情報セキュリティ10大脅威2024 組織編〜要点と傾向まとめ
「情報セキュリティ10大脅威2024」が公開されました。これは、独立行政法人情報処理推進機構(IPA)が2023年に発生した社会的に影響が大きかったと考えられる情報セキュリティ事案をまとめ、情報セキュリティ分野の研究者、企業の実務担当者など約200名のメンバーからなる「10大脅威選考会」が審議・投票を行い、決定したものです。
10大脅威2024には個人編と組織編がありますが、本記事では組織編の上位10位に焦点を当て解説します。昨今の傾向や最新の事例についても触れていますので、最後までぜひご一読ください。
※参考:独立行政法人情報処理推進機構(IPA)「情報セキュリティ10大脅威2024」
情報セキュリティ10大脅威~組織編~
10大脅威2024 組織編のランキング上位10位は以下の通りです。
| 順位 | 脅威 | 10大脅威での取り扱い (2016年以降) |
| 1 | ランサムウェアによる被害 | 9年連続9回目 |
| 2 | サプライチェーンの弱点を悪用した攻撃 | 6年連続6回目 |
| 3 | 内部不正による情報漏えい等の被害 | 9年連続9回目 |
| 4 | 標的型攻撃による機密情報の窃取 | 9年連続9回目 |
| 5 | 修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃) | 3年連続3回目 |
| 6 | 不注意による情報漏えい等の被害 | 6年連続7回目 |
| 7 | 脆弱性対策情報の公開に伴う悪用増加 | 4年連続7回目 |
| 8 | ビジネスメール詐欺による金銭被害 | 7年連続7回目 |
| 9 | テレワーク等のニューノーマルな働き方を狙った攻撃 | 4年連続4回目 |
| 10 | 犯罪のビジネス化(アンダーグラウンドサービス) | 2年連続4回目 |
では、各脅威について一つずつ見ていきましょう。なお、文中の( )の数字は昨年の順位を表しています。
10位 犯罪のビジネス化(アンダーグラウンドサービス)(10位)
昨年5年ぶりにランクインした犯罪のビジネス化が今年も10位となりました。かつては個人が自己顕示目的で行うものだったサイバー攻撃は昨今、攻撃ツールや犯罪システムがアンダーグラウンドで商品として売買され、ビジネスとなりつつあります。
その背景には、情報が価値を持つ資産となったことが挙げられます。そのため、犯罪のビジネス化は個人情報や機密情報を多く保有している企業の方が個人よりも標的になりやすいと言えます。
<対策例>
・脅威情報を先取りした情報収集
・組織内におけるインシデント体制の整備
・機器の脆弱性を解消する(「サポート切れのOSやシステムを使用しない」等) など
9位 テレワーク等のニューノーマルな働き方を狙った攻撃(5位)
コロナ禍で上位にランクインしていた「テレワーク等のニューノーマルな働き方を狙った攻撃」が前年の5位から大きくランクを下げました。これは新型コロナが5類に移行し、オフィス回帰が促されたことが要因として考えられます。加えて、テレワークにおけるセキュリティ環境や意識の向上が少なからず寄与しているのかもしれません。
しかし、テレワークを始めとする働き方の多様化は今後も発展していくことが予想されます。今回の結果に油断せず、引き続き従業員への情報セキュリティ教育などを継続していくことが必要です。
<対策例>
・メンバーの情報セキュリティ教育を徹底する(「テレワークで使用するパソコン等は他人と共有しない」「公衆Wi-Fiを使用しない」等)
・CSIRT(サイバー攻撃やセキュリティ事故が発生した際のインシデント対応を担う専門チーム)を構築する など
8位 ビジネスメール詐欺による金銭被害(7位)
ビジネスメール詐欺は、悪意のある第三者が権威のある関係者になりすまして巧妙な偽装メールを送り、金銭をだまし取るサイバー攻撃です。国内だけでなく世界的に増加傾向にあり、大きな脅威となっています。被害額も年々増加しており、米国連邦捜査局(FBI)の調査では1件あたりの平均被害額は約18万米ドル(日本円では約2,700万円(2024年2月時点))だと報告されています。
日本企業になりすまして海外の企業を狙った事例も報告されていますので、特に海外と取引のある企業は注意が必要です。
※参考:独立行政法人情報処理推進機構(IPA)ビジネスメール詐欺(BEC)の特徴と対策
<対策例>
・業務フローの徹底(「メールを受信したら真偽を確認する」「金銭を扱う処理は個人の判断で完結しないようにする」等)
・メールに表示された送信元(ヘッダーFrom)ドメインから正規に送信されたメールであるかどうかを認証する、送信ドメイン認証技術である「DMARC」の導入
・メールセキュリティソフトを導入する など
7位 脆弱性対策情報の公開に伴う悪用増加(8位)
利用者へ脆弱性の脅威や対策情報について伝えるための脆弱性対策情報を悪用して、対策をしていない利用者を狙う攻撃も後を絶ちません。特に、利用人口が多いツールやサービスほど、被害拡大のリスクが高まります。
昨今の被害状況を踏まえて経済産業省とIPAは2023年3月、ECサイトを持つ中小企業向けにセキュリティガイドラインを作成・公表しました。さらに、2024年度末にはECサイトを運営する事業者に対して「脆弱性診断の実施」「本人認証の導入」を義務化する予定です。セキュリティガイドラインはECサイト以外の企業も参考にできる部分が多くありますので、最新の情報を収集して、対策を検討していきましょう。
※参考: 独立行政法人情報処理推進機構(IPA)「ECサイト構築・運用セキュリティガイドライン」を公開
<対策例>
・製品セキュリティを常に最新の状態に維持する
・製品に含むソフトウェアを構成するコンポーネントや互いの依存関係、ライセンスデータなどをリスト化した一覧表である「SBOM」の活用
・脆弱性関連情報の収集を行う など
6位 不注意による情報漏えい等の被害(9位)
昨年9位だった「不注意による情報漏えい等の被害」が6位にランクアップしています。USBの紛失やクラウド上にある情報の誤共有など、2023年度は人的ミスによる被害が大きかったようです。
また、本脅威で注意しておきたい新たな要因として、生成AIが挙げられます。AIはルーティン業務を効率化できる便利なツールである反面、個人情報や機密情報をうっかり入力してしまうリスクが懸念されています。リスクを把握しルールを明確にしたうえで利用する必要があるでしょう。
<対策例>
・メール誤送信防止ソリューションの導入
・組織内のプロセス及び体制の見直し(「特定の担当者へ業務を集中させない」等)
・情報の保護を徹底する(「外部に持ち出す端末を制限する」「DLP製品を導入する」等) など
5位 修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃)(6位)
ゼロデイ攻撃とは、OSやソフトウェアの脆弱性に対する修正プログラム(パッチ)が提供される前の脆弱性を悪用した攻撃です。
昨今では、2022年〜2023年にかけて内閣サイバーセキュリティセンター(NISC)と気象庁の使用するメール関連システム・機器を狙ったゼロデイ攻撃が発見された事例がありました。両機関は速やかに被害にあったとされるメール機器の交換を実施し、再発防止策を進めています。
※参考:NISC「内閣サイバーセキュリティセンターの電子メール関連システムからのメールデータの漏えいの可能性について(2023年8月4日)」
<対策例>
・被害の早期検知
・システムを常に最新バージョンにアップデートする
・セキュリティ対策ソフトやアプリケーションを導入する(ファイアウォールやサンドボックス等) など
4位 標的型攻撃による機密情報の窃取(3位)
標的型攻撃による機密情報の窃取は特定の組織(官公庁、民間団体、企業等)を狙い、機密情報や営業妨害を目的とした攻撃です。10大脅威2024では昨年よりランクを一つ落としたものの、9年連続9回目で常にランクの上位を維持しています。
攻撃者はメールに不正URLやウイルスを添付するなどの手口で、機密情報を搾取しようとします。昨今、ウイルス対策ソフトでは検出されないものが多く、感染に気づかぬ間に被害が拡大しているケースが増えているため、社内で事例や情報を共有して対策することが大切です。
なお、2023年10月24日、東京大学は教員が使用していたPCが標的型攻撃によるマルウェアに感染し、個人情報約4000件が漏洩した可能性があると発表しました。公表時点で流出した可能性のある情報を悪用したとみられる二次被害は確認されていませんが、安易にURLのクリックや添付ファイルの開封をしないようにすることが重要です。
<対策例>
・標的型メール訓練の実施
・業務フローを確認または再構築する(「アプリケーション許可リストを整備する」等)
・メンバーのセキュリティ意識を向上する(「不明なアドレスにはアクセスしない」等)など
3位 内部不正による情報漏えい等の被害(4位)
内部不正による情報漏えい等の被害とは、組織の従業員や元従業員、関係者による機密情報の持ち出しやそれを悪用する行為を指します。“内部”には社内の従業員を始め業務委託先や取引先の担当者、さらには退職者も含まれるため、広範囲への対策が必要です。
2023年には、山田養蜂場などの顧客情報が不正に持ち出される事件が発生しました。特に同社からは約400万件に及ぶ情報流出が起こり、社会に衝撃を与えました。
<対策例>
・アクセス権限の見直しや、退職者のアカウントの削除
・外部記録媒体などの利用制限
・資産管理を行い、情報セキュリティポリシーを策定する
・メンバーのコンプライアンス教育を徹底する(「容易に情報を拡散しない」等) など
2位 サプライチェーンの弱点を悪用した攻撃(2位)
サプライチェーン※の弱点を悪用した攻撃とは、ターゲット企業に直接サイバー攻撃を行わず、脆弱性がある取引先や関連企業に攻撃を仕掛け、ターゲット企業に不正侵入を行う攻撃です。本脅威は6年連続「10大脅威」にランクイン。また、4位だった2021年から徐々に順位を上げています。
2023年度は、国内シェアトップを誇るSNSを運営する会社が委託先のマルウェア感染をきっかけにネットワークを経由してサイバー攻撃者が侵入を行った事例が大きな話題となりました。デジタル化にともなって需要が伸びているクラウドですが、活用時は社内外の利用者を対象とした対策を検討する必要があります。
※サプライチェーン…原材料や部品の調達、製造、在庫管理、物流、販売までの一連の商流、およびこの商流に関わる一環の流れ
<対策例>
・サプライチェーン全体のセキュリティ対策状況の把握
・信頼できる業務委託先を選定する(情報管理規則を交えた契約書を締結し、定期的に監査を行う)
・流通時に利用するシステムの把握と管理を行う など
1位 ランサムウェアによる被害(1位)
2020年から4年連続で1位となったランサムウェアによる被害。発生件数は頭打ちしているものの依然として多くの被害が続いており、警鐘が鳴らされています。ランサムウェアとは、パソコンやスマートフォンを感染させてファイルの暗号化や画面をロックさせる攻撃で、解除・復旧のために代償金が要求されるケースもあります。
警察庁の資料によると、2023年上半期におけるランサムウェアによる被害件数は103件。そのうち二重恐喝(ダブルエクストーション(データを暗号化するだけではなくデータの窃取も行い、脅す手口))が65件(約80%)を占め、データを暗号化せずデータを窃取し対価を要求する手口(ノーウェアランサム)が新たに6件確認されています。手口が多様化していることを踏まえ、企業はより多層的な対策が求められるでしょう。
※参考:警察庁「令和5年上半期におけるサイバー空間をめぐる脅威の情勢等について」
なお、2023年7月4日には、名古屋港に5つあるコンテナターミナルを一元的に管理する「名古屋港統一ターミナルシステム(NUTS)」がランサムウェアに感染しました。システムが完全復旧するまで2日半にわたって港内すべてのコンテナターミナルが作業停止するという被害が出ています。
<対策例>
・ストレージの定期的なバックアップ
・セキュリティ機能の提供(「多要素認証の設定を有効にする」「サーバーへのアクセス権限を最小限に設定する」等)
・メンバーのネットリテラシー教育を徹底する(「不審なURLを安易にクリックしない」等) など
情報収集は有効な情報セキュリティ対策の一つ
デジタル化の進歩とともに、情報セキュリティ対策への重要性が年々高まっています。例年発表されている「10大脅威」は最新の情報セキュリティ情報を把握し、リスク対策の指針となる重要な調査です。日々進化する脅威に対処するために、最新情報の収集と適切な措置が欠かせません。そのためには専門のコンサルティングサービスを利用することも一つの方法です。
