去年に引き続き、まとめていきます!
1.セキュリティ10大脅威とは
「情報セキュリティ10大脅威 2023」は、2022年に発生した社会的に影響が大きかったと考えられる情報セキュリティにおける事案から、IPAが脅威候補を選出し、情報セキュリティ分野の研究者、企業の実務担当者など約200名のメンバーからなる「10大脅威選考会」が脅威候補に対して審議・投票を行い、決定したものです。
ここから引用してます。
2.2023年のセキュリティ10大脅威(組織の部)
IPAのレポートを読みながら、「組織の部」について整理してみます。
| 名称 | 特徴 | 感染/攻撃経路 | 予防策 | |
|---|---|---|---|---|
| 1 | ランサムウェアによる被害 | データを暗号化し、復旧することと引き換えに金銭を要求する。ビジネスパートナーで攻撃を受けていることを公表するという脅しもある。 | ・メール(でクリック、添付ファイル開封) ・webサイトクリック ・ソフトウェア脆弱性 ・RDP不正アクセス(RDPは管理用) |
・対策用予算確保、CSIRT体制 ・教育 ・診断(セキュリティ、ぺネストレーションテスト) |
| 2 | サプライチェーンの弱点を悪用した攻撃 | セキュリティの甘い組織を攻撃の足掛かりにし、標的情報を盗んだり、システムを停止する。 | 協力会社、開発会社を狙う | ・(自組織向け)セキュリティ規則徹底 ・(他組織向け)契約時の選定、契約内容確認 ・(他組織向け)定期チェック ・(共通)報連相ルートの規定、周知徹底 |
| 3 | 標的型攻撃による機密情報の窃取 | ・メール | ・認証情報を窃取しその情報を使って感染させる | ・CSIRT体制 ・教育 |
| 4 | 内部不正による情報漏えい | ・在職中のアカウントを利用し不正アクセス | ・在職中のアカウントを利用 ・何者かがアカウントを不正入手 |
・閲覧権限の最小化 ・アカウント管理徹底 |
| 5 | テレワーク等のニューノーマルな働き方を狙った攻撃 | ・物理的なのぞき見やリモート接続の脆弱性を狙う | ・テレワークソフトの脆弱性 ・テレワーク移行の管理体制不備(コロナでの暫定対応のまま) |
・テレワークルール整備、周知徹底 ・(共通)報連相ルートの規定、周知徹底 |
| 6 | 修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃) | パッチ公開前の攻撃 | ソフトの脆弱性 | ・資産把握 ・サポートが充実した製品を選定する |
| 7 | ビジネスメール詐欺による金銭被害 | ・巧妙なビジネスメールで金銭を送金させる ・ターゲットを金銭管理者(経理)にしている |
メール | ・教育 ・メールの真正性を確認する ・DMARCを導入する |
| 8 | 脆弱性対策情報の公開に伴う悪用増加 | ・ネットに公開された脆弱性情報を使って攻撃を行う(以前に比べ同情報公開から攻撃までの期間も短くなっている) | ・ネットの公開脆弱性情報。ダークウェブで流通している攻撃ツールを使って攻撃 | ・資産管理、把握 ・NWの監視と遮断 |
| 9 | 不注意による情報漏えい等の被害 | カバン紛失などのうっかりミスでの情報漏洩 | ・教育 ・情報漏洩対策製品の導入 |
・内部告発体制の整備 |
| 10 | 犯罪のビジネス化(アンダーグラウンドサービス) | ・認証情報や攻撃ツールの売買、人材のリクルートが行われている | 闇取引で入手したリソースによる攻撃 | ・教育 ・攻撃を想定した被害緩和策の検討(システム冗長化など) |
被害を受けた会社は、世間から「脆弱性のある会社だった。認識が甘かった!(コンプラどうなってるの!)」とマイナス評価を受けがちです。。とはいえ、現場は「IT!? んなもの知らねぇよ!だったらメールやめればいいじゃないか!」勢もまだまだいたり。。
(がんばろ。。)