組織の1位は「ランサムウェアによる被害」

独立行政法人情報処理推進機構(IPA)は、2021年に発生した社会的に影響が大きかったと考えられる情報セキュリティーに関するトピックについて、情報セキュリティー分野の研究者など約150人のメンバーからなる「10大脅威選考会」の審議・投票によりトップ10を選出し、「情報セキュリティ10大脅威2022」として順位を決定し、IPAのホームページで公表した。

ランキングは「個人」と「組織」に分け、「組織」における脅威の1位は、昨年に引き続き「ランサムウェアによる被害」となった。21年も国内の企業や病院などのランサムウェア被害が報道され、大きな話題となった。

近年のランサムウェア攻撃は、標的型攻撃と同様の手法で企業や組織のネットワークに侵入したり、データを暗号化するだけでなく窃取して公開すると脅したりして、身代金を支払わざるを得ないような状況をつくり出す。標的型攻撃と同等の技術が駆使されるため、この攻撃への対策は、例えば、ウイルス対策、不正アクセス対策、脆弱(ぜいじゃく)性対策など、基本的な対策を、確実かつ多層的に適用することが重要である。加えて、どの組織でも被害に遭う可能性があることを念頭において、バックアップの取得や復旧計画を策定するなど、事前の準備が重要となる。

また、昨年8位だった「インターネット上のサービスへの不正ログイン」に替わって、「修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃)」が初登場で7位となった。

ゼロデイ攻撃は、修正プログラムが提供される前の脆弱性を悪用した攻撃のこと。21年12月にはJavaプログラム用のログ出力ライブラリである「Apache Log（アパッチ ログ）4j」の脆弱性対策情報が、すでに攻撃が観測されているとの情報と同時に公開された。「Apache Log4j」は、ウェブサーバーなどで行われた操作を記録する機能を持つプログラムの部品のようなもので、世界中のプログラムで広く使われているため、大きな話題となった。

ゼロデイ攻撃の場合、修正プログラムが提供された時点ですでに攻撃が行われているため、脆弱性対策に加え、外部からの侵入を検知・防御する機器を導入するなどの備えが重要である。

手口を知り、対策を怠らないことが重要

今年は「組織」と「個人」を合わせた20の脅威のうち、19の脅威が昨年に引き続きランクインした。このように、大半の脅威は急に出現したものではなく、また新しい手口でもない。よって手口を知り、常に対策を怠らないことが重要と考えられる。

IPAでは、情報セキュリティー対策の基本として、①ソフトウエアの更新、②セキュリティーソフトの導入、③パスワード管理・認証の強化、④設定の見直し、⑤脅威・手口を知ること―を推奨している。

企業規模にかかわらず実行することが可能な基本的な対策だが、10大脅威をはじめ、さまざまな脅威に対して有効な対策であるため、確実に実行していただきたい。

また、「情報セキュリティ10大脅威2022」にランクインした各脅威の手口、傾向や対策など詳しい解説については、2月下旬にIPAのウェブサイトで公開する予定となっている。対策の検討や社内教育の参考にしてほしい。 （独立行政法人情報処理推進機構・江島将和）

情報セキュリティ10大脅威2022はこちら