IPA「情報セキュリティ10大脅威2023」大予想!
はじめまして、新米セキュリティエバンジェリストの半沢です!
入社して2年目、文系学部からセキュリティ部署に配属となり、日々ネットワーク機器と格闘しております。私の投稿では、わかりやすく!をモットーに解説してまいりますので、セキュリティ初心者の方、空き時間にさくっと情報収集したい方、ぜひご覧ください!
それでは、さっそく本題に入ります。
今回は、毎年1月に情報処理推進機構(IPA)が公開する、情報セキュリティ10大脅威(組織編)について、2023年のランキング予想(トップ4)をしていきます。
第1位 ランサムウェアによる被害(前回1位)
2022年もランサムウェア攻撃による被害が多く見受けられました。
★ランサムウェアとは?
データやシステムを暗号化し、復号を条件に金銭を要求するマルウェア
近年の攻撃傾向としては「多重脅迫」(データやシステムの暗号化+窃取したデータの公開を迫りさらなる身代金を要求+DDoS攻撃(サービス妨害)+関係者への攻撃情報暴露など)がある。
2021年に問題となりましたが、2022年も医療機関への攻撃が目立ちました。
★なぜ、医療機関が狙われるの?
古いバージョンのOSを使い続けているなど脆弱な端末の存在、システム担当者の人員不足など、セキュリティ対策が手薄な現状から標的にされやすい。
電子カルテシステムに障害が発生することにより、診療停止や救急患者の受け入れができなくなるなど、業務への影響が甚大な事例もありました。
第2位 標的型攻撃による機密情報の窃取(前回2位)
標的型攻撃とは、特定の個人や組織・企業を狙い、機密情報を窃取する攻撃です。ここでは2022年に再拡大が観測されたEmotetについて解説します。
★Emotetって?
メールの添付ファイル(Excel、Wordなど)やリンクを開くことで感染するマルウェア。メールアドレスやメールの内容(本文、宛先情報など)、Webブラウザに保存したID・パスワードなどを窃取する。感染端末を踏み台に、新たな感染につながるメールを勝手に送信し、被害を拡大させる。
2022年に観測されたEmotetには、以下のような特徴があります。
特徴1 ショートカットファイル(LNKファイル)の悪用
メールに細工されたLNKファイル(これを含めたパスワード付きZipファイル)を添付し、受信者がこのファイルを実行するとスクリプトファイルが生成・実行され、Emotetに感染してしまいます。
特徴2 マクロの悪用
メールにマクロ付きExcel・Wordファイル(これらをまとめたパスワード付きZipファイル)としてEmotetを添付、マクロを有効化するとEmotetに感染するといった攻撃手法です。最近では、特定のフォルダにExcelファイルをコピーして開かせるように促す指示がファイル内に記載されており、指示に従うとマクロが強制的に実行されてしまう、という例もあります。少なくとも「コンテンツの有効化」(マクロの有効化)は、決してクリックしないよう気を付けましょう。
第3位 サプライチェーンの弱点を悪用した攻撃(前回3位)
第3位として予想したのは、サプライチェーン攻撃です。
★サプライチェーン攻撃って?
標的企業の子会社や関連企業を経由して、標的企業のネットワークに侵入する攻撃。
大手自動車メーカー関連企業にランサムウェア攻撃が仕掛けられた事例は、皆さんの記憶に残っているのではないでしょうか。こちらの事例も、国内全工場が稼働停止に追い込まれた結果から、サプライチェーン攻撃に分類されています。
最近の動向としては、OSS(オープンソースソフトウェア)を狙った攻撃が増えています。標的企業が利用するOSSにバックドアを仕込み、ウイルスを仕込んだソフトウェアを配布することで感染させ、攻撃者は標的企業内部に侵入します。
★OSSって?
ソースコードが公開され、誰でも改良・再配布・利用することができる
無料のソフトウェアプログラム。
第4位 内部不正による情報漏えい(前回5位)
昨年、大手回転寿司チェーンの社長が、前職である競合他社から持ち出した営業秘密データを使用し、逮捕されたことが話題となりました。
内部不正による情報漏えいには、在職中のアカウントを使用し不正に情報を取得するなどの手口があります。この脅威は2022年の情報セキュリティ脅威ランキングでも第5位にランクインしており、重大な脅威であることが覗えます。内部犯行のため、マルウェアなど外部の攻撃に対する対策では、防ぎようがありません。重要情報のアクセス権限の限定、異動・離職者のアカウントを適切に管理・監査することなどが対策として挙げられます。
さいごに
以上、新米エバンジェリストによる情報セキュリティ脅威2023予想は、いかがでしたか?
本記事でもいくつか事例に触れましたが、2022年に話題となったセキュリティニュースを振り返ってみても、昨年から攻撃の流れは大きく変わらないのでは……?というのが私の予想です。
皆さんもぜひ、2022年のサイバー攻撃を振り返って予想してみてください。
情報セキュリティ10大脅威2023年が公開されましたら、予想が合っていたか結果を投稿しますので、お楽しみに!
