10大脅威とセキュリティ

毎年冬に発表される「情報セキュリティ10大脅威」の2020年版が、2020年1月29日に発表されました。
各脅威をに対する解説資料が2020年2月28日に公開されています。

今回のコラムでは、特に重要とみられる脅威を紹介します。

「情報セキュリティ10大脅威」は、毎年1月に昨年1年間に発生した社会的に影響が大きかったと考えられる情報セキュリティにおける事案から、
情報処理推進機構(IPA)が脅威候補を選出し、情報セキュリティ分野の研究者や企業の実務担当者などのメンバーからなる「10大脅威選考会」が脅威候補に対して審議・投票を行い、決定したものになります。

1月に個人・組織(法人)別にランキング形式で発表され、続いて2月に「各脅威の解説資料」が発表されます。
2020年の脅威、つまり2019年の発生した情報セキュリティの事案からみられる脅威を紐解いていきましょう。

《組織(法人)向け》

組織のランキング1位は2019年と同じく「標的型攻撃による機密情報の窃取」です。
標的型攻撃は特定の企業や組織を狙った攻撃で、「取引先や関係者を装ったフィッシングメール攻撃」、「よく利用するサイトを改ざんし不正アクセスを試みる攻撃」、「セキュリティの甘い関係組織への不正アクセスを糸口とした攻撃」など、多岐にわたる手口が特徴です。
標的型攻撃の犯人は組織的かつ用意周到なものが多く、企業の大小にかかわらず被害が多くなっています。
2019年3月に発生したトヨタ自動車関連会社を起点にした情報流出や、2020年に発覚した三菱電機株式会社の機密情報などが事例として挙げられます。

ランキング2位は、2019年の5位から上昇した「内部不正による情報漏えい」がランクインです。
内部不正による情報漏えいについて、情報機器リユース業者の社員が廃棄予定のHDDを不正に持ち出して転売した事件が記憶に新しいです。
転売されたHDDに多くの個人情報が残っていたことで、大きな社会問題にもなりました。
内部不正を防ぐには、技術的な対策もさることながら、経営者が積極的に関与して重要情報の管理と保護を徹底し、従業員に情報教育を実施してモラルを向上させることが必要となります。

ランキング1位～5位の順位の変動はあれど、上位5位は変わりありませんでした。
その次のランキング6位の「予期せぬIT基盤の障害に伴う業務停止」は2013年を最後に圏外だった脅威が復活ランクインしています。
2019年は複数の大規模自然災害や大手クラウドベンダーの人為的ミスによって、長時間のサービス停止が発生しました。
大規模システム障害が事業に与えた影響の大きさから、BCP(事業継続計画)を見直し・策定のきっかけとなることも期待しています。

《個人向け》

個人のランキング1位は「スマホ決済の不正利用」で、初めてのランクインです。
2019年に入り多数の決済サービスが登場しましたが、決済方法の不備によって利用者が金銭被害に遭う事案が発生したり、パスワードの傾向を利用した攻撃「パスワードリスト攻撃」による不正利用、システムの脆弱性をついた不正アクセスなどが発生しました。
サービスを利用する際には、二要素認証などのセキュリティ機能を利用することに加えて、決済情報や利用明細を点検することによって不正利用されていないことを確認するよう注意を促しています。

ランキング2位は、2019年と同様「フィッシングによる個人情報の詐取」です。
フィッシング詐欺は、偽物とはわからないほどの本物同様の詐欺サイト、SMSやSNSを利用した手口などで、人間のスキを狙う巧妙かつ様々な攻撃が増加の一途を辿っています。
流出した情報はダークウェブなどで売買され、別の犯罪や攻撃に利用される二次被害の危険性もあります。

ランキング3位は、2019年に1位だった「クレジットカード情報の不正利用」、4位の「インターネットバンキングの不正利用」、5位の「メールやSMS等を使った脅迫・詐欺の手口による金銭要求」は、まさに二次被害といえるでしょう。

メールアドレスやパスワードがの流出有無を確認できるサービスについては、2019年11月のコラムで紹介した「Have I Been Pwned」があります。

サイバー攻撃による被害は個々の影響に留まらず、その後の二次被害や攻撃を受けた被害者が他者への加害者になってしまうことも十分あり得ます。
最新の脅威や事例、対策を知ることで、自分が加害者にならないようにしなければなりません。

参考資料：情報セキュリティ10大脅威 2020各脅威の解説資料 (PDF)