情報セキュリティ白書2024 備忘録

情報セキュリティ白書2024を読んで、個人的に気になったポイントのみピックアップし、まとめました。

※あくまで個人の備忘録ですので、本記事では扱っていない内容や、より詳しい情報について知りたい方は、原書にあたってください。

第1章 情報セキュリティインシデント・脆弱性の現状と対策

1.1 2023年度に観測されたインシデント状況

世界の情報セキュリティインシデント状況

1. 国家関与のサイバー攻撃の増加:
   • 多くの国家が関与していると疑われるサイバー攻撃が増加。特に中国、ロシア、北朝鮮、イランが関与しているとされる
   • 例として、Microsoftのクラウドサービスに対する攻撃があり、中国が関与している可能性が高い
2. ランサムウェアとフィッシング:
   • ランサムウェア攻撃は被害額が大きくなっており、特に重要インフラがターゲットとなっている
   • フィッシングサイトの数が増加し、特にソーシャルメディアを狙った攻撃が増えている
3. 情報漏えい:
   • 多くの企業が情報漏えいの被害に遭っており、漏えいした情報がダークウェブで販売される事例が報告されている

国内の情報セキュリティインシデント状況

1. フィッシング:
   • 2023年度のフィッシング報告件数は大幅に増加し、過去最大となった
   • ブランドをかたったフィッシングが多く、特にAmazonやクレジットカードブランドが多く狙われている
2. 内部不正:
   • 上場企業による個人情報の漏えい事故が増加しており、内部不正による情報漏えいが特に問題視されている
3. ランサムウェア:
   • 被害件数は依然として高い水準であり、特に製造業が多く被害を受けている
   • 「二重恐喝」や「ノーウェアランサム」といった新しい手口が見られる
4. Webサイト改ざん:
   • Webサイト改ざんの件数は過去5年間で最小となったが、依然として注意が必要

このように、2023年は国家関与のサイバー攻撃やフィッシング、ランサムウェアの脅威が増大しており、情報セキュリティに対する対策の強化が求められています。

1.2 情報セキュリティインシデント別の手口と対策

1.2.1 ランサムウェア攻撃

• ランサムウェアとは：システムやファイルを暗号化し、復旧と引き換えに身代金を要求するウイルスの総称。特に最近は「侵入型ランサムウェア攻撃」として、システムに侵入してデータを暗号化する手口が主流になっている

• 傾向：2023年にはランサムウェア攻撃の報告が増加しており、特にRaaS（Ransomware as a Service）による攻撃者の組織化が進んでいる。製造業や公共機関など幅広い業種で被害が確認されており、特にVPN製品やリモートデスクトップからの侵入が多い

• 手口の種類：データを暗号化せずに公開すると脅迫する「ノーウェアランサム攻撃」が増加。これにより被害が発覚しにくいことが懸念されている

• 被害事例：

  • 名古屋港運協会では、2023年7月にランサムウェア攻撃でシステムが暗号化される被害が発生。調査の結果、VPN機器が原因とされる
  • エムケイシステム社では、2023年6月にランサムウェア攻撃でデータが暗号化され、約3,400ユーザーに影響が出た
  • 株式会社Y4.comでは、ノーウェアランサム攻撃で1,014人の個人情報が漏えいした可能性がある

• 対策：

  • ネットワーク侵入への対策として、脆弱性管理やアクセス制御の強化が必要
  • データ暗号化に備え、バックアップの取得や事業継続計画（BCP：Business Continuity Plan）の策定が重要
  • インシデント対応力の強化のために訓練や対策の準備が求められる

RaaS（Ransomware as a Service）とは、ランサムウェア本体や身代金要求のためのインフラなどランサムウェア攻撃に必要な一式を「サービス」として提供するもの

1.2.2 標的型攻撃

• 標的型攻撃とは：特定の企業・組織を狙ったサイバー攻撃。フィッシングメールやウイルスメールなどの手口が使用され、ネットワーク貫通型攻撃も確認されている

• 攻撃手口：

  • 標的型攻撃メールでは、役職員にウイルス感染させるファイルやリンクを送付
  • ネットワーク貫通型攻撃では、VPN製品やWebサーバーの脆弱性を悪用

• 事例：

  • 「Tropic Trooper」という攻撃者グループが標的型攻撃メールを利用し、中国企業の従業員を狙った攻撃が報告された
  • 「Earth Kasha」というグループが、日本の政府機関やハイテク関連団体を対象とした攻撃を行った

• 対策：

  • CSIRT（Computer Security Incident Response Team）の設置と運用、セキュリティインシデント発生時の対応力強化
  • 情報共有やサプライチェーン全体での対策強化

CSIRT（Computer Security Incident Response Team）とは、セキュリティインシデントが発生した際の組織内部と外部との適切な連絡体制の整備や調査・分析、セキュリティの教育・啓発活動の実施等を行う組織体制のこと

1.2.4 DDoS攻撃

• DDoS攻撃とは：複数の送信元から同時に大量のパケットや問い合わせを送信し、対象システムを過負荷にする攻撃

• 動向：2023年には過去最多のDDoS攻撃が確認され、特にアジア太平洋地域の無線通信プロバイダーに対する攻撃が増加

• 手口と事例：

  • リフレクション攻撃やランダムサブドメイン攻撃が多発。特にSLP（Service Location Protocol）の脆弱性を悪用した攻撃が報告された

• 対策：

  • 重要度に応じたサービスの保護、ISPやセキュリティベンダーの対策サービスの利用
  • 被害に遭った場合の対策としては、攻撃元のIPアドレス遮断や国内からのアクセスを優先する設定が有効

SLPとは、ネットワーク上に存在する機器の位置（IPアドレス（またはドメイン名）とポート）を検出、または、提供するプロトコルです。

1.2.5 ソフトウェアの脆弱性を悪用した攻撃

• 状況：VPN製品やMicrosoft製品、ファイル転送ソフトウェアの脆弱性を狙った攻撃が多発

• 攻撃事例：

  • Citrix社の製品に関する「Citrix Bleed」脆弱性が、LockBitやBlackCatなどの攻撃に悪用された
  • Microsoft Officeの脆弱性を利用した攻撃では、「Storm-0978」グループが欧米の防衛機関を標的とした

• 対策：

  • 迅速な修正プログラムの適用や回避策の実施。構成管理と情報収集、攻撃対応手順の準備が求められる

第2章 情報セキュリティを支える基盤の動向

2.1.2 デジタル庁の政策

デジタル庁は、デジタル社会推進標準ガイドラインをまとめており、その中には九つのセキュリティ関連のドキュメントがあります。これらは政府情報システムの整備や管理に関する共通ルールや参考ドキュメントです。

（1）「デジタル社会推進標準ガイドライン」群におけるセキュリティに関するドキュメントの改訂

2022年および2023年に公開されたセキュリティ関連ドキュメントの改訂が行われ、関係者の意見や2023年7月に決定された政府の統一基準に基づく修正が行われました。

• 「政府情報システムにおけるセキュリティ・バイ・デザインガイドライン」の改訂
  セキュリティ対策をシステムの企画から運用まで一貫して実施する必要があり、2024年1月には内容の見直しと改善が行われました

• 「常時リスク診断・対処（CRSA）のエンタープライズアーキテクチャ（EA）」の改訂
  ゼロトラストアーキテクチャ下でのセキュリティリスクの早期検知と低減を目的とした改訂が行われ、2024年1月に内容が更新されました

• 「政府情報システムにおける脆弱性診断導入ガイドライン」の改訂
  最適な脆弱性診断の選定と調達に関する基準と指針が改訂され、2024年1月と2月に変更が加えられました

（2）「デジタル社会推進標準ガイドライン」群におけるセキュリティ等に関するドキュメントの策定

2023年度に新たに策定された二つのセキュリティ関連ドキュメントについて紹介されました。

• 「CI/CDパイプラインにおけるセキュリティの留意点に関する技術レポート」の策定
  モダンアプリケーションにおけるCI/CDパイプラインのセキュリティ対策について解説し、各フェーズごとの対策を整理しています

• 「安全保障等の機微な情報等に係る政府情報システムの取扱い」の策定
  安全保障や公共の安全に関連する機微な情報を扱う情報システムのリスクと対応策、クラウド化の検討やデータ連携の留意点を示しています

政府情報システムにおける セキュリティ・バイ・デザインガイドライン とCI/CD パイプラインにおけるセキュリティの留意点に関する技術レポート は担当する案件でも参考にしたいと思いました。

第3章 情報セキュリティ対策強化や取り組みの動向

3.6 クラウドのセキュリティ

2010年頃からインターネット経由で利用できるクラウドサービスが普及し、現在では主流となっている。本節では、クラウドサービスの利用状況やセキュリティ上の課題と対策について述べる。

3.6.2 クラウドサービスのインシデント事例

クラウドサービスの利用にはネットワーク経由のアクセスが不可欠であり、そのためセキュリティ上の配慮が必要である。2023年度のインシデント事例を振り返る。

（1）設定ミスによるインシデント事例

• SaaS利用時の設定ミス: 2023年12月7日、株式会社エイチームはGoogleドライブの設定ミスにより、約94万人分の個人情報が公開されていたと公表した。SaaSの手軽さが裏目に出た事例で、情報漏えいの可能性が推測されるが、具体的な被害範囲は特定できていない

• IaaS/PaaS利用時の設定ミス: トヨタコネクティッド株式会社の管理するデータが2023年5月12日にクラウド環境の設定ミスにより公開され、約230万人分の個人データが漏えいする恐れがあると判明した。また、「NauNau」アプリの位置情報や会話が外部から参照可能な状態にあったが、情報流出は確認されていない

（2）サイバー攻撃によるインシデント事例

• パスワードリスト攻撃: エン・ジャパン株式会社や株式会社セシールのオンラインショップで、不正ログインが発生した。セシールの事例では、迅速な対応で被害を限定した

• ランサムウェア攻撃: 株式会社エムケイシステムがランサムウェア攻撃を受け、社会保険労務士向けサービスが利用できなくなった。パスワード管理やバックアップの重要性が再認識された

• 業務委託先経由のサイバー攻撃: LINEヤフー株式会社のデータが不正アクセスにより漏えいした。韓国NAVER Cloud Corp.のウイルス感染が起点となり、約43万件の個人データが漏えいした

（3）広域インフラ障害のインシデント事例

• グローバルIaaS/PaaSの大規模障害: 2023年1月25日、Microsoft社のクラウドサービスが設定変更の失敗により、全世界で利用できなくなる障害が発生。6月14日には、AWSクラウドでもインフラ構成の自動調整機能の不具合が原因で障害が発生した

• 通信障害: NTT西日本の「フレッツ光」等が一時利用できなくなる障害が発生。原因はネットワーク機器の不具合とされている

3.6.3 クラウドサービスのセキュリティの課題と対策

クラウドサービス利用においては、「責任共有モデル」に基づき、サービス利用者と事業者の責任範囲を整理する必要がある。

（1）サービス利用者側での対策

• パスキー認証の利用: パスワードの代わりに指紋や顔認証を利用するパスキー認証が推奨される

• インフラ障害への備え: ネットワークの多重化やバックアップの徹底が重要。特にランサムウェア攻撃の対策として、別の場所にバックアップを保管することが望ましい

（2）サービス事業者側での対策

• パスキー認証の導入: 公開鍵暗号とチャレンジ・レスポンス認証の組み合わせを利用する

• クラウドセキュリティ標準への準拠: サービス事業者は、クラウドセキュリティ標準に準拠し、ISMSクラウドセキュリティ認証やSOC 2、CSA STAR認証などを取得することで、クラウドサービスの品質を確保することが求められる

クラウドサービスを念頭においたセキュリティの考え方については、NISC が2021 年11月末にクラウドを利用したシステム運用に関するガイダンスを公表しており、その他の参考資料も含め全体を俯瞰する起点として利用できる

責任共有モデルとは、サービス利用者とサービス事業者の間でそれぞれにどこまでを責任範囲とするかを整理するもの。クラウドセキュリティ 〜設定ミスとの付き合い⽅〜の6Pを参照。

第４章　注目のトピック

4.2 AIのセキュリティ

4.2.3 AIのリスク要因の包括的整理

AIの急速な普及に伴い、技術者や法律家などの専門家が技術、倫理、制度の観点からリスクを議論し、国際標準やガイドラインが整備された。特に安全性に関するリスクが注目されており、AIの誤作動や悪用が人権侵害や民主主義への脅威を引き起こす可能性があるとされている。また、データの知的財産権、プライバシー保護、説明性なども重要なリスク要因とされている。

(1) 国際標準によるリスク対応の枠組み

2023年12月に発行されたISO/IEC 42001:2023は、AIの信頼性や透明性、説明責任などに配慮しつつ、リスク対応の枠組みを提供している。この規格はAIシステムを開発・提供・利用するすべての組織に適用される。

(2) ガイドライン等によるリスク対応の枠組み

米国国立標準技術研究所（NIST：National Institute of Standards and Technology）のArtificial Intelligence Risk Management Framework（AI RMF 1.0）やOECDのAI Principlesは、AIの信頼性確保のためのリスク管理ガイドラインを提供している。AI RMFでは妥当性、安全性、セキュリティ、説明責任、プライバシー強化、公平性などのリスク要因を整理している。Generative AI Profileは生成AI特有のリスクに対応するためのガイドラインを提供している。

(3) 国内のAIガイドラインによるリスク統制

日本政府はAI事業者ガイドラインを発表し、AIの開発・利用における人間中心、安全性、公平性、プライバシー保護などの項目を強調している。

4.2.5 AIのサイバーセキュリティリスクの分類

AIシステムのサイバーセキュリティリスクには、AIの悪用、機能特性による誤判断、機能特性を突いた攻撃がある。

(1) AIの悪用

AIの悪用は、システムの脆弱性を突く攻撃と、人間の脆弱性を突く攻撃に分けられる。AIはセキュリティ対策としても利用されるが、同時に攻撃者にも利用される可能性がある。

(2) AIの機能特性による誤判断・誤用

AIの誤判断は、サイバーフィジカルシステムへのセーフティ脅威となることがある。特に自動運転車の事故などが代表的な例である。

(3) AIの機能特性を突いた攻撃脅威

AIシステムの特性を悪用する攻撃として、プロンプトインジェクション、敵対的サンプル、モデルインバージョンなどがある。

4.2.6 AIセキュリティ対策の動向

国内外でAIセキュリティガイドラインが整備されている。日本ではAI事業者ガイドラインやセキュアAIシステム開発ガイドラインが公開され、米国ではNISTがAI RMFやセキュアソフトウェア開発フレームワークなどを提供している。

参考にしたいドキュメント

政府情報システムにおける セキュリティ・バイ・デザインガイドライン
CI/CD パイプラインにおけるセキュリティの留意点に関する技術レポート
クラウドを利用したシステム運用に関するガイダンス
AI事業者ガイドライン
セキュアAIシステム開発ガイドライン