IPA「情報セキュリティ10大脅威2020」振り返り! 「10大脅威2021」もICT未来図編集部が独自予想!

セキュリティ

はじめまして、ICT未来図編集部のサイバーセキュリティ担当のYamaSanと申します。

今年1月、IPA(独立行政法人 情報処理推進機構)から「情報セキュリティ10大脅威2020」が公表されました。ICT未来図でも解説コラムを掲載しましたが、読んでいただけたでしょうか?

「2020年の情報セキュリティ脅威TOP10を詳しく解説!今知っておくべきリスクとその対策とは?」

「情報セキュリティ10大脅威2020」は、2019年に発生した情報セキュリティにおける事案をランキングしたものですが、今日はこの中からいくつかピックアップし、2020年に入ってからも引き続き発生し、世間を騒がせた脅威について振り返ってみたいと思います。

IPAから発表された「情報セキュリティ10大脅威2020」

情報セキュリティ10大脅威 2020年のランキング
1位 標的型攻撃による機密情報の窃取
2位 内部不正による情報漏えい
3位 ビジネスメール詐欺による金銭被害
4位 サプライチェーンの弱点を悪用した攻撃
5位 ランサムウェアによる被害
6位 予期せぬIT基盤の障害に伴う業務停止
7位 不注意による情報漏えい(規則は遵守)
8位 インターネット上のサービスからの個人情報の窃取
9位 IoT機器の不正利用
10位 サービス妨害攻撃によるサービスの停止

出典:https://www.ipa.go.jp/security/vuln/10threats2020.html

1位:標的型攻撃による機密情報の窃取


2016年から1位に君臨し続けるこの脅威
今年も「あの有名企業が!?」と驚くような情報セキュリティ事故が、多数発生してしまいました。それだけセキュリティ対策に終わりはないということなのでしょう。
ところで、ダークウェブで売買されている企業の認証情報は、どれくらいの値段かご存知でしょうか?
トレンドマイクロ社の調べによると、米大手企業システムへのアクセス情報であれば100万円程度だということです。
大手企業が100万円ですので、一般の企業であれば数十万円から数万円程度で購入できるでしょう。不謹慎ですが攻撃者にとって、その程度の投資で大きな見返りが得られるのであれば、よいコストパフォーマンスだと言えるでしょう。

猛威を振るったマルウェア「Emotet(エモテット)」

一旦は落ち着いたと思われたEmotetですが、また最近ニュースや新聞でよく目にするようになりました。名前は可愛いのですが、今までの標的型攻撃メールとは訳が違います。
これまでのやり取りを引用して、メールを送ってくるのでは見分けることが非常に困難です。

Emotetにより送付されるメールの特長

Emotetにより送付されるメールの特長

出典:情報処理推進機構「Emotetと呼ばれるウイルスへの感染を狙うメールについて」

来年もこの脅威に悩まれそうです。

標的型メールとフィッシングメールの違い

さまざまな見解がありますが、基本的に標的型メール攻撃は特定の組織や企業を狙い、フィッシングメールは不特定多数の個人を狙ったものだと言えます。フィッシングメールについては“ばらまき型”で、日本語に誤りが多く、見分けやすいのが特徴です。
最近では、世間を賑わせている携帯キャリアの電子マネー決済サービスに便乗したものも多いようですので、お気をつけください。

2位:内部不正による情報漏えい


特に目立ったニュースはありませんでしたが、テレワーク環境下ではこの脅威に注意が必要です。「不正のトライアングル」と言われるように、「機会」「動機」「正当化」の3つの要素が揃った時に、内部不正は発生しやすくなります。
特に今は、クラウドサービスを使って社員がどこからでも仕事ができるように環境を整備する企業が増えています。
社内の情報を外部に漏らされないよう、CASB(Cloud Access Security Broker)のようなソリューションを導入する企業が増えています。

5位:ランサムウェアによる被害


ランサムウェアは、マルウェアの中でもよく知られたものだと言えるでしょう。
海外では病院が狙われるケースが多く、米国とプエルトリコ、英国を合わせると400以上の病院がランサムウェアの被害にあったそうです。
病院は人命に直結するシステムが数多く存在します。早くこのランサムウェアの被害がおさまることを願ってやみません。

6位 予期せぬIT基盤の障害に伴う業務停止


「取引停止」「契約手続き困難」「復旧の目処立たず」。
このようなニュースを目にする度に「まさか、あの企業のサービスが止まるなんて!」と驚かれる方も多いことでしょう。
最近ではテレワークが普及し、数多くの企業がどこからでも繋がるクラウドサービスを使っています。もちろんサービスを提供する企業は、何重にも堅牢なシステムを構築していますが、やはり起きる時には起きてしまうもの。これからは起きてしまった場合のことも考える必要があるのです。いわゆる“BCP(事業継続計画)”が重要だということです。

7位 不注意による情報漏えい(規則は遵守)


人的ミスによる情報漏えいは一向に減りません。
ハインリッヒの法則と呼ばれるものがあります。「1件の重大な事故・災害の背後には、29件の軽微な事故・災害があり、その背景には300件の異常がある」という労働災害における経験則です。

ハインリッヒの法則

ハインリッヒの法則

昔はサーバー室にこの法則が書かれたポスターがよく貼られていました。
1回の不注意が、他インシデントの原因になっている可能性があります。
まだまだ人手が必要な仕事はたくさんありますので、指差し確認、声出し確認は必ず実施しましょう。

9位 IoT機器の不正利用


最近では、ご自宅でIoT家電を使われている方も多いでしょう。
「使ってない」と思っている方でも、これから使う機会が増えてくるはず。今はまだ目新しい機能かも知れませんが、数年後には当たり前になり、その普及に伴い、IoT家電を狙った攻撃が急増するのです。
ある日「帰宅したら、突然エアコンの冷房が暖房に変わっていて、飼っているペットが被害を受けた」などというニュースを目にする日が来るかもしれません。

Yamasan
Yamasan

さて、ここまでIPAの「情報セキュリティ10大脅威2020」について解説してきましたが、いかがだったでしょうか?
以下は、私ICT未来図編集部YamaSanが、独自に予想した「情報セキュリティ10大脅威2021」です。

ヤマさんが考える「情報セキュリティ10大脅威2021」
1位 標的型攻撃による被害
2位 脆弱なテレワーク環境を狙った脅威(NEW)
3位 ランサムウェアによる被害
4位 内部不正による情報漏えい
5位 企業を標的とするフェイクニュースの拡散(NEW)
6位 IoT機器の不正利用(5Gによる大規模化)(NEW)
7位 多要素認証技術を突破する新たな脅威(NEW)
8位 予期せぬIT基盤の障害に伴う業務停止
9位 不注意による情報漏えい(規則は順守)
10位 ビジネスメール詐欺
Yamasan
Yamasan

今年はテレワークを導入した企業が多かったため、来年はテレワーク環境を狙った脅威がランクインするのではと予想しています。
基本的にテレワークはインターネットに接続して業務を行いますが、インターネット上にはさまざまな脅威が潜んでいます。これまでのセキュリティ対策では間に合わないかもしれません。
セキュリティ対策は被害にあってからでは手遅れです。自ら情報収集をして、“先手”を打って対策していきましょう!

セキュリティに関するお問い合わせはこちらから

Cyber NEXT ロゴ
~あなたのそばにいつも寄り添う「Cyber NEXT」~

お問い合わせ

関連記事一覧