被害にあった企業の顧客やステークホルダー(利害関係者へ連絡)」を組み合わせ脅迫を行っているケースがありました。
このような被害にあった場合、ランサムウェア復旧までにビジネスに影響が出るだけではなく顧客や取引先からの信頼を失う可能性も高まるため、ランサムウェア対策は経営課題として対応する必要があるでしょう。
犯罪のビジネス化(アンダーグラウンドサービス)とは
アンダーグラウンドサービスとは、サイバー攻撃を目的としたツールやサービスが取引を行われていることで、情報セキュリティ10大脅威2017では第9位にランクインしていました。
従来のサイバー攻撃は、プログラミングスキルのある個人が自分のスキルを披露するなどの目的でマルウェアを作成していました。
近年では、マルウェア・エクスプロイキット・詐欺ツール・DDoS代行サービスなどのサイバー攻撃ツール・サービスが売買されています。
これによりプログラミングスキルがない人でも気軽にサイバー攻撃が実行できてしまうため、サイバー攻撃が増加している要因の一つにもなっています。
またサイバー攻撃を請け負う犯罪グループも形成され各犯罪グループが切磋琢磨していることもあり、残念ながらサイバー攻撃の脅威がなくなるのは遠い将来になりそうです。
まとめ
本コラムでは、情報セキュリティ10大脅威2023の概要と犯罪のビジネス化(アンダーグラウンドサービス)について紹介しました。
10大脅威にランクインした脅威に関して自社でどれくらい対応できているのか、見直してみてはいかがでしょうか。
セキュリティ対策の導入や運用に関してお悩みの組織については、お気軽にJBサービス株式会社へご相談ください。
