はじめに
この記事は2021年秋期 情報処理安全確保支援士試験の受験対策として書いた記事です。
IPAの元の資料は76スライドとだいぶボリュームがあるのでブラウザでさらっと目で追えるようまとめて行きます
(元資料は以下リンクから見れます。)
PDF: 情報セキュリティ10大脅威 2021
掲載ページ: 情報セキュリティ10大脅威 2021 -IPA
What is 情報セキュリティ10大脅威?
- IPAが2006年から毎年発行している資料
- 前年に発生したセキュリティ事故や攻撃の状況等からIPAが脅威候補を選出
- セキュリティ専門家や企業のシステム担当等から構成される「10大脅威選考会」が投票
- TOP10入りした脅威を「10大脅威」として脅威の概要、被害事例、対策方法等を解説
↑資料より引用。
「情報セキュリティ10大脅威」は「個人編」と「組織編」の2種類がありあますが、セキスペ試験においては「組織編」が有用とされています。なので本記事でも組織編を扱います。
10大脅威ランキング
| 順位 | 脅威内容 |
|---|---|
| 1位 | ランサムウェアによる被害 |
| 2位 | 標的型攻撃による機密情報の窃取 |
| 3位 | テレワーク等のニューノーマルな働き方を狙った攻撃 |
| 4位 | サプライチェーンの弱点を悪用した攻撃 |
| 5位 | ビジネスメール詐欺による金銭被害 |
| 6位 | 内部不正による情報漏えい |
| 7位 | 予期せぬIT基盤の障害に伴う業務停止 |
| 8位 | インターネット上のサービスへの不正ログイン |
| 9位 | 不注意による情報漏えい等の被害 |
| 10位 | 脆弱性対策情報の公開に伴う悪用増加 |
1位 「ランサムウェアによる被害」
第一位に選ばれたのは「ランサムウェアによる被害」でした。
最近だとカプコンが被害に合い、ゲームソフトに関する極秘情報がダークネットに公開されていたのが記憶に新しいです。
直近の事例
「カプコン ランサムウェア攻撃による個人情報流出事故 [ITmedia NEWS]」
攻撃手口
- 何らかの手段でPCにランサムウェアを感染させたあと、PC内のデータを暗号化し使用不可にする
- 復旧や機密情報公開と引き換えに「金銭」を要求する。
対策
【予防】
- 受信メールやWebサイトの十分な確認、フィルタリングツールの活用
- ネットワークの分離
- バックアップの取得(定期的にバックアップから復旧できることを確認)
- 標的型攻撃対策相当の全般的なセキュリティ対策
【被害後】
- バックアップからの復旧や復号ツールによる回復
- 推奨はされないが金銭を支払う(暗号化されたファイルが人命に関わる場合等)
2位 「標的型攻撃による機密情報の窃取」
第2位に選ばれたのが「標的型攻撃による機密情報の窃取」でした。
直近の事例
「NECにサイバー攻撃 防衛省関連ファイル約2万7000件に不正アクセス[ITmedia News]」
攻撃手口
メールを利用した手口(標的型攻撃メール)
※ZIPファイル添付、Excelのアイコンに偽装されたEXEファイルWebサイトを利用した手口(水飲み場型攻撃)
不正アクセスによる手口(認証情報の窃取→PCに不正アクセスしウィルス感染させる)
対策
- サイバー攻撃に関する継続的な情報収集と情報共有
- セキュリティ教育・インシデント訓練
- 総合運用管理ツール等によるセキュリティ対策状況の把握
- アクセス権の最小化と管理の強化
- ネットワーク分離
- 重要サーバーの要塞化(アクセス制御、暗号化等)
- ネットワーク監視・防御(UTM・IDS/IPS・WAF等の導入)
- エンドポイントの監視・防御
3位 「テレワーク等のニューノーマルな働き方を狙った攻撃」
なんと初登場にして3位にランクインです。コロナウィルス恐るべし。
直近の事例
「在宅勤務時 SNS経由で社用PCが感染、社内ネットワーク接続で被害拡大(三菱重工業) [Scan Net Security]」
攻撃手口/発生要因
- テレワーク用ソフトの脆弱性を悪用した不正アクセス
- 急なテレワーク移行による管理体制の不備
- 私物PCや自宅ネットワークの利用 ※私物PCからの情報漏えいのおそれ
対策
- セキュリティ教育の実施
- テレワークのセキュリティポリシーや規定、運用ルールの策定
- 組織のテレワークルールを順守(使用する端末、ネットワーク環境、作業場所等)
- セキュリティに強いテレワーク環境の採用
- テレワークで利用するソフトウェアの脆弱性情報収集と周知、対策状況の管理
- セキュリティパッチの適用(VPN装置、ネットワーク機器、PC)
- 適切なログの取得と継続的な監視
- ネットワーク監視、防御(UTM・IDS/IPS等の導入)
4位 「サプライチェーンの弱点を悪用した攻撃」
サプライチェーンとは、製品の原材料・部品の調達から販売に至るまでの一連の流れを指す用語です。
引用: 意外と知らない?ITトレンド用語 [NTT Communications]
最初のターゲットとしていきなり自社本体ではなく、自社と繋がっている他社や協力会社などを選んで行う攻撃のことですね。まったくいやらしいです。
直近の事例
「三菱電機、新たに1115件の情報漏えい明らかに 中国経由で不正アクセス [ITmedia News]」
攻撃手口/発生要因
- 標的組織の取引先や委託先を攻撃し、それらが保有する標的組織の機密情報を狙う
- ソフトウェア開発元等を攻撃し、標的を攻撃するための足掛かりとする
- ソフトウェアのアップデートにウイルスを仕込み、アップデートを適用した利用者にウイルスを感染させる等
対策
- 業務委託や情報管理における規則の徹底
- 報告体制等の問題発生時の運用規則整備
- 信頼できる委託先、取引先組織の選定
- 納品物の検証
- 契約内容の確認や委託先組織の管理
- セキュリティの認証取得(ISMS、Pマーク、SOC2、ISMAP等)
- 公的機関が公開している資料の活用
5位 「ビジネスメール詐欺による金銭被害」
メールで取引先だの経営者だの弁護士だの騙って担当者から金銭を騙し取る攻撃です。
直近の事例
-
巧妙化する日本語の偽メール
- 新型コロナウイルスを話題とする偽メールの事例を確認
- 日本語に不自然な点が少なく日本語を使える攻撃者がいるものと見られる(国内組織が本格的な標的に)
-
ビジネスメール詐欺の多くは「取引先との請求書偽装」
- 攻撃手口では「取引先との請求書の偽装」が多数
- 以下のポイントからやり取りの過程で気づくこともできる
- 支払い済みの請求・請求書の体裁が不自然
- 見慣れない地域への送金
- 送金先口座の凍結
- 不自然なローカル言語 等
攻撃手口/発生要因
- 何らかの手段を用いて標的組織の業務情報等を窃取
- 窃取した情報を悪用したメールで送金依頼(金銭詐取)
対策
【予防】
- メールに依存しない業務フローの構築
- メールに電子証明を付与(S/MIME) ※なりすまし防止
- メールだけでなく複数の手段で事実確認
- 普段とは異なるメールや送信元のメールドメインに注意
- パスワードの適切な管理
- ログイン通知機能、二要素認証等で不正ログイン対策
【被害後】
- CSIRT等所定の連絡先への連絡
- 銀行や警察に相談
- 踏み台や詐称されている組織への連絡
- 影響調査および原因追及、対策の強化
- メールアカウントに意図しない転送設定やフォルダー振り分け設定等がないかを確認。
- 被害を受けたメールサーバー上の全メールアカウントのパスワード変更
6位 「内部不正による情報漏えい」
離職前の職員の動向については特に注意が必要とされています。
直近の事例
「データ流出で男性主査を懲戒免職/弘前市 [陸奥新報]」
「積水化学元社員が情報漏洩疑い 大阪府警が書類送検 [日本経済新聞]」
攻撃手口/発生要因
- 付与されたパスワードを悪用し、組織の重要情報を取得
- 離職前に使用していたアカウントを使って不正に情報を取得
- USBメモリ、HDD、メール、クラウドストレージ、スマホカメラ、紙媒体等での持ち出し
対策
- 基本方針の策定
- 情報資産の把握、体制の整備
- 重要情報の管理、保護
- 物理的管理の実施
- 情報リテラシーや情報モラルの向上
- システム操作履歴の監視
7位 「予期せぬIT基盤の障害に伴う業務停止」
AWSやAzure障害等によるサービス停止が身近な例だと思いますが、直近の大きな事故だと東証取引所の大規模システム障害ですね。
直近の事例
「東証、終日取引停止の深層 NAS故障と切替設定の不備重なる [日経XTECH]」
発生要因
- 自然災害:地震や台風、洪水等の自然現象
- 作業事故:インフラ設備のメンテナンスや、システムの設定変更作業における人為的ミス等
- 設備障害:電源、空調設備等の制御システムの障害
対策
- BCMの実践(BCP策定と運用)
- 可用性の確保と維持(システム設計や監視)
- データバックアップ(復旧対策)
- 契約やSLA等を確認
- 被害を想定し、IT基盤側との事前の連携確認
8位 「インターネット上のサービスへの不正ログイン」
不正に入手したパスワードで不正ログインし機密データにアクセスする攻撃です。パスワードの使いまわしや推測されやすいパスワードを設定しない/させないことが対策の鉄則ですね。
直近の事例
「三菱電機、不正アクセスで取引先の口座情報8000件流出 [日本経済新聞]」
攻撃手口/発生要因
- 利用者が使いそうなパスワードを推測して不正ログインをみる(パスワード推測攻撃)
- 名前や誕生日等をパスワードに使用している場合は推測されやすい。
- SNSで公開している情報等から推測される場合も。
- 悪意あるウェブサイトやメール等でウイルス感染させ、その端末で利用したサービスのパスワード等を窃取
対策
- 添付ファイルやURLを安易にクリックしない
- パスワードは長く複雑にして、使いまわしをしない
- パスワード管理ソフトの利用
- 二要素認証やリスクベース認証、利用履歴を確認できる機能等を提供/利用する
- アカウントの存在有無がわかるような認証エラー表示の抑止、連続アクセスの検知等
9位 「不注意による情報漏えい等の被害」
どんなに攻撃や障害への対策をしてもヒューマンエラーが情報漏洩の抜け道になることがありますね。
直近の事例
「コロナ陽性者の個人情報9500人分が流出 クラウドのアクセス権を誤って公開状態に 福岡県が謝罪[ITmedia News]」
攻撃手口/発生要因
- 重要情報をカバンで持ち出し、カバンを紛失して漏えい
- 宛先等の確認を十分にせずメールを誤送信
- 重要情報の定義、取扱規程、持ち出し許可手順等の不備
対策
- 従業員のセキュリティ意識教育
- 情報の保護(暗号化、認証)、機密情報の格納場所の掌握
- DLP製品の導入
- 外部に持ち出す情報や端末の制限
- メール誤送信対策等の導入
- 業務用携帯端末の紛失対策機能の有効化
10位 「脆弱性対策情報の公開に伴う悪用増加」
セキュリティについて勉強していると「ゼロデイ攻撃」をよく目にしますが、近年はよりたちの悪い「Nデイ攻撃」が横行しつつあります。
直近の事例
「Netlogon の特権の昇格の脆弱性 (CVE-2020-1472) への早急な対応を[JPCERT/CC]」
攻撃手口/発生要因
- 対策情報(修正パッチ等)が公開されてから利用者が対策完了するまで存在する脆弱性(Nデイ脆弱性)を悪用
- 公開されている攻撃ツールを使用
- オープンソースのツールに脆弱性を利用する機能が実装される場合があり、それを悪用されることもある
対策
- 資産の把握、体制の整備、脆弱性情報の収集と対応
- UTM・IDS/IPS・WAF等の導入
- ネットワークの監視および攻撃通信の遮断
- セキュリティのサポートが充実しているソフトウェアやバージョンを使う
- 一時的なサーバー停止等