目次
IPA(独立行政法人情報処理推進機構)から、2024年度版「情報セキュリティ10大脅威」が発表されました。
「情報セキュリティ10大脅威」とは、専門家や研究者、企業の実務担当者など約200名のメンバーからなる「10大脅威選考会」で、2023年に発生した社会的影響力が大きかった情報セキュリティ事案を参考に、これからトレンドとなる脅威候補を審議・投票して決めています。(「個人向け」と「組織向け」でそれぞれ脅威ランキングが発表されます。)
昨年の10大脅威(組織向け)では、「ランサムウェアによる被害」が3年連続1位となったことや、6年ぶりに「犯罪のビジネス化(アンダーグラウンドサービス)」が圏外から再ランクインするといった結果でした。
この記事では、 最新の2024年度版セキュリティ10大脅威の紹介とランキングから見えてくる傾向や2023年度に起こった被害事例と備えておくべき対策について解説 していきます。
1. 「情報セキュリティ10大脅威2024」ランキング一覧
2024年度版「情報セキュリティ10大脅威」のランキングは以下のような結果となりました。
| 順位 | 「組織」向け脅威 | 取り扱い | 前回順位 |
|---|---|---|---|
| 1位 | ランサムウェアによる被害 | 9年連続9回目 | 1位 |
| 2位 | サプライチェーンの弱点を悪用した攻撃 | 6年連続6回目 | 2位 |
| 3位 | 内部不正による情報漏えい等の被害 | 9年連続9回目 | 4位(↑) |
| 4位 | 標的型攻撃による機密情報の窃取 | 9年連続9回目 | 3位(↓) |
| 5位 | 修正プログラムの公開前を狙う攻撃 | 3年連続3回目 | 6位(↑) |
| 6位 | 不注意による情報漏えい等の被害 | 6年連続7回目 | 9位(↑) |
| 7位 | 脆弱性対策情報の公開に伴う悪用増加 | 4年連続7回目 | 8位(↑) |
| 8位 | ビジネスメール詐欺による金銭被害 | 7年連続7回目 | 7位(↓) |
| 9位 | テレワーク等のニューノーマルな働き方を狙った攻撃 | 4年連続4回目 | 5位(↓) |
| 10位 | 犯罪のビジネス化(アンダーグラウンドサービス) | 2年連続4回目 | 10位 |
出典:プレス発表「情報セキュリティ10大脅威 2024」を決定より
昨年ランキングと比較していくつか変化があたので簡単にまとめてみました。
- 2024年度版は、順位のアップダウンはあるが、前年と同じ脅威がランクイン。
- 1位の「ランサムウェアによる被害」と2位の「サプライチェーンの弱点を悪用した攻撃」は2年連続でワンツーに。
- 前回4位の「内部不正による情報漏えい等の被害」や9位の「不注意による情報漏えい等の被害」といった「人」が原因とする脅威がランクアップ。
- 前回5位の「テレワーク等のニューノーマルな働き方を狙った攻撃」は大幅ダウン。
2024年度版では、ランキング1・2位と10位は昨年と同様の結果でしたが、そのほかの脅威では順位のアップダウンが起きていました。
2. 今年の脅威ランキングの傾向とは?
先程も紹介したように、2024年度版では、1位の「ランサムウェアによる被害」と2位の「サプライチェーンの弱点を悪用した攻撃」は2年連続でワンツーという結果でしたが、2023年版より順位上げた脅威というのがいくつかありました。
そこで、今回ランクアップした脅威の解説とその対策案、そしてそこから見えてくる今年の傾向について解説していきます。
2−1. ランクアップした脅威と対策案
まずは、昨年から順位が上がった脅威について解説します。
今回順位の上げた脅威は以下の4つです。
- 4位→3位:内部不正による情報漏えい等の被害
- 6位→5位:修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃)
- 9位→6位:不注意による情報漏えい等の被害
- 8位→7位:脆弱性対策情報の公開に伴う悪用増加
では、それぞれの脅威の解説と対策案を紹介していきます。
4位→3位:内部不正による情報漏えい等の被害
まずは、昨年4位から1つ順位を上げた、「内部不正による情報漏えい等の被害」です。
内部不正による情報漏えい等の被害とは、主に、「情報の持ち出し」といった人が原因で、自社の重要情報が漏えいするといったケースのことです。
そもそも、内部不正を引き越す原因としては、
- 動機・プレッシャー
- 処遇や待遇への不満
- 業務が多忙
- 不正されやすい管理体制
- 社内のセキュリティ不備
- 不適切なアクセス権限
といったようにさまざまな要因や状況で起こるとされています。
外部攻撃への対策はもちろんですが、働き方や新技術への対応など時代の変化にあわせて体制や対策の見直しや検討をしていくことが大切です。
内部不正による漏えい被害への対策案の例としては以下の4つを紹介します。
・定期的な内部監査や不正な活動を監視するシステムやツールの導入
・内部統制の強化
・社員への教育とトレーニング
・働き方への対応(ワークライフバランスの促進)
6位→5位:修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃)
次に、前回6位から1つ順位を挙げた「修正プログラムの公開前を狙う攻撃」です。
修正プログラムの公開前を狙う攻撃とは、アプリやソフトウェア開発者がアプリ内の脆弱性を見つけ、対策を打とうとする前に攻撃されてしまうことで、通称「ゼロデイ攻撃」と呼ばれています。 近年はこの、「ゼロデイ攻撃」による被害件数が増えていくと想定しています。
そもそも、この攻撃が増えている理由や要因はさまざまあります。
- 新たなソフトウェア技術が普及している
- 犯罪者側の技術力が上がっている
- 情報の流通量の増加
- プログラム設計のミス・不具合
- パッチ管理が不適切
- 開発側での脆弱性への意識が少ない
・脆弱性の早期発見と修正(ツールの導入)
・潜在的な脆弱性を発見する(セキュリティプログラムの強化)
・攻撃者が侵入しても他のネットワーク領域に広がりにくくする
・セキュリティ製品の活用
・社員への教育
ゼロデイ攻撃は、常に進化しています。
事前に防ぐことは難しいため、悪用の情報が公表されたら即時対応することが望ましく、セキュリティの専門家やツールなどを活用して、最新の脆弱性を検知・対策を実施をしましょう。
9位→6位:不注意による情報漏えい等の被害
9位→6位と今回一番ジャンプアップした脅威が、「不注意による情報漏えい等の被害」です。
不注意による情報漏えい等の被害とは、簡単にいうとメールの誤送信や設定不備といった業務ミスやヒューマンエラーが原因で起こる脅威のことです。 社内の人間による誤操作や管理ミス、紛失・置き忘れといった1つのうっかりが多大な被害にまで広がってしまうケースもあります。
よくある不注意の例は以下になります。
- うっかり機密情報を外部に漏らしてしまった
- 重要な情報を持ち出して、さらに外で紛失してしまった
- 宛先を間違えてメールを誤送信してしまった
- クラウドのアクセス権限設定を誤って公開状態にしてしまっていた
社員のうっかりミスをどれだけ防げるかが重要です。
「不注意による情報漏えい等の被害」への対策案は以下になります。
・社員の情報セキュリティやリテラシー教育の実施
・社内のルール規程や確認プロセスを見直して社員に浸透させる
・社内で扱う重要情報を決めてそれにあわせた管理・運用方法を決める
・DLP(データを監視するシステム)の導入
・外部に持ち出せる情報や機器を決める
・メールを誤送信しないための方法や対策を考える
8位→7位:脆弱性対策情報の公開に伴う悪用増加
最後に、昨年8位から7位へ1つ順位を上げた「脆弱性対策情報の公開に伴う悪用増加」です。
脆弱性対策情報の公開に伴う悪用増加とは、本来、脆弱性対策のために公開されている脆弱性情報を攻撃者が悪用してしまうことです。 近年では、脆弱性情報の公開後、犯罪者間の攻撃コードの流通や攻撃実行されるまでの時間が短くなっている傾向です。
特に、脆弱性への対策が未実施である、または最新の脆弱性をキャッチする体制がとれていない相手が狙われやすいです。
・社員の情報セキュリティやリテラシー教育の実施
・社内のルール規程や確認プロセスを見直して社員に浸透させる
・社内で扱う重要情報を決めてそれにあわせた管理・運用方法を決める
・DLP(データを監視するシステム)の導入
・外部に持ち出せる情報や機器を決める
・メールを誤送信しないための方法や対策を考える
最新情報には常にキャッチできる体制や脆弱性診断ツールを入れて定期的に監視・処置することが鍵となります。
2−2. 今回のランキングの傾向まとめ
今回、ランクアップした4つ脅威のうち、前年から順位をさらに上げていたのが、「不注意による情報漏えい等の被害」や「内部不正による情報漏えい等の被害」といった 「人」が原因の脅威 でした。
この後紹介する、「3. 2023年に起こった被害事例の一覧」の被害事例にもあるように、人的な要因で起こったインシデントで漏洩件数が多いところから見て、2024年は、内部不正や人的ミスといった「人」に関わるインシデントへの予防や対策が重要となるでしょう。
もちろん、外部からの攻撃などITに関する対策に関しても、犯罪者マーケットは日々拡大しつつあり新たな脆弱性対策をもすり抜ける巧妙な手口や手法が出ていることや、攻撃コードの開発スパンが短くなっている点より今後も対策を強化していかなければいけません。
以上が、今年ランクアップした脅威の解説でした。
3. 2023年に起こった被害事例の一覧
ここで、実際に2023年ではどのような攻撃や被害があったのか、日本で起こったセキュリティ被害事例をいくつかピックアップしました。
| 原因 | 被害の内容 | 被害件数 |
|---|---|---|
| 誤設定 | 自動車会社の顧客情報が外部閲覧可能な状態にあったことが明らかに。 | 216万件 |
| 不正アクセス | 保険会社の外部委託事業者のサーバーが不正アクセスを受け個人情報が流出 | 208万931件 |
| 誤設定 | システム企画・開発・運営会社がクラウドサービス上で利用した個人情報ファイルが公開状態で流出しうる状態だった判明 | 96万件 |
| 不正持ち出し | マンション管理会社の元従業員が不正アクセスをして顧客情報を第三者に漏らすなどをした。 | 27万件 |
| 不正アクセス | パソコンハードウェア販売会社のサイトで不正アクセスを受け、顧客のカード情報や個人情報が流出した可能性があると発表 | 12万982件(個人情報) |
| 内部不正 | 独立行政法人から受託している事務局業務で同社から派遣された元職員が情報を不正に利用 | 7万5,000件 |
| ランサムウェア感染 | 小売業事業の会社の一部のサーバーがランサムウェアに感染し、顧客や従業員等の個人情報が外部流出。 | 3万8,000件 |
| サイバー攻撃 | アパレル会社が運営するECサイトシステムの一部にあった脆弱性をついた不正アクセスでサーバー内に侵入、ペイメントアプリケーションの改ざんが行なわれクレジットカードの漏洩の可能性があると発表。 | 2万8,658件 |
| ランサムウェア感染 | デリバリーサービス会社が顧客情報管理のために使用していPCがランサムウェアに感染し、個人や法人情報の流出の可能性が生じた。 | 6,184件 |
表にもあるように、2023年では「誤設定」や「内部不正」「管理ミス」といった人為的なミスや過失による事故での被害件数や規模がかなり大きかったことがわかります。 そして「不正アクセス」や「ランサムウェア感染」といった脆弱性をついた攻撃による被害件数についてもまだまだ数は減っていません。
以上が2023年に起こった被害事例の紹介でした。
4. 脆弱性の早期発見と適切な対処を
前述の被害事例で紹介したように、脆弱性を突いた攻撃や不正アクセスによる情報漏えい事故は未だ減っていない状況です。
一般的に、脆弱性を放置しておくと攻撃者の標的とされてしまい、情報漏えいといったセキュリティ事故を引き起こす可能性が高くなります。 セキュリティ事故が発生すると、売上の機会損失だけでなく、企業の信頼失墜につながるなど多大な経済的損失や被害を受けることになりかねません。
そういったことを避けるためにも脆弱性の「早期発見」と「適切な対処」が求められます。 よりスムーズに早く発見するためには脆弱性診断ツールの活用が重要となります。
そこでおすすめするツールが「Syhunt」です。
最大の特徴は、非セキュリティ部門でも扱うことができる 点です。
非エンジニアでも操作ができるよう、Syhuntにはグラフィカルな画面で操作できる「GUI版」を用意しております。直感的に操作ができるためエンジニアに診断依頼をかけずとも自身でチェックが可能です。
また、Syhuntでは最新の脅威や脆弱性に対応できるよう、定期的なアップデート行っているほか、「CVSS」「CWE」「CVE」など国際的なセキュリティ規格に準拠しているため、さまざまな脆弱性への対処法の提案が得意です。
さらに、ダークウェブ上に企業情報などが漏えいしていないかを調べる「BREACH機能」や、万一セキュリティ事故が起きた際の攻撃手法を調査する「FORENSIC機能」など。通常なら別で提供されることの多い機能もSyhuntのプランには含まれています。
そのため、脆弱性診断だけでなくインシデント調査や再発防止といったセキュリティ対策の改善 としてもご活用いただいております。
6. まとめ
今回は、IPAが発表した2024年度版情報セキュリティ10大脅威の傾向や被害事例と対策について解説してきました。
一部、順位変動はありましたが、昨年と同じ顔ぶれの脅威が揃った2024年度版では、内部不正や人的ミスといった「人」が原因による脅威のランクアップが目立ちました。また、以前変わらず外部攻撃などのITに関する対策に関しては、今後も継続して強化していく必要があります。 ぜひ今回の記事の対策案などを参考に自社内でのセキュリティ対策はどうなっているのか見直しをしてみてください。
なお弊社では、脆弱性診断ツール「Syhunt」の販売サポートだけでなく、皆様の社内セキュリティ対策におけるお困りごとに対して技術的なサポートなども行っております。
どんな簡単な内容やご相談でも結構です。
気軽に問い合わせフォームまでお問い合わせください。
