IPAの情報セキュリティ10大脅威 2023発表、犯罪のビジネス化が進む

IPA（独立行政法人 情報処理推進機構）が、「情報セキュリティ10大脅威 2023」を公開しました。これは、IPAが2022年に発生した脅威候補を選定し、約200名のメンバーで構成する「10大脅威選考会」の投票を経て決定したものです。10大脅威は個人向けと組織向けが発表され、特に組織向けの10大脅威は多くの企業が参考にしています。

2023年版の10大脅威は、個人、組織ともに10位の脅威が前年の圏外のものと入れ代わっただけで、9位までの顔ぶれは前年と同じという結果になりました。ただし、上位に微妙な順位変動があり、それが昨今のセキュリティ市場の不気味さを示しているようにも見えます。

1位は2022年と同じく「ランサムウェアによる脅威」でした。ランサムウェアによる被害は2022年も多く発生しており、ニュースでも広く報道されました。

前年順位	個人	順位	組織	前年順位
1位	フィッシングによる個人情報等の詐取	1位	ランサムウェアによる被害	1位
2位	ネット上の誹謗・中傷・デマ	2位	サプライチェーンの弱点を悪用した攻撃	3位
3位	メールやSMS等を使った脅迫・詐欺の手口による金銭要求	3位	標的型攻撃による機密情報の窃取	2位
4位	クレジットカード情報の不正利用	4位	内部不正による情報漏えい	5位
5位	スマホ決済の不正利用	5位	テレワーク等のニューノーマルな働き方を狙った攻撃	4位
7位	不正アプリによるスマートフォン利用者への被害	6位	修正プログラムの公開前を狙う攻撃（ゼロデイ攻撃）	7位
6位	偽警告によるインターネット詐欺	7位	ビジネスメール詐欺による金銭被害	8位
8位	インターネット上のサービスからの個人情報の窃取	8位	脆弱性対策情報の公開に伴う悪用増加	6位
10位	インターネット上のサービスへの不正ログイン	9位	不注意による情報漏えい等の被害	10位
圏外	ワンクリック請求等の不当請求による金銭被害	10位	犯罪のビジネス化（アンダーグラウンドサービス）	圏外

サプライチェーンの弱点を悪用した攻撃

今回は、順位の入れ替わった脅威に焦点を当て、深掘りしていきたいと思います。まず、「サプライチェーンの弱点を悪用した攻撃」が、2022年の3位から2位に上がっています。サプライチェーンとは、商品の企画・開発から、調達、製造、在庫管理、物流、販売までの一連のプロセス、およびこの商流に関わる組織群のことを指します。

現在のサイバー攻撃者は組織化しており、企業と同様に費用対効果を重視します。一方で、大企業やグローバル企業のセキュリティ対策は堅牢になっているので、それを攻略するにはコストがかかり過ぎてしまいます。そこで、標的とする企業の子会社や関連会社を狙うことは、これまでも行われていました。

メーカー自身は被害を受けていませんが、メーカーの製造を担うサプライチェーンを構成する企業が攻撃を受けたことで、業務を停止しました。それによる金銭的損失は少なくはないでしょう。

別の組織のシステムがランサムウェアに感染したケースでも、その発端はその組織が委託していた別企業のシステムだった可能性が高いとされています。振り返ってみれば、標的型攻撃を受けたことが広く知られる米スーパーマーケットの事例も、空調システムがきっかけだったとされています。

このように、サイバー攻撃者はサプライチェーンの「鎖の弱い場所」を狙います。サプライチェーンリスクは深刻に捉えられており、NIST（米国国立標準研究所）が2019年に公表した「NIST SP800-171」では、サプライチェーンの企業にも一定のセキュリティ要件が設定されています。日本でもこれを受けて、いわゆる個人情報保護法を改正しています。

米国国防総省（DoD）では、いち早くNIST SP800-171を取り込み、要件を満たさないとサプライチェーンに参加できないようにしました。これが米国の企業にも浸透していくと、例えば米国企業に部品を納入していた日本の企業もNIST SP800-171に準拠しないとサプライチェーンに参加できなくなる可能性もあります。今後はサプライチェーン全体、産業界全体でセキュリティレベルを向上させていくことが課題になっていくでしょう。

内部不正による情報漏えい

2022年の5位から4位に上がったのが、「内部不正による情報漏えい」です。内部不正とは、企業の従業員あるいは元従業員、関係者などによる機密情報の持ち出し、悪用といった不正行為や、従業員などが企業のルールを守らずに情報を持ち出し、意図せずに情報を漏えいさせてしまうことを指します。

こうした内部不正がニュースになってしまうと、企業の社会的な信用が失墜してしまい、ステークホルダーの信頼を失ってしまいます。その結果、株価が下がりブランドも失墜してしまいます。その損害額は莫大なものとなります。転職の際などに競合他社に情報を漏らした場合は、相手の企業も損害賠償などの対象になる可能性があります。

具体的な手法としては、業務で使用している重要な書類をUSBメモリや外付けの記憶媒体、メール、クラウドストレージサービスなどを介して持ち出します。また、重要な書類をスマートフォンで撮影するケースもあります。さらには、上司など高い権限を持つユーザーが入力するパスワードを背後から盗み見て、あるいはモニターに貼り付けたパスワードを見て入手し、本人になりすましてログインして重要な情報にアクセスすることもあります。

特に近年は、クラウド、モバイル、リモートワークなどにより、情報へのアクセスや入手が容易になっていると考えられます。今後はさらに、内部不正への対策を強化していく必要があるでしょう。対策としては、まず情報の取り扱いに関するルールを徹底、周知し、必要があれば罰則規定も策定します。各従業員に確認し、サインさせるといったことも効果的です。

また、重要なファイルへのアクセスには多要素認証を適用したり、社内ネットワークでUSBメモリや外付けHDDなどの使用を禁止したり、システム的な対策を行う。さらに、退職した従業員のユーザーIDはすぐに削除する、ユーザーIDの共有を禁止することも必要です。そして何より、従業員へのリテラシー教育を実施することが重要といえるでしょう。

犯罪のビジネス化

2022年の圏外から、今年10位にランクインしたのが「犯罪のビジネス化（アンダーグラウンドサービス）」です。近年はサイバー攻撃そのものが増加の一途をたどっています。その背景にあるのが、サイバー犯罪者により構成されるアンダーグラウンドサービスです。

フィッシングメールも急増していますが、同様にフィッシング詐欺の実行を容易にする犯罪者向けサービスも存在します。このサービスでは、フィッシングサイトとフィッシングメールの作成が可能で、利用者がフィッシング詐欺に利用する有名ブランドを選んで使えるなど多彩な機能が提供されています。また、フィッシングメールの送信先となるメールアドレスも購入できるため、フィッシング詐欺の実行のハードルがとても低くなっています。フィッシング詐欺に引っかかったユーザーも管理でき、さらにそこで得たIDとパスワードを管理画面から他者へ販売することもできます。

いずれのサービスも成果報酬となっており、ランサムウェアやフィッシングによる収益の一部をサービス提供者に支払う仕組みになっているといわれています。また、同種のサービスの提供者同士での競争もあるといいます。こうした犯罪者向けサービスは今後も増加していくことが予想され、それがサイバー攻撃のさらなる増加につながると考えられます。

一方で、ランサムウェア攻撃ではサポートを提供するサイバー攻撃者も確認されています。ランサムウェアに感染した際に表示される警告画面に連絡先が表記されており、そこに連絡することで、身代金の金額の交渉や支払方法、支払った後の復旧方法などを教えてくれるといいます。こうした歩み寄りもサイバー攻撃者の新たな手法といえるでしょう。

多くのセキュリティベンダーが、Webを通じてアンダーグラウンドの犯罪者の活動に関する情報を提供しています。これらの情報を常に把握しておくことも、サイバー攻撃に備える一助になるといえます。

プロフィール