情報処理推進機構(IPA)は、毎年発生する社会的に影響が大きかったと考えられる情報セキュリティにおける事案から、重大な脅威の候補を選出し、情報セキュリティ分野の研究者や企業の実務担当者などからなる選考会が審議・投票を行い、トップ10を決定して発表しています。

目次
  1. 情報セキュリティ10大脅威 2023(組織向け)
  2. 犯罪のビジネス化(アンダーグラウンドサービス)とは?
    1. これらを利用した攻撃を受けるとどうなる?
    2. どう対策すればよい?
  3. まだまだ油断できないランサムウェアによる被害
  4. 今回ランクインした脅威が全てではない
  5. 10大脅威を参考に組織にあった対策を!
  6. こちらもチェック!
    1. 情報セキュリティ2022の脅威から学ぶことは?
    2. 「Emotet」に新たな手口?感染再拡大に注意!

情報セキュリティ10大脅威 2023(組織向け)

今年も1月25日に「情報セキュリティ10大脅威 2023」が発表されました。結果はこのようになっています。

順位2023年(今回)2022年(前回)
1ランサムウェアによる被害1位(→)
2サプライチェーンの弱点を悪用した攻撃3位(↑)
3標的型攻撃による機密情報の窃取2位(↓)
4内部不正による情報漏えい5位(↑)
5テレワーク等のニューノーマルな働き方を狙った攻撃4位(↓)
6修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃)7位(↑)
7ビジネスメール詐欺による金銭被害8位(↑)
8脆弱性対策情報の公開に伴う悪用増加6位(↓)
9不注意による情報漏えい等の被害10位(↑)
10犯罪のビジネス化(アンダーグラウンドサービス)圏外
「情報セキュリティ10大脅威 2023(組織)」IPAによる

10のうち9の脅威が前年に続いて選出されていることから、これらの脅威は今後も十分に注意していく必要があります。特に、ランサムウェアは3年連続の1位で、引き続き重大な脅威となっています。また、今回は新たに「犯罪のビジネス化(アンダーグラウンドサービス)」が10位にランクインしました。

犯罪のビジネス化(アンダーグラウンドサービス)とは?

アンダーグラウンド市場(いわゆる闇サイト)では犯罪に使用するためのサービスやツール、ID やパスワード、個人情報などが取り引きされ、実際にこれらを悪用した攻撃が行われています。専門知識がない人でもサービスやツールを利用することで容易に攻撃を行えるようになるため、サービスやツールが公開されると悪用され、攻撃による被害が広がる恐れがあるのです。このように、攻撃者はショッピングで手軽に犯罪に使うものを手に入れることができます。そして、その商品はあなたの大切な情報かもしれません。

アンダーグラウンド市場で商用化されているサービスやツールには、エクスプロイトキットやオンライン銀行詐欺ツール、DDoS(分散型サービス妨害)攻撃の代行サービスや RaaS( Ransomware as a
Service)等があり、闇とは言え立派なビジネスとして取引されています。

エクスプロイトキットとは?

パソコンやモバイルデバイスのセキュリティ上の脆弱性を検証するプログラムであるエクスプロイトコード(Exploit Code)を複数まとめたパッケージのこと。悪意を持った攻撃者がパソコンやモバイルデバイスにサイバー攻撃を仕掛ける際に用います。
エクスプロイトコードは本来、セキュリティの研究者が注意喚起のために脆弱性とともに公表するものであり、攻撃が可能であることを示すコードのみが実装されていることが多いのですが、エクスプロイトキットには、単体で完結したマルウェアとして動作するように設計されたものも含まれています。新たな脆弱性が見つかるとエクスプロイトキットも更新され、その脆弱性に対する攻撃プログラムも随時追加されます。
エクスプロイトキットは、ダークウェブのアンダーグラウンドマーケットなどで流通しているため、プログラムや脆弱性に関する専門的な知識がなくとも、エクスプロイトキットを利用することで簡単にマルウェアを作成でき、サイバー攻撃が可能となります。昨今マルウェア被害が急増している一因として、このエクスプロイトキットが広く流通し、誰でも入手できるようになったことが挙げられます。

DDoS攻撃とは?

サイバー攻撃の種類の一つで、攻撃者は複数の機器(パソコンなど)を踏み台にして、特定の機器(サーバーなど)に一斉攻撃をしかけます。このとき、踏み台として利用される機器には関連性がないため、攻撃を受けた側は犯人を特定しにくいことも特徴の一つです。
DDoS攻撃を受けると、WEBサイトの応答速度が低下したり、サーバーがダウンする、といった被害が発生する可能性があります。
DDoS攻撃とは別にDoS攻撃があります。DoS攻撃は、1台の機器から対象の機器に過剰な負荷をかける攻撃です。これに対し、DDoS攻撃は、複数の機器を踏み台にして対象の機器に過剰な負荷をかける攻撃です。こうしてみると、DDoS攻撃はDoS攻撃の進化版とも言えます。

RaaSとは?

Ransomware as a Service の略で、ランサムウェアを使った攻撃を容易に行うことができるようにまとめたパッケージ・サービスのことです。ランサムウェアの被害は増加しており、その一因にRaaSの登場と普及があるとされています。
必要な機能を一定の期間だけ利用するSaaS(Software as a Service)と同様に、RaaSも利用料金さえ払えば、技術力のない攻撃者でも容易にランサムウェアが利用できるようになっています。また、身代金が支払われた際に、成果報酬としてRaaS提供者と利用者で利益を分配する課金形態を採用するサービスも存在しています。

これらを利用した攻撃を受けるとどうなる?

パソコンなどの端末がウイルスに感染し、金銭を窃取されたり、サーバーにDDoS攻撃をされたり、業務を妨害される、などの被害に遭う可能性があります。また、搾取された個人情報や不正アクセス用のデータがダークウェブで売買される被害も実際に報告されています。

アンダーグラウンド市場で取引されているサービスやツール等はダークウェブと呼ばれる、通常のブラウザでは検索できないWEBサイト上に存在することが多く、攻撃者は特殊なブラウザ等のツールを利用してそれらのWEBサイトにアクセスしていると考えられます。

攻撃の手口としては、アンダーグラウンド市場で購入したサービスやツールを利用して攻撃を行うものや、購入した ID やパスワード等の認証情報を利用して不正ログインするというものがあります。また、サイバー犯罪は個人だけでなく組織的に行われることもあり、その人材をアンダーグラウンド市場でリクルートしていることもあります。特に、新型コロナウイルスの感染が拡大して以降、募集が4 倍にも増加し、IT技術者の取り込みが図られているという報告もあります。

どう対策すればよい?

攻撃に悪用するツールやサービスの目的や仕様によって対策は異なるため、ここでは代表的な対策を記載します。

経営者層

インシデント管理の体制を整備して、組織として対応する体制を確立

インシデント管理とは?

インシデントとは、システムやサービスに何らかの問題が発生しており、仕事やサービスを受けているユーザーに悪影響が起きている状態のことを言います。インシデント管理は、発生したインシデントに対応して終息させることです。インシデント管理では、対応者が明確な体制の整備と必要なスキルを持つ人材の確保が重要となります。

システム管理者

被害の予防として、以下のことを行います。

  • DDoS 攻撃の影響を緩和する ISPや CDN等のサービスを利用
  • システムの冗長化等の軽減策
  • サーバーやクライアント、ネットワークに適切なセキュリティ対策
ISPのDDos攻撃対策について

ISP(インターネットサービスプロバイダー)では、契約サービスのオプションとして、DDoS攻撃とみなされる大量のデータ量を検知すると、ISP側でトラフィックを緩和させる防御対策を実施するサービスを提供しています。ルーターの前に緩和装置を設置することで、異常パケットを破棄して正常パケットのみが届けられるようになるものです。

CDNとは?

CDN(コンテンツ・デリバリー・ネットワーク)は、大容量のデジタルコンテンツを大量配信するためのネットワークのことです。
CDNを利用すると、自社サーバーではなく世界中のキャッシュサーバーが大量アクセスに応答するため、自社サーバーに負荷をかけずに済む仕組みです。CDNは大容量配信に強く、キャッシュサーバーも高速で大容量の通信を得意としているため、DDoS攻撃への対策として有効です。

被害を最小限にとどめるため、以下のことを行います。

  • 不審なログイン履歴の確認
  • ダークウェブの監視
  • 自組織情報流出の有無を確認
  • 適切なバックアップ運用

被害を受けた後の対応として、以下のことを行います。

  • 適切な報告/連絡/相談
  • 通信制御(DDoS 攻撃元をブロックする等)
  • WEBサイト停止時の代替サーバーの用意と告知手段の整備
  • インシデント管理の体制を整備して対応

端末利用者

被害の予防として、以下のことを行います。

  • 情報リテラシー、モラルの向上
  • メールの添付ファイル開封、メールやSMSのリンクやURL のクリックを安易にしないことを徹底
  • 多要素認証等の強い認証方式の利用

被害を最小限にとどめるため、以下のことを行います。

  • 適切なバックアップ運用

被害を受けた後の対策として、以下のことを行います。

  • インシデント管理の体制を整備して対応

まだまだ油断できないランサムウェアによる被害

ランサムウェアによる被害は3年連続で1位となりました。2022年も脆弱性を悪用した事例やリモートデスクトップ経由で不正アクセスされる事例が発生しています。また、情報の暗号化だけでなく窃取した情報を公開すると脅す「二重脅迫」に加え、DDoS攻撃を仕掛ける、被害者の顧客や利害関係者へ連絡するとさらに脅す「四重脅迫」が新たな手口も登場しています。

ランサムウェアの感染経路は多岐に渡るため、ウイルス対策、不正アクセス対策、脆弱性対策などの基本的な対策を、確実に何重にも実施することが重要です。また、バックアップを取得することや復旧計画を策定するなど、攻撃を受けることを想定した準備を事前に行うことが重要です。

今回ランクインした脅威が全てではない

今回新しくランクインした脅威があれば、ランク外になった脅威もあります。今回ランク外になったからと言ってその脅威が無くなるわけではなく、継続して対策することが必要です。

例えば、前回9位だった「予期せぬIT基盤の障害に伴う業務停止」は今回ランクインしませんでした。組織が利用するサーバーやインターネット上のサービス、業務システム等で使用しているネットワークやクラウドサービスなどの IT 基盤に予期せぬ障害が発生し、長時間にわたり利用者や従業員に対するサービスを提供できなくなり、結果的に組織の事業に大きな影響を与えるおそれがあるというものです。

発生の要因は自然災害や人為ミスなどによる作業事故によるもの、データセンターなどのサービスが稼働している施設における障害の発生、IT 基盤を構成する機器のハードウェアやソフトウェアに不具合が発生したり、ネットワークで障害が発生することがあります。

こうした障害が長時間に及んだ場合、組織の利益減少や競争力の弱体化等、経済的損失にもつながり、ひいては、人々の日常生活にも支障をきたすおそれもあるので、今後も対策をしておくことが重要です。

10大脅威を参考に組織にあった対策を!

情報セキュリティ対策の基本にもありますが、こうした脅威に対応するには、どのような脅威と手口があるのか、普段から知っておくことが大事です。今回発表された10大脅威は対策を検討する上でとても参考になります。そして、10大脅威の順位や選定されている・いないに関わらず、組織が置かれている立場や環境を考慮して優先度を付け、適切な対応を取ることが重要です。

とは言え、これらの脅威が使う攻撃の糸口はどれも似通ったもので、古くからある基本的な手法が使われていることがほとんどです。つまり、攻撃の糸口に大きな変化がない限り、基本的な対策さえしっかりしておけば効果は十分期待できます。そして脅威に対抗するには、なによりも先手を打つことがポイントです。普段から情報収集をして必要な対策を講じましょう。

こちらもチェック!

情報セキュリティ2022の脅威から学ぶことは?

2022年に発表された情報セキュリティの脅威トップ10と傾向や対策について解説しています。

詳しくみる

「Emotet」に新たな手口?感染再拡大に注意!

「Emotet」(エモテット)による被害は注意喚起などで減少傾向にありましたが、2022年4月頃から新たな手口が確認されています。どのような手口で、どう対策をすればよいか?解説します。

詳しくみる
avatar
セキュリティを強化しませんか?
より安心してご利用頂くために、ご質問やご不安などございましたら、いつでもご相談下さい。