情報セキュリティ10大脅威 2022 から学ぶことは？

情報処理推進機構（IPA）は、毎年発生する社会的に影響が大きかったと考えられる情報セキュリティにおける事案から、重大な脅威の候補を選出し、情報セキュリティ分野の研究者や企業の実務担当者などからなる選考会が審議・投票を行い、トップ10を決定して発表しています。

今年も発表！「情報セキュリティ10大脅威 2022」（組織向け）

今年も1月27日に「情報セキュリティ10大脅威 2022」が発表されました。結果はこのようになっています。

順位	2022年（今回）	2021年（前回）
1	ランサムウェアによる被害	1位（→）
2	標的型攻撃による機密情報の窃取	2位（→）
3	サプライチェーンの弱点を悪用した攻撃	4位（↑）
4	テレワーク等のニューノーマルな働き方を狙った攻撃	3位（↓）
5	内部不正による情報漏えい	6位（↑）
6	脆弱性対策情報の公開に伴う悪用増加	10位（↑）
7	修正プログラムの公開前を狙う攻撃（ゼロデイ攻撃）	なし
8	ビジネスメール詐欺による金銭被害	5位（↓）
9	予期せぬIT基盤の障害に伴う業務停止	7位（↓）
10	不注意による情報漏えい等の被害	9位（↓）

10のうち9の脅威が前年に続いて選出されていることから、これらの脅威は今後も十分に注意していく必要があるでしょう。特に、1位のランサムウェアや2位の標的型攻撃による被害は、引き続き重大な脅威となっています。また、今回は新たに「修正プログラムの公開前を狙う攻撃（ゼロデイ攻撃）」が7位にランクインしました。

ゼロデイ攻撃とは？

コンピュータは指定された順番に沿って処理を実行します。その処理と実行する順番が書かれたものがプログラムです。もともと、プログラムとは物事を行う手順のこと、またはその手順を書き出したものを指します。例えば、発表会では出演者と演目が出演順に並べて記載された冊子が配られますが、あれもプログラムと呼びますよね。また、IT用語として使う場合「コンピュータプログラム」と呼んで区別することもあります。

もし、この（コンピュータ）プログラムにミスがあると期待通りの処理が行われず、不具合が発生することがあります。場合によってはそこがセキュリティホールとなり、外敵からの攻撃に非常に弱い状態になってしまいます。そこで、ソフトウェアを提供しているメーカーは、ソフトウェアを構成するプログラムに設計変更やミスがあった場合、修正プログラムを作成して配布しています。

ゼロデイ攻撃は、そうした修正プログラムが提供される前の脆弱性を悪用した攻撃です。2021年12月には「Apache Log4j」（※）に脆弱性があり、すでに攻撃が観測されたとして対策の情報とともに公開されました。このプログラムは世界中で広く使われているため、大きな話題となりました。

このゼロデイ攻撃の場合、修正プログラムが提供された時にはすでに攻撃が行われている可能性があり、脆弱性対策だけでなく、外部からの侵入を検知して防御する機器を導入するなど、多角的な備えをすることが重要になります。

※ 「Apache Log4j」：Java用のログ出力ライブラリで、ウェブサイトのバックエンドにあるウェブサーバーなどで行われた操作を記録する機能をもつプログラム部品のようなもの

まだまだ油断できないランサムウェアによる被害

ランサムウェアはウイルスの一種で、パソコンやサーバー、スマートフォンがこのウイルスに感染すると、保存されているデータが暗号化されて利用できなくなったり、画面がロックされて端末が利用できなくなったりします。このウィルスを感染させて復旧することと引き換えに金銭を要求するなどの手口が確認されています。

最近では、ランサムウェアによる攻撃はさらに高度化し、標的型攻撃と同様の方法で企業や組織のネットワークに侵入してデータを暗号化したり、データを窃取して公開するぞと脅すことにより、身代金を支払わざるを得ないような状況に追い込みます。被害の中には、金銭の支払いの有無にかかわらずデータが暴露されてしまったというケースもあります。

こうしたランサムウェアによる攻撃は年々増加傾向にあり、2021年に入ってからも国内の企業や病院などが被害を受けたことが報道され、大きな話題となりました。

この攻撃への対策は、標的型攻撃と同等の技術が使われていることから、ウイルス対策、不正アクセス対策はもちろん、修正プログラムを適用して脆弱性対策を行うなど、攻撃に対する基本的な対策を確実に、多重で行うことが重要です。また、被害に遭う可能性があることを想定して、バックアップの取得や復旧計画の策定など、普段から備えることが大切です。

「情報セキュリティ10大脅威」で留意するべきこと

IPAはこの10大脅威を発表するにあたり、留意するべきことを3つ挙げています。

順位に捉われず、立場や環境を考慮する

10大脅威は、選考会の投票結果に基づいて順位付けして10個の脅威を選定しています。投票により重要度が高いと考えられるものをより上位の順位としていますが、上位の脅威ほど優先して対策を行えばよいということではありません。

ランクインした脅威が全てではない

今回新しくランクインした脅威があれば、ランク外になった脅威もあります。今回ランク外になったからと言ってその脅威が無くなるわけではなく、継続して対策することが必要です。

例えば、前回8位だった「インターネット上のサービスへの不正ログイン」は今回ランクインしませんでした。不正ログインについては広く知られるようになり、様々な対策が進んできている結果ともとれますが、引き続き注意していくべき事項です。

もし、オンラインショッピング等の個人情報をメインで取り扱っている組織であれば、この「インターネット上のサービスへの不正ログイン」は、その情報を狙った脅威となると考えられるため、優先的に対策しなければならないでしょう。

やはり情報セキュリティの基本対策が重要

世の中には 10 大脅威以外にも多数の脅威が存在しています。とは言うものの、これらの脅威が使う攻撃の糸口はどれも似通ったもので、脆弱性を突く、ウイルスを使う、ソーシャルエンジニアリングを使う、といった、古くからある基本的な手法が使われています。つまり、攻撃の糸口に大きな変化がない限り、基本的な対策による効果が期待できます。

IPAは攻撃の糸口を5つに分類し、それぞれに該当する対策を「情報セキュリティ対策の基本」としています。これを意識して継続的に対策を行うことで、被害に遭う可能性を低減できると考えられます。

攻撃の糸口	情報セキュリティ対策の基本	目的
ソフトウェアの脆弱性	ソフトウェアの更新	脆弱性を解消し攻撃によるリスクを低減する
ウイルス感染	セキュリティソフトの利用	攻撃をブロックする
パスワード窃取	パスワードの管理・認証の強化	パスワード窃取によるリスクを低減する
設定不備	設定の見直し	誤った設定を攻撃に利用されないようにする
誘導（罠にはめる）	脅威・手口を知る	手口から重要視するべき対策を理解する

10大脅威を参考に組織にあった対策を！

情報セキュリティ対策の基本にもありますが、こうした脅威に対応するには、どのような脅威と手口があるのか、普段から知っておくことが大事です。今回発表された10大脅威は対策を検討する上でとても参考になります。そして、10大脅威の順位や選定されている・いないに関わらず、組織が置かれている立場や環境を考慮して優先度を付け、適切な対応を取ることが重要です。

今、Emotet（エモテット）と呼ばれるウイルスに感染させる手口による被害が広がっています。このケースは、「ウイルス感染」をさせるために送ったメールを信用させて添付ファイルを開くよう「誘導（罠にはめる）」する、複数の攻撃の糸口を使っています。こうなると、ソフトウェアの更新やセキュリティソフトの利用などの技術的な対策だけでは防ぎきることはできません。結局のところ、最後の砦となるのは人為的な予防です。そのためにも脅威とその手口は普段から知っておくよう努める必要があるのです。

そして脅威に対抗するには、なによりも先手を打つことがポイントです。備えあれば憂いなし。さっそく情報収集をして効果的な対策を講じましょう。

こちらもチェック！