ニューノーマルな働き方狙う攻撃が初登場

独立行政法人情報処理推進機構（IPA）は、2020年に発生した社会的に影響が大きかったと考えられる情報セキュリティに関するトピックについて、情報セキュリティ分野の研究者など約160人のメンバーから成る「10大脅威選考会」の審議・投票によりトップ10を選出。「情報セキュリティ10大脅威2021」として順位を決定し、IPAのホームページで公表した（後掲のURLを参照）。

組織の順位では、「ランサムウェアによる被害」が1位となった。昨年8月にIPAは、ランサムウェアを用いた新たな攻撃の手口として「人手によるランサムウェア攻撃」と「二重の脅迫」について注意喚起を行った。従来はウイルスメールをばらまくなどの方法で広く無差別に攻撃が行われていたが、新たな攻撃者は、明確に標的を企業に定めている。標的型攻撃と同様の手法で企業のネットワークに侵入したり、データを暗号化するだけでなく窃取して公開すると脅したりして、身代金を支払わざるを得ないような状況をつくり出す。昨年は国内企業への攻撃も報道され、大きな話題となった。新たなランサムウェア攻撃は、標的型攻撃と同等の技術が駆使されるため、例えば、ウイルス対策、不正アクセス対策、脆弱(ぜいじゃく)性対策など、基本的な対策を、確実かつ多層的に適用することが重要である。

また、「テレワークなどのニューノーマルな働き方を狙った攻撃」が初登場で3位となった。昨年は新型コロナウイルス感染症の世界的なまん延に伴い、感染症対策の一環として政府機関からテレワークが推奨された。テレワークへの移行に伴い、自宅などからVPN経由で社内システムにアクセスしたり、Web会議サービスを利用したりする機会が増えた。また、私物のPCや自宅ネットワークの利用、初めて使うソフトウエアの導入など、以前は緊急用として使っていた仕組みを恒常的に使う必要性が出てきている。こうした業務環境の急激な変化を狙った攻撃が懸念される。基本的な対策のほか、テレワークの規定や運用ルールの整備、セキュリティ教育の実施などが重要である。

手口を知り常に対策を

今年は「組織」と「個人」を合わせた20の脅威のうち、19の脅威が昨年に引き続きランクインした。このように大半の脅威は急に出現したものではなく、また新しい手口でもない。よって手口を知り、常に対策を怠らないことが重要と考えられる。

IPAでは、情報セキュリティ対策の基本として、①ソフトウエアの更新、②セキュリティソフトの導入、③パスワード管理・認証の強化、④設定の見直し、⑤脅威・手口を知ることを推奨している。企業規模にかかわらず実行することが可能な基本的な対策だが、10大脅威のさまざまな脅威に対して有効であるため、確実に実行していただきたい。

また、これら基本的な対策に取り組むことを宣言することで、セキュリティ対策自己宣言制度「SECURITY ACTION」のロゴマークを使用することができる。ロゴマークをウェブサイトや名刺などに表示することで、情報セキュリティに自ら取り組んでいることをアピールすることが可能だ。利用手数料は無料。具体的な手続きはIPAのホームページを確認してほしい（URLを参照）。

情報セキュリティ10大脅威2021はこちら

「SECURITY ACTION」はこちら

（独立行政法人情報処理推進機構・江島将和）