「情報セキュリティ10大脅威 2024」の注目ポイントご紹介! 優先すべき対策とは?
目次[非表示]
- ・「情報セキュリティ10大脅威」とは
- ・2024年の注目ポイント
- ・ランキングの項目をカンタン解説!
- ・【1位 ランサムウェアによる被害】
- ・【2位 サプライチェーンの弱点を悪用した攻撃】
- ・【3位 内部不正による情報漏えい】
- ・【4位 標的型攻撃による機密情報の窃取】
- ・【5位 修正プログラムの公開前を狙う攻撃(ゼロディ攻撃)】
- ・【6位 不注意による情報漏えい等の被害】
- ・【7位 脆弱性対策情報の公開に伴う悪用増加】
- ・【8位 ビジネスメール詐欺による金銭被害】
- ・【9位 テレワーク等のニューノーマルな働き方を狙った攻撃】
- ・【10位 犯罪のビジネス化(アンダーグラウンドサービス)】
- ・優先すべき対策とは?~共通対策から考える~
- ・まとめ
既に「情報セキュリティ10大脅威 2024」の内容をご存じの方向け
様々な脅威への対策方法を先に見たい方はボタンをクリック!
「情報セキュリティ10大脅威」とは
「情報セキュリティ10大脅威」をご存じでしょうか?
情報処理推進機構(IPA) が毎年1月末ごろに発表している情報で、2024年は1月24日に「情報セキュリティ10大脅威 2024」が発表されました。「10大脅威」は、下記のように決定されます。
2023年に発生した社会的に影響が大きかったと考えられる、
情報セキュリティ事案からIPAが脅威候補を選出
⇩
情報セキュリティ分野の研究者・企業の実務担当者など、約200名のメンバーからなる
「10大脅威選考会」が脅威候補に対して審議・投票を行う
⇩
決定!
このように、「情報セキュリティ10大脅威 2024」は、前年(2023年)のセキュリティ被害の状況・傾向をもとに決定された情報です。決定には、専門家をはじめ、「企業システム担当者」のような現場の声も反映されており、「今現場で起きていること」がまとめられた情報でもあります。これを参考にすることで、2024年のセキュリティ対策方針の検討に役立ちます。
本ブログでは、「組織」の立場でのランキングから、「注目すべき脅威」や「優先すべき対策」について考えていきたいと思います。
2024年の注目ポイント
2023年 |
2024年 |
||
1位 |
ランサムウェアによる被害 |
1位 |
ランサムウェアによる被害 |
2位 |
サプライチェーンの弱点を悪用した攻撃 |
2位 |
サプライチェーンの弱点を悪用した攻撃 |
3位 |
標的型攻撃による機密情報の窃取 |
3位 |
内部不正による情報漏えい等の被害 |
4位 |
内部不正による情報漏えい |
4位 |
標的型攻撃による機密情報の窃取 |
5位 |
テレワーク等のニューノーマルな働き方を狙った攻撃 |
5位 |
修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃) |
6位 |
修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃) |
6位 |
不注意による情報漏えい等の被害 |
7位 |
ビジネスメール詐欺による金銭被害 |
7位 |
脆弱性対策情報の公開に伴う悪用増加 |
8位 |
脆弱性対策情報の公開に伴う悪用増加 |
8位 |
ビジネスメール詐欺による金銭被害 |
9位 |
不注意による情報漏えい等の被害 |
9位 |
テレワーク等のニューノーマルな働き方を狙った攻撃 |
10位 |
犯罪のビジネス化 |
10位 |
犯罪のビジネス化 |
2023年と2024年を比較すると、ランキング上位の脅威は違いが無いように見受けられますが、中には、「不注意による情報漏えい等の被害」のように大きく順位を上げた項目もあります。
また、「ランサムウェアによる被害」は4年連続1位でランクインしていることからまだ油断はできないことが分かります。
ランキングの項目をカンタン解説!
【1位 ランサムウェアによる被害】
「ランサムウェア」とは、ターゲットとなった企業や組織のデータ暗号化やシステムロックを行い、使用できない状態にした上で、そのデータを復号するための身代金(金銭や暗号資産)を要求する不正プログラムです。
警察庁の資料(※1)によると、ランサムウェアの被害は、前年比減したものの、令和4年上半期から高い水準で推移しています。
また、最近では企業のネットワークに侵入し、データを窃取した上で、ランサムウェアを用いることなく企業・団体などに対価を要求する手口(ノーウェアランサム)も新たに確認されているようです。
(※1)警察庁:「令和5年におけるサイバー空間をめぐる脅威の情勢等について」
https://www.npa.go.jp/publications/statistics/cybersecurity/data/R5/R05_cyber_jousei.pdf
< 攻撃の手口 >
● 脆弱性を悪用しネットワークから感染(VPN機器の脆弱性等)
● 公開サーバーに不正にアクセスして感染(意図せず公開されたリモートデスクトップ等)
● メールの添付ファイル、メール内リンクから感染
● 改ざんされたWebサイトからの感染
< 対策例 >
● 適切なバックアップ運用を行う
● 多要素認証の設定を有効にする
● サーバーやクライアント、ネットワークに適切なセキュリティ対策を行う
【2位 サプライチェーンの弱点を悪用した攻撃】
「商品の企画 → 開発 → 調達 → 製造 → 在庫管理 → 物流 → 販売までの一連の流れ」をサプライチェーンと呼びます。この「ビジネス上の繋がり」を悪用した攻撃は、自組織の対策のみでは防ぐことが難しいため、関係組織も含めた全体的なセキュリティ対策が必要と言えます。
< 攻撃の手口 >
● 取引先や委託先が保有する機密情報を狙う
● ソフトウェア開発元やMSP(マネージドサービスプロバイダ)等を攻撃し、
標的組織を攻撃するための足掛かりとする
< 対策例 >
● 取引先や委託先との連絡プロセスの確立
● 取引先や委託先を含めた、サプライチェーン全体のセキュリティ対応の確認・監査
● 情報セキュリティの認証取得(ISMS、Pマーク、SOC2 等)定期的に見直し、
必要な運用を維持する
【3位 内部不正による情報漏えい】
従業員や元従業員などの組織関係者による、機密情報の持ち出しや、社内情報の削除などの不正行為が発生しています。
IPAが発表した、営業秘密管理に関する資料(※2)によると、情報漏えいの原因の第1位が「退職者による機密情報持ち出し」で、36.3%を占めており、増加傾向にあることが明らかになっています。
組織関係者による不正行為は、企業の社会的信用の失墜や、損害賠償・業務停滞による経済的損失を招く可能性があり、情報漏えいを犯した個人にも重大な責任を問われる場合があります。
今後は、不注意による情報漏えいに加えて、意図的な情報漏えいにも注意する必要がありそうです。
(※2)情報処理推進機構(IPA):「企業における営業秘密管理に関する実態調査2020」
https://www.ipa.go.jp/security/reports/economics/ts-kanri/20210318.html
< 攻撃の手口 >
● アクセス権限の悪用
● 退職者のアカウントの悪用
● USBメモリー・HDD・紙媒体を利用した、不正な持ち出し
< 対策例 >
● 従業員への定期的なセキュリティ教育を行う
● システム操作履歴の監視
● 重要情報の利用者 ID およびアクセス権の登録・変更・削除に関する手順を定めて運用する
【4位 標的型攻撃による機密情報の窃取】
標的型攻撃とは、特定の個人や組織を狙う攻撃のことであり、機密情報を窃取したり、業務を妨害することを目的としたサイバー攻撃です。近年では、地方公共団体や、中堅・中小企業もターゲットとなっています。
< 攻撃の手口 >
● 標的組織が利用するWebサイトの改ざん(水飲み場攻撃)
● メールの添付ファイルや、不正なリンクを記載しアクセスさせる
● VPN機器の脆弱性などを狙った不正アクセス
< 対策例 >
● 標的型メール訓練の実施
● サーバーやクライアント、ネットワークに適切なセキュリティ対策を行う
● インシデント対応体制を整備し対応する
【5位 修正プログラムの公開前を狙う攻撃(ゼロディ攻撃)】
ゼロディ攻撃とは、ソフトウェアベンダーなどの製品提供者が認知していない脆弱性、もしくは、脆弱性を解消するプログラムを提供する前段階で仕掛けられるサイバー攻撃のことです。
ゼロディ攻撃が行われると、ウイルス感染や、情報漏えいをはじめ、事業・サービスが停止するなど、多くのシステムやユーザーに被害が及ぶことがあるのです。
< 攻撃の手口 >
● ソフトウェアの脆弱性の悪用
< 対策例 >
● サーバーやクライアント、ネットワークに適切なセキュリティ対策を行う
● 影響の調査及び原因の追究、対策の強化
● 利用しているソフトウェアの脆弱性情報の収集と周知・対策状況の管理を行う
【6位 不注意による情報漏えい等の被害】
メール誤送信や、PCやスマートフォンなどの普段業務で使用している機器の紛失など、個々の不注意による情報漏えいが多発しています。一度でも不注意で個人情報を漏えいさせてしまうと、企業の信用度に大きな影響を与える恐れがあります。
< 要因 >
● 情報を取り扱う人の情報リテラシーの低さ
● メールの誤送信
● 重要端末・書類の紛失
< 対策例 >
● メール誤送信防止ソリューションの導入
● 従業員へのセキュリティ教育の拡充
【7位 脆弱性対策情報の公開に伴う悪用増加】
ソフトウェアベンダーなどの製品の提供者が、製品の脆弱性を公開した後、パッチを適用していないサービス利用者を狙い、攻撃を仕掛ける恐れがあります。近年では、脆弱性関連情報が公開されるとすぐに攻撃コードが流通し、攻撃が本格化するまでの時間が短くなっています。
< 攻撃の手口 >
● 対策前の脆弱性を悪用する
● 公開されている攻撃ツールを使用する
< 対策例 >
● 脆弱性関連情報の収集と対応
● パッチ公開後、速やかに適用する
● サーバーやクライアント、ネットワークに適切な セキュリティ対策を行う
【8位 ビジネスメール詐欺による金銭被害】
ビジネスメール詐欺とは、標的組織や取引先の従業員になりすまして偽のビジネスメールを送信し、金銭をだまし取ることを目的としたサイバー攻撃のことです。
< 攻撃の手口 >
● 取引先や請求書の偽装
● 経営者などへのなりすまし
● 窃取したメールアカウントの悪用
< 対策例 >
● メールの真正性の確認をする(メール以外の複数の手段での事実確認)
● ビジネスメール詐欺への認識を深める
● 普段とは異なるメール、判断を急がせるメールに注意する
【9位 テレワーク等のニューノーマルな働き方を狙った攻撃】
2020年以降、新型コロナウイルスの影響で、テレワークを推奨している企業も増えていますが、実は、テレワーク環境で利用しているVPN機器の脆弱性が狙われているのです。
警察庁資料(※3)によると、調査対象のうち、ランサムウェアの感染経路の半数以上が「VPN機器からの侵入」とされています。「リモートデスクトップからの侵入」も2番目に多かったことから、テレワークに利用される機器が標的になっているのは約8割以上、ということになります。
(※3)警察庁:「令和5年におけるサイバー空間をめぐる脅威の情勢等について」
https://www.npa.go.jp/publications/statistics/cybersecurity/data/R5/R05_cyber_jousei.pdf
< 攻撃の手口と発生原因 >
● テレワーク用製品の脆弱性の悪用
● テレワーク移行時のまま運用している脆弱なテレワーク環境への攻撃
● 私有端末や自宅のネットワークを利用
< 対策例 >
● 脅威が検出された際は、速やかに駆除する
● サーバーやクライアント、ネットワークに適切なセキュリティ対策を行う
● 「ゼロトラスト」を考慮したセキュリティ対策を行う
【10位 犯罪のビジネス化(アンダーグラウンドサービス)】
「ダークウェブ」などで知られているアンダーグラウンド市場では、アカウントとIDやパスワード、クレジット情報、ウイルスなどが売買されており、攻撃スキルが無くてもお手軽に犯罪行為を行えるようになっています。
< 攻撃の手口 >
● ツールやサービスを購入した攻撃
● 認証情報を購入した攻撃
● サイバー犯罪に加担する人材の募集
< 対策例 >
● 適切なパスワードを設定・運用する
● 多要素認証などセキュリティの高い認証方式を利用する
● ダークウェブを監視する(流出情報の存在を確認)
● サーバーやクライアント、ネットワークに適切なセキュリティ対策を行う
優先すべき対策とは?~共通対策から考える~
この「情報セキュリティ10大脅威 2024」を受けて、「セキュリティ対策の基本と共通対策」という脅威に対する具体的な対策方法が記載されている資料(※4)をご存じでしょうか?
脅威の種類は多岐に渡りますが、その脅威への対抗策は共通して実施できるものがあるため、1つ実施するだけでもいくつかの脅威に対して効率良く対策を進めることができるのです。
(※4)情報処理推進機構(IPA):「セキュリティ対策の基本と共通対策 情報セキュリティ10大脅威 2024 版」
https://www.ipa.go.jp/security/10threats/nq6ept000000g23w-att/kihontokyoutsuu_2024.pdf
この資料内で、共通対策として紹介されているものは下記の7つです。
1) パスワードを適切に運用する
2) 情報リテラシー、モラルを向上させる
3) メールの添付ファイル開封や、メールやSMSのリンク、URL のクリックを安易にしない
4) 適切な報告/連絡/相談を行う
5) インシデント対応体制を整備し対応する
6) サーバーやクライアント、ネットワークに 適切なセキュリティ対策を行う
7) 適切なバックアップ運用を行う
ここでは上記7つの共通対策のうち、3点に絞ってご紹介していきます。
1) 適切なパスワードを設定・運用する
2) サーバーやクライアント、ネットワークに適切なセキュリティ対策を行う
3) 適切なバックアップ対策を行う
また、各共通対策に関連するお役立ち情報も併せてご紹介いたします。
1)パスワードを適切に運用する
< 具体的な対策例 >
● パスワードの適切な設定をする
EX) 初期設定のままにしない / 推測されにくいパスワードを設定する など
● パスワードの適切な保管・運用を行う
EX) パスワードを書いた付箋やメモを貼らない など
● 不正ログインされてしまった時の対応
EX) パスワードを変更する / パスワードを使い回していないか確認する など
しかし、上記の対策を全て実施するのは、時間や手間が非常に掛かりますよね……そこで!
ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー
パスワード管理・運用に負担を感じている方必見!
ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー
Google Chromeなどのブラウザにパスワードを保存するのは、実は危険が潜んでいます。普段ビジネスで利用するからこそ、パスワードを安全に保護しませんか?
▼ 企業向けパスワード管理のポイントが分かるお役立ち資料はこちら!
2)サーバーやクライアント、ネットワークに適切なセキュリティ対策を行う
< 具体的な対策例 >
● 脆弱性対策を適切に行う
EX) サポート切れのOS・ソフトウェア・ハードウェアを利用しない / 仮想パッチを導入する
/ 迅速に更新プログラムの適用をする
● アクセス権限管理を適切に行う
EX) アクセス権限を最小化する / 多要素認証を導入する など● セキュリティ製品を導入する
EX) EDR・NDR・DLP・CSPM・IDS・IPSやWAF製品を導入する など
脅威ランキング1位の「ランサムウェアによる被害」にて説明をしていますが、特に、VPN接続機器の脆弱性に付け込んでサイバー攻撃を仕掛けられる割合が圧倒的に多くなっています。
ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー
SOCいらずのEDR、導入しませんか?
ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー
「脅威の検出→調査→隔離→エンドポイントの修復」まで行うEDR製品は、セキュリティ対策の中でも非常にランサムウェアに有効な対策だと言えます。当社では、「SOC」不要でコストを抑えることができるEDR製品をご紹介しています。
▼ 中堅・中小企業にもおススメなEDRの紹介ページはこちら!
ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー
パブリッククラウド利用企業に必要なWebサーバのセキュリティ対策とは
ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー
ランキング内でWebサイト改ざんを攻撃手口とする脅威も複数存在していました。
パブリッククラウド利用者が見落としがちなWebセキュリティ対策のポイントを解説します!
ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー
「ゼロトラスト」はなぜ必要なのか?
ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー
なぜ「ゼロトラスト」の考え方が必要になったか、改めて考えてみませんか?
▼ セキュリティ対策:ゼロトラストが分かるセキュリティブログはこちら!
3)適切なバックアップ対策を行う
< 具体的な対策例 >
● バックアップを取得する
EX) 対象を選定する/ 取得方法や取得日時 / 間隔を検討する
● バックアップを保管する
EX) 3-2‐1(-1-0)ルールを検討する / 世代管理を行う / 保管期間を決める など
● バックアップからリストアする
EX) 復旧計画を立てる / 正しく復旧できることを確認する など
企業のデータを守るためにバックアップを取得することは、今や必須事項となっています。
しかし、バックアップの取得方法や取り扱いを適切に行わないとせっかくバックアップを取得したデータも意味が無くなってしまいます。 適切なバックアップを取得するためのポイントをご紹介しています。
ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー
バックアップ、見直しませんか?
ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー
ご自身のバックアップ環境をチェックシートで見直すことができます!
「現在のバックアップ環境について、押さえておきたい基本」の他、「バックアップにまつわる色々な不安や課題」も解決できる内容です。
ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー
バックアップの重要性とは?~低コストでクラウドバックアップを実現!~
ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー
「ランサムウェア対策や自然災害に備えて、普段のバックアップに加えて何が必要なのか?」
「バックアップの基本ルールのおさらい」
「バックアップに掛かるコスト面や運用面での負担を軽くする方法とは?」
をご紹介します!
▼ クラウドバックアップのポイントが分かるお役立ち資料はこちら!
まとめ
「情報セキュリティ10大脅威 2024」を、脅威別ランキングをはじめ、対策方法まで解説しました。10大脅威を理解することは重要ですが、それだけでは十分ではありません。脅威に対抗するためには、自社に必要な対策の優先順位をつけながら実施することが必要です。優先順位で迷われた場合は、「共通対策」の内容も是非ご参考になさってください。
● どの脅威から対策をしていけば良いか分からない
● 企業全体での対策を見直したい
など、お困り事がありましたら、是非デジタルテクノロジーにお問い合わせください!
▼ 上記の内容・その他製品のお問い合わせはこちら