見出し画像

IPA「情報セキュリティ10大脅威2023」結果発表!

Cyber NEXT

新米セキュリティエバンジェリストの半沢です!
私の投稿では、わかりやすく!をモットーに解説してまいりますので、セキュリティ初心者の方、空き時間にさくっと情報収集したい方、ぜひご覧ください!

さっそく本題に入ります。情報セキュリティ10大脅威(組織編)について、2023年のランキングが発表されましたね。前回のブログ記事では、ランキング(トップ4)予想をしました。

桜が咲く前には、結果発表の記事を!と思っていましたが、花粉に邪魔され今頃の投稿になってしまいました。花粉って怖いですね。。。
さあ、気になる予想結果は…… 3/4的中、おおむね予想通りの結果です。
全て的中したら伊勢名物至高のあんこ餅(赤福)でもいただきたいところでしたが、埼玉銘菓十万石まんじゅうで我慢します。(私の好物については末尾プロフィールをご参照ください。)

第1位 ランサムウェアによる被害(予想1位)

第1位は、昨年同様ランサムウェアによる被害でした。
ランサムウェア攻撃についての説明は、前回の予想記事に記載しておりますので、ぜひご参照ください!

前回の記事では、医療機関への攻撃についてご紹介いたしました。
当該医療機関は、病院の給食システムで使用されていたVPN機器の脆弱性をつかれ、攻撃・侵入されてしまいました。IPAによる解説書にも、攻撃の事例・傾向として、“脆弱性を悪用してランサムウェアを配置”されるケースが取り上げられています。
また、警察庁の報告によると、2022年のランサムウェア攻撃感染経路についての調査では、「VPN機器からの侵入」が6割を占めています。(※1)
対策としては、セキュリティ機器を最新バージョンに保つこと、多要素認証の実装、セキュリティ機器(Firewall、IPS等)による通信の定期的な監視が挙げられます。また、実際に攻撃を受けてしまった場合のためにも、インシデント発生時における組織内での対応フローや、通報先を事前に確認・共有しておくことが重要です。

※1「1令和4年における脅威の動向 (1) ランサムウェアの情勢と対策」https://www.npa.go.jp/publications/statistics/cybersecurity/data/R04_cyber_jousei.pdf

第2位 サプライチェーンの弱点を悪用した攻撃(予想3位!)

第3位として予想したサプライチェーン攻撃は、第2位でした。サプライチェーン攻撃の説明は前回の記事に記載しておりますので、ぜひご参照ください!

トヨタ自動車関連企業である小島プレスの子会社が攻撃された事例ではリモート機器の脆弱性が悪用されていたこと、近年OSSを狙った攻撃が増加していることから、使用している製品/ソフトウェアの把握、およびバグ・脆弱性対応を適宜実施する必要があります。また、サプライチェーン攻撃の特徴は、標的組織の取引先や子会社を狙う点です。よって、業務委託や情報管理における規則の徹底、従業員への教育など、技術的でない側面からのアプローチも重要です。

第3位 標的型攻撃による機密情報の窃取(予想では2位…)

標的型攻撃は第3位という結果になりました。標的攻撃についての説明は、前回の予想記事に記載されておりますので、ぜひご参照ください!(そろそろしつこいですね)

IPAの解説書にも書いてありますが、「メールが来たらまずは疑え!」です。
攻撃手口としては、「不正な添付ファイルを開かせる」「不正なウェブサイトのリンクをクリックさせる」などが挙げられます。また、予想記事には書いておりませんでしたが、IPAの解説書では、「水飲み場攻撃」についても触れられています。

★水飲み場攻撃って?
標的が頻繁にアクセスするサイトを調査・改ざんすることで、当該ウェブサイトにアクセスした際、別サイトに誘導したりマルウェアをダウンロード・感染させたりし、情報を窃取する攻撃

サプライチェーン攻撃と同じく、従業員教育といったアプローチも必要ですが、それでも起こってしまうのが人間の不注意というものです。標的型攻撃の被害を予防するためには、ネットワーク分離や重要サーバに対するアクセス制御、セキュリティ診断・ペネトレーションテスト等が有効です。

第4位 内部不正による情報漏えい(予想4位!)

内部不正による情報漏えいは予想通り、第4位でした。
内部不正についての説明は前回の記事に記載しておりますので、ぜひご参………

攻撃手口としては、アクセス権限の悪用や退職者によるアカウントの不正悪用、内部情報の不正な持ち出し、などがあります。
まず、重要情報へのアクセス権制限やアカウントの登録・変更・削除など、運用面での対策が必要です。その上で、情報取り扱いポリシーや就業規則で定められた処分の周知、コンプライアンス教育を行いましょう。内部不正については、以下の記事でもご紹介しております。最近新シリーズが放送開始した鬼アニメをたとえに分かりやすく解説されておりますので、よろしければ併せてご覧ください。

さいごに

以上、新米エバンジェリストによる情報セキュリティ脅威2023予想結果発表でした。ランキングは昨年から大きく変わっていませんでしたが、攻撃の動向は日々変化しています。赤福の賞味期限とサイバー攻撃手口の巧妙化は私たちを待ってくれません。日頃から情報収集を心掛け(※2)、セキュリティを自分ごととして考えていけるといいですね。情報収集の一環として、引き続き本ブログもご利用いただけますと幸いです!
埼玉で饅頭が私を呼んでいます。本日はここまで!

※2 おすすめの情報収集サイト

参考

ライター:半沢