IPA 独立行政法人情報処理推進機構が、「情報セキュリティ10大脅威 2023」を発表しました。
2022年に発生、社会的に影響の大きかったセキュリティ脅威をまとめたもので、「組織」に関するランキングはそれぞれ以下のとおりです。
サプライチェーンの弱点を悪用した攻撃
「サプライチェーンの弱点を悪用した攻撃」が、2022年の3位から2位に上がっています。
サプライチェーンとは、商品の企画・開発から、調達、製造、在庫管理、物流、販売までの一連のプロセス、およびこの商流に関わる組織群のことを意味します。
本来標的としている企業・組織よりもセキュリティが脆弱な取引先や委託先、海外現地法人を含む国内外の子会社等を攻撃し、その組織が保有している標的とする企業・組織の機密情報等を窃取する傾向が明らかになっています。
サプライチェーンの脆弱な部分を攻撃し、そこを経由して間接的および段階的に標的を狙う。外部に対しては強固なセキュリティ対策を行っている大企業でもサプライチェーン上の取引先や導入しているソフトウェア、サービス等を足掛かりとされることで、攻撃者の侵入を許してしまう可能性が高まります。
信頼できる委託先、取引先、サービスの選定、商流に関わる組織やサービスの信頼性評価や品質基準を導入し、定期的に監査を行うなどサプライチェーン全体でセキュリティレベルを向上させていくことが肝要です。
内部不正による情報漏えい
転職先への機密情報の持ち出しなどの内部関係者による情報漏えいや悪用等の不正行為が発生。また、情報管理の規則を守らずに情報を持ち出し、紛失や情報漏えいにつながるケースも発生し続けており、これらを防ぐのは容易ではありません。
業務上使用する重要な情報資産を明確にし、その運用ルールを徹底すること。そして定期的に社内教育を実施するなど啓蒙活動を継続的に行うなどして、情報漏えいを未然に防ぐ意識づけを地道に続けていくことが求められます。
また、情報セキュリティ事故は、起こることを前提にして対策(適切な報告/連絡/相談など)を事前に検討、策定しておくことが肝要です。
犯罪のビジネス化
犯罪に使用するためのサービスやツール、ID やパスワードの情報等がアンダーグラウンド市場で取り引きされ、これらを悪用した攻撃が行われています。新たなランサムウェアを作成できるサービスを利用することで、サイバー攻撃の初心者でも容易にランサムウェア攻撃を行うことができます。他にもオンライン銀行詐欺ツール、DDoS(分散型サービス妨害)攻撃代 行 サ ー ビ ス など多岐に渡ります。こうした犯罪者向けサービスは今後も増加していくことが予想され、サイバー攻撃のさらなる増加につながると考えられます。
被害の予防として、DDoS 攻撃の影響を緩和する ISP(インターネットサービスプロバイダ)のサービス利用やシステムの冗長化等の軽減策が考えられます。
合わせて、日頃からアンダーグラウンドの犯罪者の活動に関する情報を入手するなどして、インシデント発生時の対応体制を更新・整備しておくことが肝要です。