IPA「情報セキュリティ10大脅威」の組織編を紹介
IPA(独立行政法人情報処理推進機構)では、毎年「情報セキュリティ10大脅威」を公表しセキュリティ対策への普及を目的とした取り組みを行っています。
「情報セキュリティ10大脅威 2023」は、前年(2022年)に発生した社会的に影響が大きかったと考えられる情報セキュリティにおける事案を専門家等が協議し決定したものです。
情報セキュリティ10大脅威を「個人」の立場と「組織」の立場で10位までランク付けをしています。
この記事では、「組織」の10大脅威に絞り、さらに過去数年上位にランクインしている脅威を紹介します。
1位:ランサムウェアによる被害(直近3年連続1位)
2位:サプライチェーンの弱点を悪用した攻撃( 2019年からランクインし、常に上位ランクをキープ)
3位:標的型攻撃による機密情報の窃取(2016年~2021年は、6年連続1位)
4位:内部不正による情報漏えい (ランクの振れ幅あるが、ほぼランクイン)
5位:テレワーク等のニューノーマルな働き方を狙った攻撃( 2021年からランクインし、上位ランクをキープ)
※順位は「情報セキュリティ10大脅威 2023」の組織編順位を表記しています。
1位~5位の脅威に対して、「攻撃手口」、「被害事例」、「対策」を抜粋して紹介します。
1位:ランサムウェアによる被害
・攻撃手口
ソフトウェアの脆弱性、不正アクセス、メール等を利用しウイルス(ランサムウェア)に感染させる。
・被害事例
ウイルスに感染すると、情報の窃取やデータ暗号化による複数の脅迫(情報公開、DDos攻撃、利害関係者へ連絡)を迫られ金銭を要求する。
・対策
ウイルスの感染経路は多岐にわたるため、ウイルス対策、不正アクセス対策、脆弱性対策を行い、攻撃を受けることを想定した事前準備(セキュリティ等の専門知識を有する者の配置、対策の予算確保と継続的な対策)も重要です。
2位:サプライチェーンの弱点を悪用した攻撃
・攻撃手口
取引先や業務を委託先のセキュリティ対策が甘い組織を攻撃の足がかりとして攻撃する。
・被害事例
攻撃した組織を足がかりに、ランサムウェア等の攻撃で不正アクセスや情報漏えいをする。
・対策
業務委託や情報管理の規則徹底をする。信頼できる取引先や委託先の選定、情報セキュリティ対応の定期確認・監査を行う。
3位:標的型攻撃による機密情報の窃取
・攻撃手口
特定の組織に狙いを定め不正アクセス、メール等を利用しウイルスに感染させる。
・被害事例
ウイルスに感染し情報窃取される。
・対策
メールの添付ファイルやリンクを安易にクリックしない。
ウイルス対策、不正アクセス対策、脆弱性対策を行う。
セキュリティ等の専門知識を有する者の配置、対策の予算確保と継続的な対策も重要です。
4位:内部不正による情報漏えい
・攻撃手口
組織の従業員や元従業員による機密情報の漏えい。
・被害事例
アカウント情報を用い個人情報をSNSに投稿する。
転職先に転職元の機密情報を持ち出す。
・対策
重要情報の管理・保護、コンプライアンス教育の徹底、システム操作履歴の監視等
5位:テレワーク等のニューノーマルな働き方を狙った攻撃
・攻撃手口
テレワーク用ソフトの脆弱性を悪用した不正アクセス。
・被害事例
リモート接続の脆弱性を狙いウイルスに感染させる。
・対策
組織のテレワークルールを順守やセキュリティポリシーの策定。
セキュリティ等の専門知識を有する者の配置、対策の予算確保と継続的な対策も重要です。
詳細は、下記の引用元サイトをご覧ください。
時代と共に攻撃手口が高度化し、あの手この手を使い攻撃を仕掛けてきます。
攻撃の入り口は、脆弱性の悪用やメール等を利用したウイルス感染が主な攻撃手口です。
共通する基本対策をしつつ、攻撃を受けることを想定した事前準備も重要になっています。
引用元サイト:情報セキュリティ10大脅威 2023
引用元資料:情報セキュリティ10大脅威 2023 [組織編] 85ページ(PDF:2.6 MB)
