昨今、情報セキュリティに関する脅威が巧妙化しており、企業の情報システム担当者は対応を迫られています。適切なセキュリティ対策を実施するために、まずは情報セキュリティ脅威の実態を把握することが必要です。
そこで本記事では、情報処理推進機構(IPA)が公開した「情報セキュリティ10大脅威2024」をもとに、2024年に実際に起きた被害事例や対策についてご紹介します。
ページコンテンツ
IPAが公開!2024年の情報セキュリティ10大脅威まとめ
情報セキュリティ10大脅威とは
情報セキュリティ10大脅威は、前年に発生したセキュリティ攻撃や事故から脅威を選定し、10位までランキング付けしたものです。2006年から毎年、情報セキュリティ対策を広めることを目的として、独立行政法人情報処理推進機構(IPA)が発表しています。
2024年の10大脅威は、2023年に発生した社会的影響の大きい情報セキュリティ事案をもとに、2024年1月に公開されました。
2024年の情報セキュリティ脅威については以下でご紹介しています。どのような脅威が注目されているのか、おさらいとしてぜひご活用ください。
2024年の情報セキュリティ10大脅威ランキングおさらい
以下は、2024年の情報セキュリティ10大脅威[組織]ランキングです。
第1位 ランサムウェアによる被害
第2位 サプライチェーンの弱点を悪用した攻撃
第3位 内部不正による情報漏えい等の被害
第4位 標的型攻撃による機密情報の窃取
第5位 修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃)
第6位 不注意による情報漏えい等の被害
第7位 脆弱性対策情報の公開に伴う悪用増加
第8位 ビジネスメール詐欺による金銭被害
第9位 テレワーク等のニューノーマルな働き方を狙った攻撃
第10位 犯罪のビジネス化(アンダーグラウンドサービス)
これらのセキュリティインシデントが多数発生しており、情報システム担当者はそれぞれの脅威について把握し、対策を進める必要があります。そこで以下では、ランキング入りしている脅威の中で、2024年に実際に被害が出た事例とその脅威への対策方法をご紹介します。
2024年のセキュリティ脅威の特徴
「情報セキュリティ10大脅威2024年」[組織編]のランキングは、順位の入れ替わりはあるものの、選出された脅威の内容は昨年と変化はありません。今年は昨年までと少し異なり、前年からの順位変動の記載がなくなりました。その代わり、何年連続と何回選出されたのか記載されています。選出された項目は長年選出され続けている脅威が多く、年々攻撃が巧妙化している一方、従来の攻撃手口も多く、基本的な対策の重要性は変わりません。
組織向け1位は 「ランサムウェアによる被害」で、2016年以降9年連続選出されています。ランサムウェアによる攻撃は年々変化をしており、最新の動向に注意しつつ、適切な対策を実施することが重要です。
ランサムウェアに感染すると、端末のロックやデータの暗号化が行われ、その復旧と引き換えに多額の金銭を要求されます。世界中で猛威を振るっており、攻撃手法も巧妙化が進んでいることから、ランサムウェア対策は必要不可欠です。
対策としては、セキュリティルールの徹底やランサムウェア脅威の周知・教育、不正サイトへのアクセスブロック、エンドポイントへのウイルス対策ツールの導入、定期的なバックアップなどが挙げられます。
最近の事例では、データの暗号化に加え、情報を盗みダークウェブ上で情報を公開すると脅し、金銭を要求する「二重脅迫型」の被害の他、企業・団体等のネットワークに侵入し、データを暗号化する(ランサムウェアを用いる)ことなく重要なデータを窃取した上で、企業・団体等に対価を要求する手口である「ノーウェアランサム」による被害が、新たに30件確認されています(出展:警視庁『令和5年におけるサイバー空間をめぐる脅威の情勢等について』)。
暗号化のためのマルウェアを使用しないとセキュリティ製品の検知をすり抜ける可能性が高まり、攻撃成功率が上がります。そのため、データ窃取の際に暗号化しないのではないかと言われています。
また、データ盗取による身代金要求の場合、盗まれた情報がダークウェブ上に公開されてしまうと、バックアップ(データ復旧)だけでは対策が十分ではありません。そこから、不正アクセスによる個人情報漏えい被害につながってしまうケースが増えています。
また、第3位の「内部不正による情報漏えい等の被害」や第6位の「不注意による情報漏えい等の被害」に共通する、人に起因する情報漏えい被害の順位が年々上昇しています。
ランキングの下位にあるからといって、実際に脅威に晒された場合のインパクトが小さいわけではありません。組織編の下位にランクインしている脅威に対しても、上位のものと同様にとらえて、自組織に必要な策から優先的に対応していくことが重要です。
これらのセキュリティインシデントが多数発生しており、情報システム担当者はそれぞれの脅威について把握し、対策を進める必要があります。そこで以下では、ランキング入りしている脅威の中で、2024年に実際に被害が出た事例とその脅威への対策方法をご紹介します。
※順位や脅威の内容については、情報処理推進機機構(IPA)「情報セキュリティ10大脅威 2024」をもとに作成しています。
2024年に起きた最新の被害事例と対策方法とは
事例1: 委託先から顧客情報などが漏えい
2024年6月、大手保険会社の業務委託先である税理士法人のサーバでランサムウェア攻撃の被害が発生し、あわせて約6万件の顧客情報などが漏えいした恐れがあると発表しました。セキュリティ対策が手薄な企業を踏み台として、標的とする企業を攻撃するサプライチェーン攻撃は、近年国内外において甚大な被害を与えています。
2023年には、給食業者のシステムが第三者に侵入され、そのシステムを踏み台として大手医療機関の電子カルテシステムが暗号化される事件が発生しました。この結果、医療提供が長期間停止する事態となりました。また、大手自動車メーカーと取引関係にある部品メーカーがランサムウェア被害を受け、国内全工場が稼働を停止する事態も発生しています。
これらの事例を受け、2024年も「サプライチェーンの弱点を悪用した攻撃」が脅威ランキング第2位にランクインしています。
事例2:VPN機能による情報流出
2023年から24年にかけて宇宙開発機関でサイバー攻撃を複数回受け、機密情報が外部に流出した可能性があることが報道されました。報道によると、流出した可能性のあるファイルは1万件以上とされ、機密性の高い情報も含まれているとみられています。
VPN装置の脆弱性を突いてサーバと端末に侵入した結果、サイバー攻撃が成功し機密情報が漏えいに繋がったことが原因です。
警察庁が公表した資料によると、2024年の1月から6月の半年間で、感染経路が判明しているランサムウェア被害の約6割がVPN機能からの侵入とされています。
出典:警察庁(令和5年上半期におけるサイバー空間をめぐる脅威の情勢等について)
VPNとは、社内ネットワークと社外をつなぐ仮想専用線のことです。VPN 経由で社内システムへアクセスする機会が増え、こうした新たな業務環境の脆弱性を突いた攻撃が顕在化しています。
また、サーバへの不正アクセス被害が急増しています。中でもActive Directory (アクティブ・ディレクトリ 以下:AD)が狙われるケースが増加中です。
ADサーバは、セキュリティ面での運用管理が難しく、組織内の主要なネットワークにつながっているため、攻撃者の標的となっています。攻撃者の多くは、機器の脆弱性や設定不備を狙い組織内に侵入し、特権IDを奪取して乗っ取る手口を用いて侵入します。今回の宇宙開発機関の被害でも、VPNの脆弱性を突いて侵入された後、組織内のネットワークを一元管理する中枢ADサーバが不正アクセスされたと言われています。
また、多要素認証の概要やメリット、運用時の注意点などは以下で説明しています。
事例3: 社員による内部不正・不注意で情報漏えい
2024年1月に、不動産サービスを展開する企業において、同社子会社の社員が転職の際に個人情報を含む顧客情報を不正に持ち出していたことが発覚しました。元社員は同社に刑事告訴され、逮捕されています。この事例のように、転職先に情報を提供する手土産転職や、恨み・妬みを理由とした内部不正が行われるケースもあります。
悪意を持った犯行でなくとも、組織の規程の不備や従業員に対する情報リテラシー教育の不足、不注意・ミスによって情報漏えいする事例も多く発生しています。
例えば2024年6月には、ある自治体で全市民の個人情報が入ったUSBメモリーを、業務委託先(再々委託先)企業の社員が紛失する事案が発生しました。最終的にUSBメモリーは発見されたものの、市や受託企業の情報管理の甘さが問題視されました。こうした紛失や置き忘れなどの人為的ミスは情報漏えいの原因として最も多いと言われています。
情報漏えいがあった場合、組織の社会的信用の失墜や損害賠償等により、組織に多大な損害を与えることもあります。
また、2024年の情報セキュリティ10大脅威では、内部不正による情報漏えいが5位、不注意による情報漏えいが10位に入っていることからも対策は必要不可欠です。対策としては、機密情報の管理・保護の徹底、システムの強化、従業員の情報リテラシー向上などがあります。
内部不正や不注意による情報漏えいが起こる原因や対策については以下でご紹介しています。あわせてぜひご覧ください。
事例4:脆弱性対策情報の公開に伴う標的型攻撃
2024年10月に、IPAおよび一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)が、大手IT企業のグループウェアの脆弱性に対する情報を公開しましたが、この脆弱性を悪用した限定的な標的型攻撃が既に確認されています。
「脆弱性対策情報の公開に伴う悪用増加」は、2021年版の情報セキュリティ10大脅威ランキングでは10位でしたが、2024年は6位にまで上がり、被害が多くなっている脅威です。脆弱性の脅威や対策情報を製品利用者に広く呼び掛けるために公開したソフトウェアや機器類の脆弱性対策情報が悪用され、脆弱性対策を講じていないシステムが狙いうちされます。これにより、情報漏えいや改ざん、ウイルス感染等の被害が発生します。
対策として、企業の情報セキュリティ担当者はベンダーの発表を注視し、脆弱性が発表されれば速やかに対策を講じることが重要です。
今回の事例で紹介した、標的型攻撃の特徴や対策などについてはこちらの記事で解説しています。
事例5:セキュリティ企業が被害を受けたゼロデイ攻撃
2024年9月には、ベトナムに拠点を置くセキュリティ企業が、監視対象としていた大手IT企業開発のグループウェアにおける、未修正の脆弱性を悪用するゼロデイ攻撃が発生していることを公表しました。これを受け、当該IT企業は緩和策の実施を呼び掛け、ガイダンスを公表しています。
ゼロデイ攻撃とは、脆弱性の修正プログラムや回避策が公開される前の脆弱性を狙う攻撃のことで、2024年からセキュリティ10大脅威にもランクインしています。主な被害としては、情報漏えいや改ざん、ウイルス感染などがあります。
脆弱性対策情報が公開されていないため、ゼロデイ攻撃を完璧に防ぐことは困難ですが、できるだけ攻撃に遭わないようにするための事前対策が有効です。例えば、ソフトウェアのアップデート、多層防御、サンドボックスの使用などの対策が挙げられます。また、ゼロデイ攻撃を受けてしまった場合の対処法も確認しておくことが重要です。
ゼロデイ攻撃の概要や事例、対応方法などについてはこちらの記事で詳しく解説しています。
以下では、こうした脅威への対策として有効な手段をご紹介します。
最新の脅威に対応可能なゼロトラスト型セキュリティ
ここまでご紹介したように、ランサムウェアやゼロデイ攻撃などの最新の脅威に対して、すべての通信を信頼しないことを前提にした仕組みである「ゼロトラスト」の考え方が重要になっています。
ゼロトラスト型エンドポイントセキュリティの「AppGuard」は、マルウェアかを判断するのではなく、OSに害のある動きをすべてブロックして無効化します。
これにより、悪意あるプログラムに侵入されても発症を防ぎ、マルウェアの侵入に対してOSの正常な動作を守ります。
最新の事例を知りセキュリティ脅威に備えよう
情報セキュリティ対策を効果的に実施するためには、まずどのような脅威があるかを知ることが大切です。日々進化し巧妙化するサイバー攻撃の手法や、実際に発生した被害事例を把握すれば、自組織にとって必要な対策を見極め、適切な防御策を実施できます。
最新のセキュリティ動向を常に注視し、想定されるリスクに備え、組織の情報資産を守りましょう。
