「情報セキュリティ10大脅威 2022」は、2021年に発生した社会的に影響が大きかったと考えられる情報セキュリティにおける事案から、
IPAが脅威候補を選出し、情報セキュリティ分野の研究者、企業の実務担当者など約150名のメンバーからなる「10大脅威選考会」が
脅威候補に対して審議・投票を行い、決定したものです。

2022年1月27日、IPA(独立行政法人情報処理推進機構)から、「情報セキュリティ10大脅威 2022」が公開されました。

情報セキュリティ10大脅威 2022:IPA 独立行政法人 情報処理推進機構
https://www.ipa.go.jp/security/vuln/10threats2022.html

「個人編」と「組織編」に分かれてランキングされていますが、今回は会社や団体組織に所属する方へ向けて、「組織編」のランキングを一部ご紹介します。
■情報セキュリティ10大脅威 2022「組織編」の概要をご紹介!
組織編のランキングは、10大脅威のうち9つの脅威が昨年と同じ内容でした。
特筆すべきは以下2点です。(詳細は後述します。)

1.1位と2位は昨年度と順位が変わってない
1位は「ランサムウェアによる被害」、2位は「標的型攻撃による機密情報の窃取」です。
どちらも昨年と同じ順位でした。ニュースでも大きな事件の報道が絶えませんが、メールを介した深刻な被害が注目を集めていると言えるでしょう。

2. 修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃)が7位に初めてランクイン
ゼロデイ攻撃は従来からあった脅威です。しかし、昨年は数多くのニュースサイトでも取り上げられました。
それだけ、組織や社会への影響が非常に大きかったということです。
1位、2位、7位の脅威について、簡単にご紹介します。
 
■1位「ランサムウェアによる被害」(昨年も1位)
「ランサムウェア(身代金要求型ウイルス)」とは、コンピュータウイルス(コンピュータに侵入する特殊なプログラム)の一種です。
パソコンやスマートフォンなどに侵入後、データを暗号化(勝手にパスワードをかける)し、使えないようにします。
近年は暗号化するだけでなく、データを公開すると脅したりして、身代金を支払わざるを得ないような状況を作り出します。
2位にランクインした「標的型攻撃」の攻撃用ツールとして用いられることもあります。
国内の企業や病院、自治体などのランサムウェア被害が報道され、大きな話題となりました。
2021年に発生したランサムウェアの被害数は、警察庁のまとめによると「146件」だそうです。
前の年と比較可能な7~12月(85件)だけでも4倍に増えており、猛威を振るっていることがわかります。
ランサムウエア被害急増、昨年146件 警察庁: 日本経済新聞
https://www.nikkei.com/article/DGXZQOUE102YL0Q2A210C2000000/
 
ここ数年はコロナ禍でテレワークやメールのやりとりが今まで以上に増え、攻撃者からすると「狙いやすく攻撃しやすい」環境が整っています。
企業や組織がランサムウェアに感染すると、業務の停止や復旧までに時間やお金がかかる等、損失が発生します。
また、病院や教育機関、自治体などが攻撃されると、医療、教育、公的サービスの停止など、社会インフラに大きな影響が出る場合も想定されます。
ウイルス対策、不正アクセス対策、脆弱性対策などの基本的な対策と合わせ、
被害にあっても事業を安全に継続できる準備(バックアップの取得、復旧計画の策定など)が必要です。
ランサムウェア被害防止対策:警視庁サイバー犯罪プロジェクト
https://www.npa.go.jp/cyber/ransom/index.html
 
■2位「標的型攻撃による機密情報の窃取」(昨年も2位)
「標的型攻撃」とは、メールやウェブサイトを利用し、パソコンやスマートフォンなどをコンピュータウイルスに感染させる攻撃のことです。
どんなウイルスに感染させるかは、攻撃者次第です。最近は1位にランクインした「ランサムウェア」も多く用いられます。
また、「標的型」のとおり、無差別でなく狙いを定めた組織に対して攻撃が行われるのも大きな特徴です。
 
■7位「修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃)」(7位、初ランクイン)
ゼロデイ攻撃とは、ソフトやアプリに脆弱性(セキュリティ上の重大な欠陥)が見つかった際、修正プログラムが提供されるまでの間、
脆弱性を悪用し行われる攻撃のことです。
家に例えると、
「家の死角に見つかった大きな穴」が"脆弱性(セキュリティホール)"、
「穴を塞ぐまでの期間」が"修正プログラムが提供されるまでの間"、
「穴を塞ぐまで、穴から泥棒やセールスマンが勝手に入ってくる」が"ゼロデイ攻撃"です。
2021年12月9日、からプログラム言語「Java」のログ出力ライブラリである「Apache Log4j」の脆弱性対策情報が公開されました。
Web担当者の方で対応に苦心された方もいらしたことでしょう。
Apache Log4jの任意のコード実行の脆弱性(CVE-2021-44228)に関する注意喚起
https://www.jpcert.or.jp/at/2021/at210050.html
 
 「ApacheLog4j」はWebサイトを公開するためのサーバーなどで頻繁に用いられます。
また、世界中で広く使われているため、大きな話題となりました。
ゼロデイ攻撃は脆弱性が公開された時点で攻撃されてしまいます。
修正プログラムが提供されるまで対処ができません。
日頃からの脆弱性対策と外部からの侵入を検知/防御する機器を導入するなどの備えが重要です。
 
 今回は、「情報セキュリティ10大脅威」について、簡単にご紹介しました。
脅威はそれぞれ独立しておらず、関連性が高い場合もあります。(1位と2位など)
また、組織により、気になった脅威は様々なことと思います。
ぜひ「情報セキュリティ10大脅威」をご一読いただき、皆さまの組織に合った対策を進めていただければ幸甚です。
紹介できなかった他の脅威も、後日改めて詳しくご紹介したいと思います。
 
ソフトアカデミーあおもりは、民間企業や団体など、組織向け情報セキュリティ研修やセミナーの開催実績があります。
ご関心がある方はアイビズ事務局(当社 教育課)まで、お気軽にお問合せください。
 
余談
IPAでは、情報セキュリティ10大脅威の「解説書」も公開されています。
解説書は実際の事例や対策方法がわかりやすく簡潔にまとまっており、ITに明るくない方でも非常に読みやすいです。
「情報セキュリティ10大脅威 2022」解説書
https://www.ipa.go.jp/files/000096258.pdf
 
今年のサブタイトルは
「~誰かが対策をしてくれている。そんなウマい話は、ありません!!~」です。
昨年はインターネット上で「ウマ」が大変流行りました。
これは中々「ウマい」タイトルだ、本記事の担当は思わず膝を打ちました。
皆さまも「ウマい話」にはご注意を!

j94 4 1 7343b