No302 「情報セキュリティ10大脅威2023」
例年2月には、IPAから「情報セキュリティ10大脅威」が発表され、3月にはその解説書が公開されています。
遅くなってしまいましたが、その2023年版である「情報セキュリティ10大脅威2023」の内容を紹介します。
IPAとは?
既に耳にタコという愛読者もおられると思いますが、改めてIPAについて紹介しておきます。IPAという組織はこのメルマガで今までに何度も登場してもらっています。
https://www.ipa.go.jp
URLにある通り、末尾が go.jp なのですが、このgo.jpってご存知でしょうか?
これは、日本国や日本政府(goverment)に関連するサイトだけが使えるドメインで、一般企業や団体がgo.jpで終わるドメインを申請しても認可されません。
IPAもそういった機関の一つで、正式名称は「独立行政法人 情報処理推進機構」と言うものです。ここは、情報処理技術者試験の実施や情報セキュリティの啓蒙推進を主目的に設立されています。
なんちゃら機構だとか独立行政法人などといわれると、融通のきかない形式主義的な組織をイメージする方も多いでしょう。
ま、実際IPAも税金で運営されている団体ですのでその傾向はあります。
それでも、IPAが発表する内容は信頼度が高く、筆者も信頼できる情報元としてよく参照しています。
また、啓蒙記事をマンガ形式や動画形式にするなど、一般の方に近づこうとする姿勢に筆者は好感を持っています。(それが本当に目的を達しているかは少々怪しいですが...)
情報セキュリティ10大脅威とは?
そのIPAが毎年2月に発表しているのが「情報セキュリティ10大脅威」というものです。
これは、毎年のセキュリティ事故や事件の中でも社会的に影響が大きかったもののベスト10(というかワースト10)を有識者の審議と投票で決めたものです。
10大脅威の順位発表が2月に行われ、3月には詳細版である解説書が公表されます。
いずれも無料配布され、WebでもPDFが公開されています。
「情報セキュリティ10大脅威 2023」
https://www.ipa.go.jp/security/10threats/10threats2023.html
さて、このメルマガでは今までこの冊子を読者の皆様にもご覧いただくようにオススメしていましたが、今回からは、少々スタンスを変えています。
従来まで:全ての方にオススメ
↓
今回から:情報セキュリティ対策に強い興味がある方にオススメ。
企業の情報セキュリティ担当の方など、セキュリティ対策を考える立場の方には現在の攻撃のトレンドを知るため、基礎知識を再確認するために、ご一読をオススメするのは従来通りです。
ですが、パソコン(PC)の利用者に過ぎない方にとっては、やはり前提としている知識が結構あります。そのため、一般利用者へのオススメは止めたいと思います。
そうはいっても、好気心旺盛な本メルマガの読者の皆様には得るものも多いはずです。
読み易いところから紐解くのでも良いと思いますので、是非トライしてみてください。
さて、前置きが長くなりました。
本メルマガではこの10大脅威については例年、詳しく解説をしていますが、今回はスタイルを変え、大きなトピックだけを取り上げます。
2023年版の注目点は?
「情報セキュリティ10大脅威」では、社会への影響度によって1位から10位を、個人と組織という二つの視点でそれぞれ定めています。
なお、10大脅威の冊子にも書かれていますが、この順位は討議に参加した有識者による投票結果ですので、上位に対応できていれば大丈夫というものではありません。
組織向けの10大脅威
1位 ランサムウェアによる被害(前年1位)
2位 サプライチェーンの弱点を悪用した攻撃(前年3位)
3位 標的型攻撃による機密情報の窃取(前年2位)
4位 内部不正による情報漏えい(前年5位)
5位 テレワーク等のニューノーマルな働き方を狙った攻撃(前年4位)
6位 修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃)(前年7位)
7位 ビジネスメール詐欺による金銭被害(前年8位)
8位 脆弱性対策情報の公開に伴う悪用増加(前年6位)
9位 不注意による情報漏えい等の被害(前年10位)
10位 犯罪のビジネス化(アンダーグラウンドサービス)(初登場)
個人向けの10大脅威
1位 フィッシングによる個人情報等の詐取
2位 ネット上の誹謗・中傷・デマ
3位 メールやSMS等を使った脅迫・詐欺の手口による金銭要求
4位 クレジットカード情報の不正利用
5位 スマホ決済の不正利用
6位 偽警告によるインターネット詐欺
7位 不正アプリによるスマートフォン利用者への被害
8位 インターネット上のサービスからの個人情報の窃取
9位 インターネットバンキングの不正利用
10位 ワンクリック請求等の不正請求による金銭被害
※個人向けについては、1~9位は前年と順位変わらず。10位のみ入れ変わり。
例年一つか二つの新脅威がリストに加わり、その他は順位が多少上下するというパターンですが、さらにその傾向が強くなっていて、順位の固定化が進んでいる印象です。
組織向けも個人向けも1位が前年と同じです。
表現は同じでも、手法は少しずつ変化し、悪質化しています。
犯罪者側の組織化
今回筆者の目を引いたのは組織向けの10位に入った「犯罪のビジネス化」です。
前々回のメルマガで、Emotetについての注意喚起を行いましたが、これなどまさに犯罪者たちが協力して作り上げた分業体制です。
「No300 Emotetがまたしても猛威をふるっています」
https://note.com/egao_it/n/n79e03c17d1f6
例えば、Emotetというマルウェアの基盤を提供する犯罪者チームは、他のマルウェアを拡散させたい犯罪者チームに、Emotetの使用権を販売するわけです。
それだけではありません。
メールアドレスやパスワードといった個人情報を収集するチーム、マルウェア作成キットを作るチーム未知の脆弱性を調査するチーム、ボットネット(他人のパソコンやサーバを勝手に利用して、メールを大量に送付したり、特定サーバへの攻撃を行うための仕組み)を運営するチームなどなど。
他の犯罪者チームに自分達の成果(いずれも犯罪ですが)を販売して儲けるわけです。
もちろん、通常のインターネットの世界でこんなことをすればスグに見つかります。
ダークウェブなどと呼ばれるアンダーグラウンドで発見されにくいネットワークを彼らなりに構築し、その中で商売を行っているのです。
こういった商売は主にマフィアなどのアングラ勢力が仕切っています。
彼らにとっては、これは趣味や片手間の仕事ではなく、組織のビジネスなのです。
今後も、超人的ハッカーによってとてつもない仕組みのソフトウェアが生み出されることでしょう。
ですが、それは少数派になっていき、逆に平凡なソフトウェアでも、それを資金力で改良(悪質化)し、流通させるスタイルが主流になっていくと筆者は思います。
愉快犯による情報セキュリティインシデント(事件、事故)はすでに過去の話です。現代は犯罪組織によるビジネスとしてカネを得るためのインシデントが中心です。
これがランサムウェアのような(カネになる)インシデントが多数派を占めるようになった理由だと筆者は考えています。
まとめ
IPAという独立行政法人が毎年2月~3月に「情報セキュリティ10大脅威」という冊子を刊行し、WebでもPDFの形で公開しています。
今回は2023年版の10大脅威(組織編、個人編)を紹介しました。
ここ数年と同様に順位の大きな変動はありませんでした。
ですが、順位の固定化は決して喜ばしいことではありません。
これは犯罪行為をビジネスとして推進している勢力が増え、結果としてランサムウェアといった特定の攻撃方法がビジネス手法として採用されることが増えていることを示しています。
つまり、より効果的で手早くカネになる攻撃方法が生き残っているわけです。
実際に、組織向けの10位には「犯罪のビジネス化」が挙がっており、今後はますます攻撃が激しくなってくるものと思われます。
情報セキュリティ対策はますます大切で難しいものとなっていくことでしょう。
それでも、防禦をやめるわけにはいきません。
皆さんの知識のレベルアップの一助となるべく、当メルマガも精進いたします。
次回もお楽しみに。
(本稿は 2023年4月に作成しました)