採用情報

お問い合わせ

BLOG

情報セキュリティ BLOG

情報セキュリティ BLOG

2023 年 01 月 31 日

IPA「情報セキュリティ10大脅威 2023」を発表

~ ランサムウェア攻撃、サプライチェーンの弱点を悪用した攻撃などに対処するためには? ~

サプライチェーンの弱点を悪用した攻撃がランクアップ

情報処理推進機構(IPA) は、2023 年 1 月 25 日に「情報セキュリティ 10 大脅威 2023」を発表しました。情報セキュリティ 10 大脅威 2022 と同様に、「ランサムウェアによる被害」「標的型攻撃による機密情報の窃取」が上位となり、昨年 3 位だった「サプライチェーンの弱点を悪用した攻撃」が 2 位にランクアップしました。ここ数年、脆弱性を悪用したゼロディ攻撃が世界的に大きな影響を与え続け、攻撃対象は大企業のみならず中小企業も対象になっています。これらのサイバー攻撃は、サイバー犯罪組織においてビジネス化されており、ランサムウェア攻撃は身代金を要求し、不正アクセスによって窃取した個人情報などの機密情報は、アンダーグランドマーケットで売買されており年々増加しています。

 情報セキュリティ 10 大脅威 2023

(出典)情報処理推進機構(IPA)「 情報セキュリティ 10 大脅威 2023

警察庁が公表する「 令和 4 年上半期におけるサイバー空間をめぐる脅威の情勢等について 」で、企業・団体等におけるランサムウェア被害の報告件数の推移では、2020 年下半期から 2022 年上半期の報告件数は、約 5.4 倍と増加しており、規模別の報告件数では、「大企業(31.6%)」「中小企業(51.8%)となっています。

 令和 4 年上半期におけるサイバー空間をめぐる脅威の情勢等について

(出典)警察庁「 令和 4 年上半期におけるサイバー空間をめぐる脅威の情勢等について

ゼロデイ攻撃は、修正プログラムが提供された時点ですでに攻撃が行われており、 IPA は「脆弱性対策に加え、外部からの侵入を検知 / 防御する機器を導入するなどの備えが重要」と指摘しており、一刻も早い対策が重要です。すべての脆弱性が発生しないという保障はなく、また恒久的な対策はないため、商用ソフトウェア、オープンソースソフトウェア(OSS)の利用に関係なく、利用しているすべてのソフトウェアやミドルウェア、ライブラリなどに脆弱性の存在が判明したら、迅速に最新版にアップデートすることが重要です。

「ランサムウェアによる被害」については、国内の企業・組織や医療機関での被害について報じられています。このランサムウェアによる被害の原因ですが、標的型攻撃メールを用いた手口や VPN 機器の脆弱性を悪用した手口です。「BLOG:VPN 機器の脆弱性に注意」 でも解説していますように、脆弱性を悪用されることで認証情報であるユーザー情報やパスワードが流出し、ランサムウェア攻撃の被害に遭うケースが発生しています。
このようなケースに対応するためには、VPN 機器のソフトウェアを最新版にアップデートすることはもちろんのこと、多要素認証による認証強化が重要です。ID/パスワードのみの認証方式を用いると、許可されていない端末や悪意ある第三者からの不正な接続が行われ脆弱になる可能性があります。

サイバートラストが提供している端末認証サービス「 サイバートラスト デバイス ID」は、端末識別情報を確認し、管理者が許可した端末にのみデバイス証明書を登録することによって、厳格な端末認証が可能なデバイス証明書発行管理サービスで、不正なデバイスからのアクセスを排除することができます。
「サイバートラスト デバイス ID」は、無償で 1 ヶ月間、10 台までの機器で評価いただけるトライアルキットを提供しています。

「サプライチェーンの弱点を悪用した攻撃」に対して、企業・組織が取り組むべき重要性が高まっています。「BLOG:1 年で 650% も増加した OSS へのサプライチェーン攻撃に対応するには?」で解説しているように、サプライチェーンの一部である取引先が攻撃されることで、取引先が保有する企業の機密情報が漏えいしたり、取引先を足掛かりとされ、結果として、本来の標的である企業が攻撃を受けたりする被害が発生しています。

サプライチェーンの弱点を悪用した攻撃など脆弱性の対策には、脆弱性の見える化を実現する脆弱性管理ソリューション MIRACLE Vul Hammer の利用により、攻撃の対象となりやすいコンテンツを保有している企業の情報システム部門や、顧客に脆弱性管理や調査・レポート提供が求められる運用保守事業者、複数の顧客・プロジェクトの運用監視を請け負う MSP(Managed Service Provider)および MSSP(Managed Security Service Provider)事業者に向けて、脆弱性情報の収集と対応すべき脆弱性の選定、方針の検討、検証、適応までの効果的な脆弱性管理を実現します。

本記事に関連するリンク
はじめての脆弱性診断をお考えの方へ 脆弱性診断の必要性とは?種類と内容、選び方を解説
CentOS 7 延長サポートサービス
デジタルトランスフォーメーションのための電子認証基盤 iTrust
SSL/TLS サーバー証明書 SureServer Prime