IPA(情報処理推進機構)は毎年、前年において社会的影響が大きかったサイバー攻撃に関する情報をまとめたレポート「情報セキュリティ10大脅威」を発表しています。2020年4月、IPAより最新のレポートが発表されたので、本記事ではレポートを参考にしながら、警戒すべきサイバー攻撃についてご紹介します。
参考資料:IPA『情報セキュリティ10大脅威 2020』
情報セキュリティ10大脅威 2020(個人の部)
それでは早速、2019年に影響が大きかった脅威、サイバー攻撃をご紹介します。
|
順位 |
個人 |
昨年順位 |
|
1位 |
スマホ決済の不正利用 |
NEW |
|
2位 |
フィッシングによる個人情報の詐取 |
2位 |
|
3位 |
クレジットカード情報の不正利用 |
1位 |
|
4位 |
インターネットバンキングの不正利用 |
7位 |
|
5位 |
メールやSMS等を使った脅迫・詐欺の手口による金銭要求 |
4位 |
|
6位 |
不正アプリによるスマートフォン利用者への被害 |
3位 |
|
7位 |
ネット上の誹謗・中傷・デマ |
5位 |
|
8位 |
インターネット上のサービスへの不正ログイン |
8位 |
|
9位 |
偽警告によるインターネット詐欺 |
6位 |
|
10位 |
インターネット上のサービスからの個人情報の窃取 |
12位 |
引用:『情報セキュリティ10大脅威 2020』
まず、個人の部で1位にランクインしたのが「スマホ決済の不正利用」であり、情報セキュリティ10大脅威初登場にしてトップとなりました。その理由は、昨年10月からスタートした消費税増税に伴い、政府が提供したキャッシュレス決済のポイント還元制度に関係しています。
消費税増税による消費に冷え込みを抑えるため、加えてキャッシュレス決済の普及によるサービス利便性の向上を図るために、加盟したキャッシュレス決済サービスを利用することで、5%または2%のポイントが還元される制度が増税と同時にスタートしました。
これに伴い、多くのキャッシュレス決済サービスが誕生したものの、同時にサイバー攻撃によるリスクを増大させます。具体的には昨年7月にサービスをスタートさせた7pay(セブンイレブン&アイホールディングス)が不正アクセスを受け、クレジットカードからの不正チャージやチャージされた残高を不正利用されるなどの被害が709名で発生し、合計3,861万5,473円の被害を受けています。
不正アクセスの原因はリスト型攻撃と断定され、他のウェブサービスなどから不正に入手したアカウントおよびパスワードにより発生しました。キャッシュレス決済の利用率はなおも拡大しているので、2020年はさらなる警戒が必要とされています。
そのほかの脅威に関しては、フィッシング詐欺やクレジットカード情報の不正利用などが上位を占める結果となりました。
【解説】Webセキュリティ ~Webサイトを取り巻く脅威と対策~
安心・安全なWebサイトの運営に欠かせない脆弱性対策、WAFによる対策について解説します。
情報セキュリティ10大脅威 2020(組織の部)
次に、組織においてどのような脅威、サイバー攻撃に注意が必要かを見ていきましょう。
|
順位 |
組織 |
昨年順位 |
|
1位 |
標的型攻撃による機密情報の窃取 |
1位 |
|
2位 |
内部不正による情報漏えい |
5位 |
|
3位 |
ビジネスメール詐欺による金銭被害 |
2位 |
|
4位 |
サプライチェーンの弱点を悪用した攻撃 |
4位 |
|
5位 |
ランサムウェアによる被害 |
3位 |
|
6位 |
予期せぬIT基盤の障害に伴う業務停止 |
16位 |
|
7位 |
不注意による情報漏えい(規則は遵守) |
10位 |
|
8位 |
インターネット上のサービスからの個人情報の窃取 |
7位 |
|
9位 |
IoT機器の不正利用 |
8位 |
|
10位 |
サービス妨害攻撃によるサービスの停止 |
6位 |
前年同様「標的型攻撃による機密情報の窃取」が1位にランクインしています。標的型攻撃とは、特定の組織や人にターゲットを絞って実行されるサイバー攻撃の総称であり、日本では2015年の日本年金機構にて発生した個人情報流出事件によって広く知られるようになりました。
標的型攻撃が長い間恐れられている理由は、手口が年々巧妙化しているほか、決定的な対策が打てない点です。攻撃者はターゲットを決めると身辺調査を実施して、その組織や人が属している環境に関する知識を身につけます。手口としてよく使われる標的型攻撃メールでは、顧客や関係者を偽装した電子メールを送信し、添付されたマルウェア感染ファイルを自ら実行させることで端末を感染させます。それだけでは終わりません。攻撃者は端末にバックドア(侵入経路を確保するための裏口となるプログラム)を仕掛け、端末を不正に操作した上で社内ネットワークへ侵入します。短い期間で1週間程度、長ければ数ヶ月にわたって潜伏し、秘密裏に機密情報や個人情報を外部へと送信するのです。
警察庁によると、2019年上半期だけで標的型攻撃と思われる電子メールを2,687件も把握しています。しかし、これらはあくまで氷山の一角。実際に組織や個人に送りつけられている標的型攻撃メールの年間件数は、もはや把握が不可能なほどの数です。
出典:警察庁『令和元年上半期におけるサイバー空間をめぐる脅威の情勢等について』
このほか、前年から大きく順位を上げて警戒が必要な脅威が「内部不正による情報漏洩」と「予期せぬIT基盤の障害に伴う業務停止」です。内部不正への警戒は長年叫ばれてきたものですが、最近になり内部不正による情報漏洩事件が増えています。また、IT基盤の障害に起因する業務停止に関してはサイバー攻撃とは異なるものの、組織としての重要な機密情報や個人情報を失う恐れがあるため順位を上げています。近年、古いIT基盤を運用し続けるレガシーシステムの問題が深刻になっているのも順位を引き上げた理由でしょう。
WAFによるサイバー攻撃対策
サイバー攻撃は日常に潜む脅威です。経営者やIT管理者はそれを十二分に理解した上で、適切な対策を講じなければいけません。「大丈夫。我が社は基本的なセキュリティソフト導入からファイアウォールやIPS/IDSの設置、そのほかの監視ソリューションの導入により万全を期している。」と自信を持っている方も多いでしょう。それは、本当に「万全だ」と言い切れるでしょうか?
実は、社内ネットワークへの侵入防止や端末におけるエンドポイントセキュリティに力を入れていて、万全な対策が施されているように見える企業の中にも、ウェブアプリケーションの保護が疎かになっているケースが少なくありません。SQLインジェクション、クロスサイトスクリプティング、ディレクトリトラバーサル、OSコマンドインジェクションなど、聞いたことのあるサイバー攻撃も多いのではないでしょうか。これらは全てウェブアプリケーションの脆弱性を狙ったものであり、ウェブサービスを提供している企業にとっては必須の対策といえます。ちなみに、ウイルス対策ソフトやファイアウォールなどの対策では、ウェブアプリケーション層に対する攻撃を防ぐことはできないため、危険性は高いままです。
そこでWAF(Web Application Firewall:ウェブアプリケーションファイアウォール)の導入をお勧めします。WAFはウェブアプリケーションの保護に特化したセキュリティ製品であり、前述したサイバー攻撃やその他ウェブアプリケーションの脆弱性を狙った様々な攻撃からウェブサイトを保護します。
組織の部で8位にランクインしている「インターネット上のサービスからの個人情報の窃取」のような不正アクセスによる情報漏えい対策のほか、ウェブサイトの改ざんを未然に防ぐ対策としても有効です。今一度セキュリティ対策を見つめ直し、ぜひWAF導入を検討してみてください。
WAFとは
Webアプリケーションファイアウォール(WAF:Web Application Firewall)は、ウェブサイトに対するアプリケーションレイヤの攻撃対策に特化したセキュリティ対策です。
この記事に関する製品のご紹介
ホスト型WAF「SiteGuard Server Edition」
SiteGuard Server Editionは、ウェブサーバーのモジュールとして動作するホスト型WAF製品です。Webサーバー自体にインストールするため、専用ハードウェアが必要ありません。ネットワーク構成を変更せず、できるだけシンプルに導入したいお客様に最適な製品です。
詳細はこちら
