先日、独立行政法人情報処理推進機構(IPA)から「情報セキュリティ10大脅威2017」が発表されました。このレポートは毎年、情報セキュリティ分野の研究者、企業などの実務担当者などから構成される「10大脅威選考会」メンバーの審議・投票によって、その年度で社会的影響が大きかった情報セキュリティ上の脅威トップ10を選出したものです。今年も昨年と同様、影響を受ける対象として「組織」と「個人」それぞれの分類で10大脅威が選定されています。
・「組織」:企業 、政府機関・公共団体などの組織、およびその組織内のユーザー
・「個人」:スマートフォンやパソコンでインターネットを利用する一般ユーザー

今回の発表は順位と項目のみで、例年と異なり概要がほとんど記載されていません。そのため今回のブログでは、「組織」に対する10大脅威に注目して、弊社の視点で確認します。

「情報セキュリティ10大脅威2017」の選出項目

今回選出された10大脅威は、以下の通りです。

全体を見ると、選出された項目は前年度とほぼ同様でした。また、順位も
「組織」の1位:標的型攻撃による情報流出
「個人」の1位:インターネットバンキングやクレジットカード情報の不正利用
をはじめ、全体的にあまり変動がないようです。
こうした中で注目されるのがIoT機器に対する脅威であり、「組織」「個人」のどちらにもランクインしました。これは2016年後半に発生した、ウィルス感染したIoT機器によってDDos攻撃を受けたことによるサービス遅延等の事件が影響していると考えられます。

「組織」の10大脅威について

前述のように今回のIPAの発表では説明等がほとんどされていないので、弊社の視点に基づく解説をしようと思います。

第1位「標的型攻撃による情報流出」

昨年から引き続き第1位となったのは「標的型攻撃による情報流出」でした。これは2015年に日本年金機構、2016年にJTBにおいて大量の個人情報が漏えいしたとされる事件の影響が大きいのではと考えます。攻撃対象となる企業や組織のPCにウィルスを感染させ、内部ネットワークの状況を調査したり、外部からPC を遠隔操作して内部情報を窃取したりする等のサイバー攻撃です。近年は標的型攻撃を行うために送付されるメールが日常のビジネスメールと遜色ない内容である等、手口が巧妙化しています。また、恐らくは標的型攻撃を受けていることが分からないまま重要情報を搾取されているケースも多いのではと危惧しております。

第2位「ランサムウェアによる被害」

第2位の「ランサムウェアによる被害」は前年から大きく順位を上げました。ランサムウェアとはマルウェアの一種であり、PCに感染するとファイルを暗号化した上で、暗号解除のための金銭を要求するメッセージを表示します。暗号化されたファイルはPCの所有者が使用することはできなくなり、かつ金銭を払ってもファイルが元通りになる保証はありません。企業や組織の場合、PCに常時接続されているファイルサーバーのデータも暗号化されるため、ランサムウェアに感染すると業務の継続が困難になる可能性があります。
ランサムウェアの被害も年々増加傾向にあるため、上位にランキングされる結果になったと考えられます。

第3位「ウェブサービスからの個人情報の窃取」

第3位の「ウェブサービスからの個人情報の窃取」は、インターネット上で会員サービス等を提供するウェブサイトの脆弱性を突くことで、当該ウェブサービスが保有する住所、氏名やID、パスワード、クレジットカード番号などの情報を窃取するサイバー攻撃です。攻撃手法も高度化している一方で、基本的なセキュリティ対策が行われていなかったり、セキュリティパッチの更新が行われていなかったりするウェブサイトも数多く存在していることから、被害はなかなか減らないのが実状です。

第4位「サービス妨害攻撃によるサービスの停止」

第4位の「サービス妨害攻撃によるサービスの停止」は昨年と同様の順位でした。一般にはDDoS(Distributed Denial of Service attack)攻撃として知られている、サイバー攻撃者に乗っ取られた多数の機器から攻撃対象のサイトに大量のデータを送信して機器やネットワークを飽和状態にすることで、当該ウェブサイトが提供するサービスを利用できなくする攻撃手法です。ハッカー集団のAnonymousがイルカ漁に抗議して国内の中央省庁や大企業などを狙った「オペレーション・キリングベイ」もこれに含まれます。

第5位「内部不正による情報漏えいとそれに伴う業務停止」

第5位の「内部不正による情報漏えいとそれに伴う業務停止」は昨年の2位から順位が落ちました。これはこうした事件が減少していることを意味するのではありません。悪意のある組織内部の人間によって重要情報を外部に持ち出す方が、外部から不正アクセスするよりもはるかに実行が容易であるため、内部不正の事件がなくなることはありません。問題は内部不正による情報漏えいが行われたかどうかもわからないような統制環境にあります。予防的な対策としての職務分掌の定義や情報システムに対するアクセス権の設定はもちろんですが、アクセスログのモニタリング等の運用上の施策も十分に行うことが必要です。また、重要情報にアクセス可能な委託業者等の適切な監督も必要です。

第6位「ウェブサイトの改ざん」

第6位の「ウェブサイトの改ざん」については、前年とほぼ同様の順位でした。以前は愉快犯等による表面的な改ざんが注目されていましたが、近年は見た目上は判別できないウェブサイトの改ざんが増加しています。こうした改ざんされたウェブページにアクセスすると、閲覧するだけでウィルスに感染させたり、クリックしてフィッシングサイトに誘導されたり、といった事象が発生します。こうしたウェブサイトの改ざんをされたサイトの所有者は被害者であるとともに、ウェブサイトにアクセスしたユーザーに対しては加害者となることから、企業や組織に与えるダメージは大きくなります。

第7位「ウェブサービスへの不正ログイン」

第7位の「ウェブサービスへの不正ログイン」は、何らかの方法で搾取されたIDとパスワードによってなりすまされて不正にログインされ、サービスを不正利用されることを指します。近年問題になっているのは、利用者が同じIDとパスワードを複数のウェブサービスで使い回している場合、どこか1か所で認証情報が漏れると芋づる式に他のウェブサービスでも不正ログインが行われ、被害が拡大することです。ウェブサービスの利用者はパスワード管理の重要性を認識する必要があります。

第8位「IoT機器の脆弱性の顕在化」

第8位の「IoT機器の脆弱性の顕在化」は今年初めて10大脅威にランクインしました。今年は自動車、情報家電、様々なセンサー等がインターネットに接続されるIoTが注目され、様々なサービスが提供されていますが、こうした便利な仕組みが世間に広がるとセキュリティ上の脅威も同じように大きくなるものです。いわゆるサイバー攻撃はPCに対して行われるという思い込みが強いとIoT機器に対するセキュリティ意識が低くなる傾向があります。その結果、サイバー攻撃者はセキュリティの脆弱なIoT機器を乗っ取ってサイバー攻撃を行うことが可能となりました。2016年秋に発生したDNSサービスに対するDDoS攻撃でTwitterやAmazonなどのサービスが利用しにくくなる事件が発生しましたが、その原因は「Mirai」と呼ばれるマルウェアに感染した10万台以上のIoT機器が一斉にDDos攻撃を行ったことによります。IoTによるサービス提供は拡大する一方で、多くのIoT機器が脆弱なセキュリティのまま取り残されていることから、今後もIoT機器を経由したサイバー攻撃が増加することが危惧されます。

第9位「攻撃のビジネス化(アンダーグラウンドサービス)」

第9位の「攻撃のビジネス化(アンダーグラウンドサービス)」は今年初めて登場した項目です。従来、サイバー攻撃は個人やグループが独自に攻撃ツールやマルウェアを開発して攻撃を行っていました。また、その動機も政治的信条や愉快犯といった内容が主でした。しかし、特に昨年より、サイバー攻撃の目的は金銭の不正取得にシフトしており、これに伴って急速にビジネス化が進んでいます。攻撃ツールやマルウェアの開発者は今や自ら攻撃を行わず、アンダーグラウンドのマーケットで開発したツールやマルウェア、及び攻撃のマニュアルを販売します。これを購入した攻撃者がマニュアルに従ってサイバー攻撃を行って金銭や個人情報、技術情報等を不正取得します。取得した個人情報や技術情報等はアンダーグラウンドマーケットで販売し、次の攻撃を行う資金とします。この結果、サイバー攻撃への参入ハードルは低くなり、技術的な知識がなくてもサイバー攻撃を行うことが可能となります。また、セキュリティが脆弱なウェブサイトや企業ネットワークであれば何処でも攻撃対象となります。今後こうした無差別なサイバー攻撃が増加することが想定されます。

第10位「インターネットバンキングやクレジットカード情報の不正利用」

第10位の「インターネットバンキングやクレジットカード情報の不正利用」は昨年より順が落ちました。ウィルス感染やフィッシングによってインターネットバンキングの認証情報やクレジットカード情報が窃取され、なりすましによって不正送金や不正利用されてしまう事象です。2016年は金融機関や企業のセキュリティ対策が進み、特に2015年に狙われていた地方銀行、信用金庫、信用組合などの被害が大きく減少した結果、法人全体としての被害金額は大幅に減少しました。しかし、不正送金の手口は年々複雑化、巧妙化しており、今後も被害が拡大しないとは言い切れません。また、その一方で個人口座に対する攻撃が強まり、被害金額は上昇傾向にあります。今後は個人のインターネットバンキング利用者に対する対策を強化する必要があります。

今回発表された情報セキュリティ10大脅威に基づく考察

まず注意していただきたいのはこの10大脅威の順位について、
 「上位」→脅威が大きい→対処の優先度を高く設定
 「下位」→脅威が小さい→対処の優先度を低く設定
と考えないことです。毎年この10大脅威を見ていると、「その年に話題になった」「その年で社会的影響が大きかった」という観点で選出され、順位付けされる傾向があるように感じます。例えば、「内部不正による情報漏えいとそれに伴う業務停止」は、昨年の2位から5位に順位が落ちました。これは内部不正による情報漏えい等の脅威が低くなったり、発生件数が減ったりしていることを意味するものではないことに留意すべきです。
また、10大脅威で取り上げられた個々の脅威がそれぞれ独立したものではなく、相互関連が高いことにも留意する必要があります。例えば、今年新規に追加された「IoT機器の脆弱性の顕在化」はサイバー攻撃の対象が増えると同時に、サイバー攻撃のために踏み台とする対象を多様化することにつながると考えます。
個人的にもっとも大きな課題だと考えるのは「攻撃のビジネス化(アンダーグラウンドサービス)」です。このことにより、これまでは一部のスキルの高い個人やAnonymousの様なハッカー集団によって行われていたサイバー攻撃が、さほどスキルを有さない一般の人々によって実行される様になります。こうした人々を犯罪に駆り立てるのは金銭的欲求のみです。企業や組織は無差別に行われるサイバー攻撃を防ぐため、より多大なコストが必要とされることが推測されます。

なお、今回発表された「情報セキュリティ10大脅威2017」の詳しい解説は3月下旬にIPAから発表を予定しているとのことです。後ほど確認をお願いできればと思います。
また、例年と同様に今年も2月1日~3月18日までを「サイバーセキュリティ月間」とし、サイバーセキュリティに関する様々な普及啓発が行われています。この機会に皆さんのセキュリティ対策の状況を確認してみては如何でしょうか。

参考
独立行政法人情報処理推進機構(IPA)「情報セキュリティ10大脅威 2017
内閣サイバーセキュリティセンター「2017年サイバーセキュリティ月間

上記内容に関するご相談やお問い合わせについては、「お問い合せ」のページからご連絡ください。

デルタエッジコンサルタントでは情報セキュリティ全般にわたっての
・脆弱生の可能性を確認する簡易診断
・情報セキュリティに関する現状評価や見直し支援、ルール等の作成支援
・情報セキュリティに関する研修や訓練等の支援
等のコンサルティングサービスを提供しております。
詳細は、こちらのページをご確認ください。
==>「情報セキュリティ対策支援サービス
興味や関心がございましたら、ぜひご連絡ください。

お問い合わせ