IPA(独立行政法人情報処理推進機構)は前年に発生した社会的に影響が大きかったと考えられる情報セキュリティにおける事案から脅威候補を選出し、情報セキュリティ分野の研究者など約200名により脅威候補に対して審議・投票を行い、『情報セキュリティ10大脅威』として発表しています。
本稿は、2024年2月29日に発表された『情報セキュリティ10大脅威 2024 解説書』をもとにそれぞれの項目を要約し、まとめました。
『情報セキュリティ10大脅威』には注目するべき脅威と、個人・組織が取り組むべきセキュリティ対策もまとめられています。最新のトレンドを把握し、適切なセキュリティ対策に取り組んでいきましょう。
情報セキュリティ10大脅威『個人』2024 概要
情報セキュリティ10大脅威は「個人」と「組織」に分類して発表しています。まず、最初に、情報セキュリティ10大脅威「個人」について確認していきましょう。
2023年まで、10大脅威には順位が掲載されていましたが、下位の脅威への対策が疎かになることを懸念し、2024年から順位は掲載せず、五十音順で掲載されるようになりました。
情報セキュリティ10大脅威 2024『個人』 |
初選出年 |
10大脅威での取り扱い(2016年以降) |
インターネット上のサービスからの個人情報の窃取 |
2016年 |
5年連続8回目 |
インターネット上のサービスへの不正ログイン |
2016年 |
9年連続9回目 |
クレジットカード情報の不正利用 |
2016年 |
9年連続9回目 |
スマホ決済の不正利用 |
2020年 |
5年連続5回目 |
偽警告によるインターネット詐欺 |
2020年 |
5年連続5回目 |
ネット上の誹謗・中傷・デマ |
2016年 |
9年連続9回目 |
フィッシングによる個人情報等の詐取 |
2019年 |
6年連続6回目 |
不正アプリによるスマートフォン利用者への被害 |
2016年 |
9年連続9回目 |
メールやSMS等を使った脅迫・詐欺の手口による金銭要求 |
2019年 |
6年連続6回目 |
ワンクリック請求等の不当請求による金銭被害 |
2016年 |
2年連続4回目 |
前年に発表された情報セキュリティ10大脅威「個人」と項目は同じでした。それでは、情報セキュリティ10大脅威「個人」で紹介されている内容について、一つずつ確認していきましょう。
インターネット上のサービスからの個人情報の窃取
ショッピングサイト(ECサイト)など、インターネット上のサービスへ不正アクセスや不正ログインを行い、サービスに登録している個人情報などの重要情報を窃取します。
攻撃者は適切なセキュリティ対策が行われていないショッピングサイトなどに対し、脆弱性や設定不備を悪用してWebサイトの個人情報などの重要情報を窃取します。
<予防、対策例>
・利用していないサービスの退会
・必須項目以外の情報を登録しない
・多要素認証の設定を有効化
・クレジットカード利用明細の定期的な確認 など
インターネット上のサービスへの不正ログイン
インターネット上のサービスのアカウントに対し、第三者が不正にログインを行い、アカウントの乗っ取りや、アカウントに紐づいた個人情報を窃取します。
攻撃者はIDとパスワードをダークウェブで購入するなど何らかの不正な方法で入手します。
<予防、対策例>
・不用意に添付ファイルの開封、メール、SMSのリンク、URLを開かない
・サービスのログイン履歴を定期的な確認
・多要素認証の設定を有効化
・クレジットカードやポイントなどの利用履歴の定期的な確認 など
クレジットカード情報の不正利用
フィッシング詐欺、脆弱性を悪用したWebサイトの改ざんなどによりクレジットカード情報を詐取し、不正利用します。
攻撃者はフィッシング詐欺や、不正アクセスなどの様々な攻撃手口を用いてクレジットカード情報の詐取を試みます。
<予防、対策例>
・不用意に添付ファイルの開封、メール、SMSのリンク、URLを開かない
・普段は表示されないような画面やポップアップが表示された場合、情報を入力しない
・利用頻度が低いサービスではクレジットカード情報を保存しない
・クレジットカード利用明細の定期的な確認 など
スマホ決済の不正利用
スマホ決済を使った各社のサービスは、利便性が高い反面、第三者のなりすましによるサービスの不正利用や、連携する銀行口座からの不正な引き出しなどの攻撃が確認されています。
攻撃者はスマホ決済サービスに登録されたIDとパスワードを窃取し、不正ログインしたり、決済サービスの仕組みの不備を悪用し不正に利用します。
<予防、対策例>
・利用していないサービスの退会
・多要素認証の設定を有効化
・スマホ決済を装ったフィッシングメールに留意する
・利用状況通知機能の利用、利用履歴の定期的な確認 など
偽警告によるインターネット詐欺
ブラウザなどに偽のセキュリティ警告画面を表示させ、遠隔操作ソフトウェアをインストールしたり、サポート窓口を装ってサポート料金を要求します(サポート詐欺)。
ブラウザなどに表示される画面は、実在する企業からの通知を装っており、被害者に通知される内容を信用させ指示に従うよう促します。
<予防、対策例>
・警告を暗に信用せず、指示に従わない
・偽警告が表示されたらブラウザを終了する
・ポップアップや広告のブロック機能などを利用する
・ブラウザの通知機能を不用意に許可しない など
ネット上の誹謗・中傷・デマ
SNSの普及に伴い、匿名で自身の意見を自由に発信できることが一般的になりました。自身の発信で他者を誹謗・中傷したり、デマで社会的な混乱を引き起こしたりなど、問題となる場合があります。内容によっては裁判沙汰になったり、経済的損失を被ったりすることもあります。
<予防、対策例>
・誹謗・中傷や公序良俗に反する投稿や拡散をしない
・情報の信頼性を確認する
・投稿や拡散の責任を問われることを理解する など
フィッシングによる個人情報等の詐取
実在する金融機関やショッピングサイト、宅配業者などの有名企業を騙るメールやSMSを送信し、正規のWebサイトを騙った偽のWebサイトへ誘導し、認証情報やクレジットカード情報、個人情報を入力させ詐取する行為がフィッシング詐欺です。
攻撃者は宅配業者の不在通知や通信事業者の料金の支払い確認を装ったSMSを送信し、フィッシングサイトに誘導する手口が多く見られます。
<予防、対策例>
・不用意に添付ファイルの開封、メール、SMSのリンク、URLを開かない
・多要素認証の設定を有効化
・迷惑メールフィルターを利用
・通常と異なるログインがあった場合に通知する設定を有効にする など
不正アプリによるスマートフォン利用者への被害
不正なスマートフォンアプリをインストールさせ、スマートフォン内の個人情報を窃取します。
攻撃者による不正アプリをインストールさせる手口は、メールやSMSに記載されたURLのクリックからや、公式マーケットに公開された不正アプリをインストールさせることなどの手口が確認されています。
<予防、対策例>
・公式マーケットからアプリを入手。
※不正アプリが紛れていることがあるため、レビューや評価、開発者情報を確認する
・不要なアプリをインストールしない
・利用しないアプリはアンインストール など
メールやSMS等を使った脅迫・詐欺の手口による金銭要求
メールやSMSなどを悪用し、人の弱みに付け込むものや公共機関を装って相手の不安を煽るもの、親交を深めて相手を騙すものなどがあります。
これらの詐欺の手口は様々ありますが、攻撃者の目的は金銭を詐取することです。
<予防、対策例>
・受信した脅迫、詐欺メールを無視
・多要素認証の設定を有効化
・メールに記載されている番号に電話をしない など
ワンクリック請求等の不当請求による金銭被害
Webサイトの閲覧中やメールなどに記載されたリンクにアクセスした際に有料サービスの会員登録完了画面や利用料の請求画面を表示し、金銭を不当に請求するワンクリック請求です(ワンクリック詐欺)。
PCやスマートフォンの利用者が悪意のあるサイトなどへアクセスしたり、メールやSNSに記載されたリンクをクリックしたりすると、契約が成立したかのようなメッセージと、有料サービスの会員登録料や利用料といった名目の金銭の請求画面が表示されます。
<予防、対策例>
・不用意に添付ファイルの開封、メール、SMSのリンク、URLを開かない
・不当な請求を安易に信用しない
・不当な請求には応じない、連絡しない
・請求画面が表示されたらブラウザを終了する など
情報セキュリティ10大脅威『組織』2024 概要
次に、情報セキュリティ10大脅威「組織」について確認していきましょう。
順位 |
情報セキュリティ10大脅威 2023『組織』 |
情報セキュリティ10大脅威 2024『組織』 |
|
1 |
ランサムウェアによる被害 |
→ |
ランサムウェアによる被害 |
2 |
サプライチェーンの弱点を悪用した攻撃 |
→ |
サプライチェーンの弱点を悪用した攻撃 |
3 |
標的型攻撃による機密情報の窃取 |
↘ |
内部不正による情報漏えい等の被害 |
4 |
内部不正による情報漏えい |
↗ |
標的型攻撃による機密情報の窃取 |
5 |
テレワーク等のニューノーマルな働き方を狙った攻撃 |
↘ |
修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃) |
6 |
修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃) |
↗ |
不注意による情報漏えい等の被害 |
7 |
ビジネスメール詐欺による金銭被害 |
↘ |
脆弱性対策情報の公開に伴う悪用増加 |
8 |
脆弱性対策の公開に伴う悪用増加 |
↗ |
ビジネスメール詐欺による金銭被害 |
9 |
不注意による情報漏えい等の被害 |
↗ |
テレワーク等のニューノーマルな働き方を狙った攻撃 |
10 |
犯罪のビジネス化(アンダーグラウンドサービス) |
→ |
犯罪のビジネス化(アンダーグラウンドサービス) |
前回発表された情報セキュリティ10大脅威 2023「組織」から新たな項目の追加はありませんでしたが、順位の変更がありました。順位を落としたり、下位の項目だからといって対策を行わなくて良いということではなく、継続して対策が必要となります。
それでは、情報セキュリティ10大脅威「組織」で紹介されている内容について、確認していきましょう。
ランサムウェアによる被害
攻撃者はPCやサーバーをランサムウェアに感染させ、データの暗号化や重要情報を窃取して脅迫により金銭を要求します。
ランサムウェアの感染は、メールの添付ファイルやリンク、改ざんしたWebサイト、ソフトウェアの脆弱性などを悪用して感染します。
<予防、対策例>
・不用意に添付ファイルの開封、メール、SMSのリンク、URLを開かない
・提供元が不明なソフトウェアを実行しない
・サーバやクライアント、ネットワークに適切なセキュリティ対策を行う
・適切なバックアップ運用 など
サプライチェーンの弱点を悪用した攻撃
サプライチェーンの繋がりを悪用して標的組織よりもセキュリティが脆弱な取引先や委託先、国内外の子会社などを攻撃し、その組織が保有する標的組織の機密情報などを窃取します。
<予防、対策例>
・情報管理規則の徹底
・信頼できる委託先、取引先、サービスの選定
・委託先組織管理、契約内容の確認
・納品物の検証 など
内部不正による情報漏えい等の被害
従業員や元従業員などの組織関係者による機密情報の持ち出しや社内情報の削除などの不正行為です。組織内の情報管理の規則を守らずに情報を持ち出し、紛失や情報漏えいにつながるケースがあります。
<予防、対策例>
・資産の把握、対応体制の整備
・重要情報の管理と保護、物理的管理の実施
・情報リテラシー、モラルを向上
・人的管理およびコンプライアンス教育の徹底 など
標的型攻撃による機密情報の窃取
特定の組織に対して、機密情報などを窃取することや業務妨害を目的としています。
攻撃者は社会の変化や働き方の変化に合わせて攻撃手口を変えるなど、状況に応じて巧みな攻撃手法で機密情報などを窃取します。
<予防、対策例>
・情報の管理と運用規則策定
・サイバー攻撃に関する継続的な情報収集
・情報リテラシー、モラルを向上
・サーバやクライアント、ネットワークに適切なセキュリティ対策を行う など
修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃)
ソフトウェアの開発ベンダーなどが脆弱性対策情報を公開する前に、脆弱性を悪用した攻撃が行われることです。
ウイルス感染や情報漏えいなどの直接の被害に留まらず、事業やサービスが停止するなど、多くのシステムやユーザーに被害が及ぶことがあります。
<予防、対策例>
・資産の把握、対応体制の整備
・セキュリティのサポートが充実しているソフトウェアやバージョンの利用
・利用するソフトウェアの脆弱性情報の収集と周知、対策状況の管理
・サーバやクライアント、ネットワークに適切なセキュリティ対策を行う など
不注意による情報漏えい等の被害
システムの設定ミスによる非公開情報の公開や、個人情報を含んだ記憶媒体の紛失など、不注意による個人情報などの漏えいです。
システム管理者などの不注意により個人情報が漏えいしてしまうと、漏えいした組織の信用、信頼に大きな影響を与える恐れがあります。
<予防、対策例>
・情報リテラシー、モラルを向上
・情報の保護(暗号化、認証)、機密情報の格納場所の把握、可視化
・外部に持ち出す情報や端末の制限
・業務用携帯端末の紛失対策機能の有効化 など
脆弱性対策情報の公開に伴う悪用増加
ソフトウェアやハードウェアの脆弱性対策情報の公開により、攻撃者は公開された脆弱性対策情報を基に攻撃コードなどを作成し、パッチ適用などの対策を実施する前のソフトウェアに対して、脆弱性を悪用した攻撃を行います。
<予防、対策例>
・サーバやクライアント、ネットワークに適切なセキュリティ対策を行う
・一時的なサーバー停止など
※すぐにパッチや回避策を適用できない場合を想定した回避策の検討
・脆弱性関連情報の収集と対応
・脆弱性発見時の対応手順の作成 など
ビジネスメール詐欺による金銭被害
第三者が標的組織やその取引先の従業員などになりすましてメールを送信し、あらかじめ用意した偽の銀行口座に金銭を振り込ませるサイバー攻撃です。
本物のメールに酷似しているため、メールの受信者はなりすましメールを受信したと気付かない恐れがあります。
<予防、対策例>
・メールに依存しない業務フローの構築
・メールの電子署名の付与(S/MIMEやPGP)
・DMARCの導入
・普段とは異なるメール、判断を急がせるメールに注意 など
テレワーク等のニューノーマルな働き方を狙った攻撃
新型コロナウイルス感染症の世界的な蔓延に伴い、勤労形態としてテレワークが活用されています。VPNサービスなどが本格的に活用され、それらを狙った攻撃が行われています。
業務環境の脆弱性により、テレワーク用端末がウイルスに感染させられ、不正アクセスされたりする恐れがあります。
<予防、対策例>
・サーバやクライアント、ネットワークに適切なセキュリティ対策を行う
・情報リテラシー、モラルを向上
・テレワークの規程や運用規則の整備
・ネットワークレベル認証(NLA) など
犯罪のビジネス化(アンダーグラウンドサービス)
サイバー攻撃を目的としたツールやサービス、アカウントやクレジットカード情報などがアンダーグラウンドで取り引きされています。そのため、攻撃スキルがなくてもハッキングなどの犯罪行為を行えるようになっています。
実際に、ランサムウェアを販売するサービスや不正アクセスの手段を販売するサービスが確認されています。
<予防、対策例>
・サーバやクライアント、ネットワークに適切なセキュリティ対策を行う
・情報リテラシー、モラルを向上
・不用意に添付ファイルの開封、メール、SMSのリンク、URLを開かない
・不審なログイン履歴の確認 など
まとめ
今回は、「情報セキュリティ10大脅威 2024」から影響の大きかった脅威とそれに対する一部の予防・対策をご紹介しました。インターネットを利用したサービスが当たり前になった昨今、個人・組織どちらでも、情報セキュリティの対策が必要不可欠になっています。
近年、サプライチェーンの弱点が悪用されるリスクが顕在化しており、ランサムウェアに感染させることを目的とした攻撃が世界的に繰り広げられています。システムの脆弱性悪用、ゼロデイ攻撃により、ターゲット企業の子会社や関連組織に侵入し、そこから上流へと侵入を広げ、最終的にターゲット企業への攻撃を成立させようと試みます。
多くのケースで、ランサムウェアによる攻撃が行われており、世界的に流行、被害が増加傾向にあります。日々進化する攻撃手口・脅威の把握とセキュリティ対策への取り組みは、企業だけでなく、私たち一人ひとりが意識して取り組む必要があります。
- カテゴリ:
- 動向