情報セキュリティ10大脅威2022を社内SEの目線で解説(組織編)その2
今回は前回に引き続き3位~1位の脅威について解説します。
10位から4位の記事はこちらへどうぞ。
なお、10大脅威2022の全体像は下表のとおりです。
順位 | 内容 | 昨年順位 |
1位 | ランサムウェアによる被害 | 1位 |
2位 | 標的型攻撃による機密情報の窃取 | 2位 |
3位 | サプライチェーンの弱点を悪用した攻撃 | 4位 |
4位 | テレワーク等のニューノーマルな働き方を狙った攻撃 | 3位 |
5位 | 内部不正による情報漏えい | 6位 |
6位 | 脆弱性対策情報の公開に伴う悪用増加 | 10位 |
7位 | 修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃) | NEW |
8位 | ビジネスメール詐欺による金銭被害 | 5位 |
9位 | 予期せぬIT基盤の障害に伴う業務停止 | 7位 |
10位 | 不注意による情報漏えい等の被害 | 9位 |
3位:サプライチェーンの弱点を悪用した攻撃
標的型攻撃の一種ともいえる攻撃手法です。標的の組織に直接攻撃をしかけずに、その組織が取引している関連企業を先に攻撃して踏み台にしてから本丸である標的組織に攻め込んできます。
さすがに脅威第3位ともなると高度な攻撃がランクインするようになり、対策も手間がかかるようになってきます。
この攻撃の特徴は、標的組織は規模が大きかったり特殊な情報(軍事、先端技術、インフラ関連など)を持っている組織が狙われやすいことにあります。
理由として、守る方も手間がかかりますが攻撃する方も手間がかかるので攻撃者は大きなリターンを得ようとするためです。
逆に言うと企業規模が比較的小さめ(中堅中小企業など)であったり特殊な情報を扱っていなければ攻撃の標的になるリスクは低めです。
そのため、まずは自組織が標的になりやすいのかどうかを評価してください。また、そのような組織に対して何らかの製品やサービスを提供している場合は、自組織が踏み台にされる可能性があることを認識してください。
次に、この脅威は製品やサービスを調達する立場なのか、逆に提供する立場なのかによって見方が変わってきます。
製品やサービスを調達する立場の場合
調達先から来るメール、ファイル、通信の安全性を過信せずに、しっかりと検査してください。
もし特定の企業から来るメールやファイルがセキュリティソフトの検査対象外として登録されている場合は、その設定を外しましょう。
EDIシステムを運用している場合はID、パスワードだけの認証ではなく多要素認証を組み合わせることをお勧めします。
また、WEBサイトやシステムを外注する場合、機能面の要件定義だけでなくセキュリティ面の要件定義も漏らさないようにしてください。
調達先の選定にセキュリティ要件を含めることも重要です。可能であれば実地審査をしたいところですが、難しければセキュリティ製品の導入状況をヒアリングしたり、セキュリティチェックが行われているかの証拠を求めてもよいでしょう。
ISMS認証やPマーク取得といった第三者認証を受けているかどうかを要件とすることも有効です。
前提の確認ですが、このような厳しい措置を全ての組織が行うべきということではありません。あくまでサプラ標的になりうる組織が注意するべき事項です。
製品やサービスを提供する立場の場合
まずは自組織が納入している取引先の中に、大企業や特殊情報を扱う組織があるかどうか確認してください。
また、自組織が客観的にセキュリティが甘そうだと思われる要素があるかどうか検討してください。
具体的には以下のような特徴です。
- 中堅中小企業のように比較的、組織規模が小さめ
- 対外的なセキュリティ取り組み状況のアピールが薄い(セキュリティ基本方針を公開していない、第三者認証を取得していない、など)
- 過去にサイバー攻撃の被害にあったことがあり、その情報が公開されている
そして該当する場合は自組織が踏み台にされる可能性があると自覚して対策をしましょう。
とはいえ、複雑で難しい対策をしようとせずアンチウィルスソフトの導入や定義ファイルの更新、OSやファームウェアの更新、メールフィルタリングの導入といった基本的な対策でOKです。
2位:標的型攻撃による機密情報の窃取
先ほどのサプライチェーンの弱点を悪用した攻撃と違い、こちらは標的組織に直接攻撃をしかけてきます。
そしてこの攻撃の厄介なところは、標的組織に対して完全オーダーメイド型の攻撃をしかけてきます。
対策は非常に困難で、理想を高くすればするほど費用も人的資源も湯水のごとく消費してしまいます。
セキュリティ対策をして倒産しては意味がありませんので、身の丈に合わない対策は禁物です。基本的な対策方針として”できる対策をしっかりとやる”ということを念頭においてください。
対策を検討する前に、アメリカの軍事製品を製造しているロッキード・マーティン社が提唱しているサイバーキルチェーンを紹介します。
https://www.lockheedmartin.com/en-us/capabilities/cyber/cyber-kill-chain.html
これは攻撃者が標的型攻撃を成功させるために行われる行動を一連の鎖状に関連付けたものです。
日本語訳すると上から順番に偵察、武器化、運搬、悪用、インストール、命令と操作、目的の実行です。
標的型攻撃はこのような流れで行われることが多く、防御側の目線では”どこかの段階で攻撃を検知、防御すること”を目指します。
つまり、鎖のどこかをちぎってしまえば最終的な目的の実行を阻止できるという考え方です。
それぞれの段階ごとに対策が異なるため、全ての段階で対策しようとすると多大な費用がかかり現実的ではありません。よって、できる対策をしっかりすることになります。
どのような対策があるのか全て説明するとかなり長くなるので割愛しますが、おもに下記のような方法があります。
攻撃の段階 | 対策の内容 |
3.運搬 | 入口対策(メール/URLフィルタ、ファイアウォール、WAFの導入) |
4.悪用 | Windows Updateの維持、脆弱性の存在を放置しない |
5.インストール | ウィルス対策ソフトの導入、ユーザーPC権限を最小化、特権IDの管理 |
6.命令と操作 | 出口対策(C&Cサーバとの通信が発生していないか監視) |
これらの対策を組み合わせて多層防御を実現することが望ましいでしょう。
1位:ランサムウェアによる被害
既に有名な脅威となったのでご存じの方も多いと思いますが、ランサムウェアとは情報を不正に暗号化したうえで元に戻すには金銭を支払えと恐喝する攻撃です。
10大脅威2022の第1位は前年同様、ランサムウェアによる被害となりました。はっきり言って2年連続1位というだけあって、かなり重大な脅威です。
その背景として、進化し続けるランサムウェアシステムがあります。
世間一般的には「仮に暗号化されたとしてもお金を払うなんてありえない!」と考えている方が多いように感じます。
しかし実情として、データ復旧やランサムウェアの除染をするにはプロのセキュリティサービスや支援を受けなければなりません。
まずはそういった専門家やサービス探しから始めなければなりませんが、そうこうしている間も社内業務は停止したまま機会損失を垂れ流し続けます。
良いセキュリティサービスを見つけたとしても多額の費用が発生します。攻撃者もその費用感は大体わかっているので、要求してくる金額はこれより低いことが多いです。つまり復旧費用>身代金という関係が成り立っている状態です。
さらに最近は攻撃者に機密情報を盗まれ、身代金を払わないと少しずつ機密情報をリークするといった血も涙もない脅迫行為を平気でやってきます。払わないとさらなる攻撃をしかけると脅してくることもあるようです。
これらの巧妙さも相まって、データが暗号化された企業の約3割が身代金を払っているという統計情報もあります。
参考情報:ランサムウェアの現状2021年版 SOPHOS
https://secure2.sophos.com/ja-jp/medialibrary/pdfs/whitepaper/sophos-state-of-ransomware-2021-wp.pdf
ランサムウェア攻撃者に流れた多額の資金は、さらなるランサムウェアの開発に投資され、また資金の回収に使われるという独立したエコシステムとして成長を続けています。この点は脅威の重大さとして評価されているのではないかと思います。
さらに、ランサムウェアの標的は業種、業態、規模問わずITを利活用している全ての組織が対象です。
これまでランサムウェアの被害にあった組織は様々です。大企業もあれば中小企業もありますし、機械加工メーカもあればソフトウェア開発会社も被害にあっています。
他の10大脅威はある程度、標的になりやすい組織の特徴がありましたが、ランサムウェアの被害はどの組織にもあり得る話です。この特徴も重大と評価しうる点になるかと思います。
対策はいろいろ考えられますが、ここでは1つだけ紹介します。
まずは”事業継続上、絶対に暗号化の被害から守らなければならない情報資産”を選定してください。
次に選定した情報に対して堅牢なデータバックアップ体制を構築してください。堅牢なバックアップ体制とは、ランサムウェアの暗号化をされないような手段を用いることです。
よくあるのが取り外されたHDDやテープストレージなどです。これらは物理的にネットワークから遮断されているので、仮にサーバー本体が暗号化されてもバックアップデータは影響を受けません。
また、確実に復元できるよう定期的に復元テストを実施してください。
とにかく最低限、攻撃者に金銭を支払わなくて済むような体制を準備しなければ、ランサムウェアという悪魔は成長し続けます。
確実なデータのバックアップと復元手順を準備しておきましょう。
3位~1位のまとめ
TOP3の脅威に共通している点は標的型攻撃の一部に分類されることです。
正確にはばらまき型ランサムウェアは標的型攻撃に分類されませんが、標的型ランサムウェアというものは事実存在します。
ともかく、TOP3の共通点が標的型ということに着目すると、それだけ標的型攻撃は対策が難しく影響も大きいことが伺えます。
だからといって不安になる必要はありません。一般的に防御が難しい攻撃手法は攻撃も難しいとされており、攻撃者が苦労するような防御策を継続的に実行することが重要です。
IPAの公開する情報セキュリティ10大脅威はいわば脅威情報の見本市のようなものです。
しっかり活用して安全で安心して働ける環境の実現を目指しましょう。