IPA 発表「情報セキュリティ 10 大脅威」に「テレワーク等のニューノーマルな働き方を狙った攻撃」がランクイン！その対策は？

情報処理推進機構「情報セキュリティ 10 大脅威 2021」が 2021 年 2 月末に公開されました。組織における 10 大脅威では、3 位に「テレワーク等のニューノーマルな働き方を狙った攻撃が新しく入っています。2020 年はコロナウイルス感染症の感染拡大を受け、東京商工会議所が 2020 年 11 月に公表した「テレワークの実施状況に関するアンケート」では、75.2 ％の企業がテレワークを経験しているように、多くの組織ではテレワークの積極的な取り組みが見られました。その一方でテレワーク環境を狙った攻撃が行われ被害が出ているため、適切な対応が必要です。

（出典）情報処理推進機構「情報セキュリティ10 大脅威 2021」

（出典）東京商工会議所「テレワークの実施状況に関するアンケート」

それでは、ランク外から 10 位に入った、3 位の「テレワーク等のニューノーマルな働き方を狙った攻撃」、8 位「インターネット上のサービスへの不正ログイン」、10 位「脆弱性対策情報の公開に伴う悪用増加」について見ていきたいと思います。

昨年 9 月に公開したサイバートラスト BLOG「VPN 機器の脆弱性を悪用したサイバー攻撃～ソフトウェア更新の徹底と多要素認証の活用を」でも解説しましたが、VPN 機器の脆弱性を悪用して、社内システムへの不正アクセスや PC 内の業務情報等を窃取したりする事例が発生しています。テレワーク等のニューノーマルな働き方を狙った攻撃でも解説されているように、急なテレワークへの移行による管理体制の不備ということが指摘されており、テレワークにおけるルール整備、セキュリティ教育や万全なセキュリティ対策が重要です。

（出典）情報処理推進機構「情報セキュリティ 10 大脅威 2021」

インターネット上のサービスへの不正ログインでは、顧客情報やサービス利用者の個人情報等が窃取されたり、不正に操作されたりする被害が発生しています。パスワードリスト攻撃やブルートフォースアタックなどの攻撃手法を用いて入手した、ID とパスワードが悪用されて不正にログインされることで、顧客などの重要な情報が搾取され、さらに二次的被害を受けることがあります。パスワードの使いまわしをしないことや ID／パスワードによる認証に加えて、多要素認証によるセキュリティ強化が必要です。

（出典）情報処理推進機構「情報セキュリティ 10 大脅威 2021」

脆弱性対策情報の公開に伴う悪用増加では、ソフトウェアの脆弱性情報は広く公開され注意喚起されている一方、これら脆弱性を悪用した攻撃も数多く存在しています。前述の VPN 機器の脆弱性も同様ですが、脆弱性に対する修正プログラム（パッチ）を適用していないことによる攻撃や不正アクセスのセキュリティ事案が発生していることから、パッチ適用は迅速に対応しなければなりません。

テレワーク実施におけるルール整備や情報セキュリティリテラシー教育、ID／パスワードのみによる認証にはセキュリティリスクがあり、また VPN 機器やサーバー、利用する全てのソフトウェアの脆弱性対策は不正アクセスなどへのリスク対策は非常に重要です。

サイバートラストではこれらの課題に対応するために、テレワークのルール整備やセキュリティ教育を行う情報セキュリティコンサルティングサービスをはじめ、ソフトウェアの脆弱性を診断する脆弱性診断サービス、多要素認証を実現する端末認証サービス「サイバートラストデバイス ID」などを提供しています。