昨今、情報セキュリティに関する脅威が巧妙化しており、企業の情報システム担当者は対応を迫られています。適切なセキュリティ対策を実施するために、まずは情報セキュリティ脅威の実態を把握することが必要です。
そこで本記事では、情報処理推進機構(IPA)が公開した「情報セキュリティ10大脅威2022」をもとに、2022年に実際に起きた被害事例や対策についてご紹介します。
ページコンテンツ
IPAが公開!2022年の情報セキュリティ10大脅威まとめ
情報セキュリティ10大脅威とは
情報セキュリティ10大脅威は、前年に発生したセキュリティ攻撃や事故から脅威を選定し、10位までランキング付けしたものです。2006年から毎年、情報セキュリティ対策を広めることを目的として、独立行政法人情報処理推進機構(IPA)が発表しています。
2022年の10大脅威は、2021年に発生した社会的影響の大きい情報セキュリティ事案をもとに、2022年1月に公開されました。
2021年の情報セキュリティ脅威については以下でご紹介しています。近年はどのような脅威が注目されているのか、おさらいとしてぜひご活用ください。また、脅威の原因と対策については以下ホワイトペーパーをご覧ください。
情報セキュリティ担当者は押さえておきたい「情報セキュリティ10大脅威 2021」(前編)
情報セキュリティ担当者は押さえておきたい「情報セキュリティ10大脅威 2021」(後編)
2022年の情報セキュリティ10大脅威ランキングおさらい
以下は、2022年の情報セキュリティ10大脅威ランキングです。
- 第1位 ランサムウェアによる被害
- 第2位 標的型攻撃による機密情報の窃取
- 第3位 サプライチェーンの弱点を悪用した攻撃
- 第4位 テレワーク等のニューノーマルな働き方を狙った攻撃
- 第5位 内部不正による情報漏えい
- 第6位 脆弱性対策情報の公開に伴う悪用増加
- 第7位 修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃)
- 第8位 ビジネスメール詐欺による金銭被害
- 第9位 予期せぬIT基盤の障害に伴う業務停止
- 第10位 不注意による情報漏えい等の被害
約1年を通して、これらのセキュリティインシデントが多数発生しており、情報システム担当者はそれぞれの脅威について把握し、対策を進める必要があります。そこで以下では、ランキング入りしている脅威の中で、2022年に実際に被害が出た事例とその脅威への対策方法をご紹介します。
※順位や脅威の内容については、情報処理推進機機構(IPA)「情報セキュリティ10大脅威 2022」をもとに作成しています。
2022年に起きた最新の被害事例と対策方法とは
事例1: 自動車メーカーでのランサムウェア被害
2022年3月に、大手自動車メーカーと取引関係にある部品メーカーがランサムウェアの被害を受けました。サーバやパソコン端末の一部でデータの暗号化がされ、「3日以内に我々に連絡しなければデータを公開する」という脅迫メッセージが届き、当該自動車メーカーの国内全工場が稼働を停止するという大きな影響が出ました。
ランサムウェアによる被害は、2021年同様2022年も情報セキュリティ10大脅威で1位にランクインしています。ランサムウェアに感染すると、端末のロックやデータの暗号化が行われ、その復旧と引き換えに多額の金銭を要求されます。世界中で猛威を振るっており、攻撃手法も巧妙化が進んでいることから、ランサムウェア対策は必要不可欠です。
対策としては、セキュリティルールの徹底やランサムウェア脅威の周知・教育、不正サイトへのアクセスブロック、エンドポイントへのウイルス対策ツールの導入、定期的なバックアップなどが挙げられます。
ランサムウェアの被害事例や最新動向、対策については以下資料で詳しく紹介しています。
事例2: テレワークに必要なVPN機能による情報流出
警察庁が公表した資料によると、2022年の1月から6月の半年間で、感染経路が判明しているランサムウェア被害の約7割がVPN機能からの侵入とされています。
出典:警察庁(令和4年上半期におけるサイバー空間をめぐる脅威の情勢等について)
VPNとは、社内ネットワークと社外をつなぐ仮想専用線のことです。コロナ禍を受けてテレワークが普及する中、ウェブ会議や自宅等から VPN 経由で社内システムへアクセスする機会が増え、こうした新たな業務環境の脆弱性を突いた攻撃が顕在化しています。
具体的な被害としては、ウェブ会議をのぞき見されたり、テレワーク用の端末にウイルスを感染させられたりするなどがあります。対策方法としては、最新のセキュリティパッチが適用されているVPN装置の使用や多要素認証の導入などが挙げられます。
テレワーク普及で頻発するVPNの対策についてはこちらの記事で解説しています。
また、多要素認証の概要やメリット、運用時の注意点などは以下で説明しています。
事例3: 社員による内部不正・不注意で情報漏えい
2022年1月に、不動産サービスを展開する企業において、同社子会社の社員が転職の際に個人情報を含む顧客情報を不正に持ち出していたことが発覚しました。元社員は同社に刑事告訴され、逮捕されています。この事例のように、転職先に情報を提供する手土産転職や、恨み・妬みを理由とした内部不正が行われるケースもあります。
悪意を持った犯行でなくとも、組織の規程の不備や従業員に対する情報リテラシー教育の不足、不注意・ミスによって情報漏えいする事例も多く発生しています。
例えば2022年6月には、ある自治体で全市民の個人情報が入ったUSBメモリーを、業務委託先(再々委託先)企業の社員が紛失する事案が発生しました。最終的にUSBメモリーは発見されたものの、市や受託企業の情報管理の甘さが問題視されました。こうした紛失や置き忘れなどの人為的ミスは情報漏えいの原因として最も多いと言われています。
情報漏えいがあった場合、組織の社会的信用の失墜や損害賠償等により、組織に多大な損害を与えることもあります。
また、2022年の情報セキュリティ10大脅威では、内部不正による情報漏えいが5位、不注意による情報漏えいが10位に入っていることからも対策は必要不可欠です。対策としては、機密情報の管理・保護の徹底、システムの強化、従業員の情報リテラシー向上などがあります。
内部不正や不注意による情報漏えいが起こる原因や対策については以下でご紹介しています。あわせてぜひご覧ください。
事例4:脆弱性対策情報の公開に伴う標的型攻撃
2022年10月に、IPAおよび一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)が、大手IT企業のグループウェアの脆弱性に対する情報を公開しましたが、この脆弱性を悪用した限定的な標的型攻撃が既に確認されています。
「脆弱性対策情報の公開に伴う悪用増加」は、2021年版の情報セキュリティ10大脅威ランキングでは10位でしたが、2022年は6位にまで上がり、被害が多くなっている脅威です。脆弱性の脅威や対策情報を製品利用者に広く呼び掛けるために公開したソフトウェアや機器類の脆弱性対策情報が悪用され、脆弱性対策を講じていないシステムが狙いうちされます。これにより、情報漏えいや改ざん、ウイルス感染等の被害が発生します。
対策として、企業の情報セキュリティ担当者はベンダーの発表を注視し、脆弱性が発表されれば速やかに対策を講じることが重要です。
今回の事例で紹介した、標的型攻撃の特徴や対策などについてはこちらの記事で解説しています。
事例5:セキュリティ企業が被害を受けたゼロデイ攻撃
2022年9月には、ベトナムに拠点を置くセキュリティ企業が、監視対象としていた大手IT企業開発のグループウェアにおける、未修正の脆弱性を悪用するゼロデイ攻撃が発生していることを公表しました。これを受け、当該IT企業は緩和策の実施を呼び掛け、ガイダンスを公表しています。
ゼロデイ攻撃とは、脆弱性の修正プログラムや回避策が公開される前の脆弱性を狙う攻撃のことで、2022年からセキュリティ10大脅威にもランクインしています。主な被害としては、情報漏えいや改ざん、ウイルス感染などがあります。
脆弱性対策情報が公開されていないため、ゼロデイ攻撃を完璧に防ぐことは困難ですが、できるだけ攻撃に遭わないようにするための事前対策が有効です。例えば、ソフトウェアのアップデート、多層防御、サンドボックスの使用などの対策が挙げられます。また、ゼロデイ攻撃を受けてしまった場合の対処法も確認しておくことが重要です。
ゼロデイ攻撃の概要や事例、対応方法などについてはこちらの記事で詳しく解説しています。
事例6:Emotetの活動再開・感染拡大
2021年11月に活動再開が確認されたEmotetは、日本国内検出台数が2022年の1月~3月で過去最多となり、ピーク時には4万台以上の感染が確認されています。
Emotetに感染すると、情報漏えい、スパムメール送信の踏み台化、他のマルウェアの感染、ランサムウェアの感染など被害が発生するケースもあります。
対策としては、「Emotet」というマルウェアの社内周知・教育、メールセキュリティやエンドポイントセキュリティの強化対策が重要です。
Emotetの脅威や対策など詳しい情報は以下でご紹介しています。ぜひご覧ください。
以下では、こうした脅威への対策として有効な手段をご紹介します。
最新の脅威に対応可能なゼロトラスト型セキュリティ
ここまでご紹介したように、ランサムウェアや標的型攻撃に加え、近年はテレワーク、クラウドサービス、社外コミュニケーションの増加など、会社外からネットワークに接続することが一般的になり、従来の境界型セキュリティ対策では対処しきれないケースが増加しています。このようなテレワーク等のニューノーマルな働き方を狙った攻撃に対しても、今後さらに注意が必要です。
こうしたことから、すべての通信を信頼しないことを前提にした仕組みである「ゼロトラスト」の考え方が重要になっています。
ゼロトラスト型エンドポイントセキュリティの「AppGuard」は、マルウェアかを判断するのではなく、OSに害のある動きをすべてブロックして無効化します。これにより、悪意あるプログラムに侵入されても発症を防ぎ、マルウェアの侵入に対してOSの正常な動作を守ります。