ページの先頭です
IIJ.news vol.163 April 2021
IPA(情報処理推進機構)は毎年、大きな影響をおよぼした情報セキュリティの脅威を「情報セキュリティ10 大脅威」として発表し、「個人」と「組織」にわけて順位付けしている。
本稿では、それぞれのポイントを解説する。
IIJセキュリティ本部 セキュリティビジネス推進部インテグレーション課
秋良 雄太
2015年~2017年に内閣サイバーセキュリティセンター(NISC)へ出向。
現在はSOCサービスを中心にセキュリティサービスの提案・導入やセキュリティインシデントの対応支援を行っている。
昨年「個人」編に初めてランクインしたにもかかわらず、第一位になった「スマホ決済の不正利用」が、2021年も第一位になっています。(右表「情報セキュリティ10大脅威2021」参照)
以前は、スマホ決済の不正利用における原因の多くは「アカウントの乗っ取り」でした。複数のサービスで同じパスワードを使い回し、そこから漏えいした情報が悪用されたり、フィッシングによりアカウント情報を盗み出してアカウントを乗っ取り、他人になりすますなどの不正が行なわれていました。最近は、そうしたアカウントの乗っ取りではなく、何らかの方法で入手した他人の銀行口座を、自ら用意したアカウントに紐付けることで不正にチャージを行ない、決済に利用するといった手口が相次いで発生しています。
そのほかにも、カードレスでコンビニATMを利用できる「スマホATM」というサービスが広がり、他人のキャッシュカードを不正に入手して現金を引き出す詐欺の手口に加え、キャッシュカードを物理的に入手しなくても、フィッシングにより他人のアカウントを乗っ取り、犯人自らのスマホをキャッシュカードとしてコンビニATMから不正引き出しを行なう手口も発生しています。
このような不正の増加に対して、金融庁も黙ってはいません。スマホ決済サービスに銀行口座を連携させる際の本人確認の強化など、金融機関に対する事務ガイドラインや監督指針の改正を行なっています。
ただし、こうした被害は、スマホ決済サービスを提供する事業者や金融機関が行なうセキュリティ対策だけで防止できるわけではありません。利用者自身もパスワードの使い回しを避けたり、メールやSMSのリンクに不用意にアクセスしてログイン情報を入力しないようにするといった注意が不可欠です。
「組織」編に目を向けると、今回、新しくランクインして第3位になったのが「テレワークなどのニューノーマルな働き方を狙った攻撃」です。
新型コロナウイルスの感染拡大にともない、テレワークを導入する組織が急増し、なかには完全テレワークを実施する組織も出てきました。しかし、テレワークを急きょ、導入したことにより、セキュリティ対策が不十分なケースも発生しています。具体的には、組織の管理外である私物PCで業務を行ない、脆弱性対策が不十分なため、マルウェア感染のリスクが高まったり、テレワークで外部から組織の内部ネットワークに接続する際にリモートアクセス用のシステムの脆弱性を突かれて、第三者に内部ネットワークに侵入されるといったケースが起きています。
「ニューノーマルな働き方」が広まったことで、従来は想定されていなかったセキュリティリスクも増えていますので、テレワーク環境の整備にあたっては、セキュリティ専門家によるリスクアセスメントの実施をお勧めいたします。*1
「組織」編で昨年、第五位だった「ランサムウェアによる被害」が今回は第1位になりました。ランサムウェアを使う攻撃者の目的は金銭です。従来は、対象が組織/個人にかかわらず、メールを使ってランサムウェアをばらまく、いわゆる“数うちゃ当たる”という手口でした。
昨今では、ITシステムはビジネスに必要不可欠なものとなっており、システムが止まれば組織として大きな打撃を受けます。例えば、工場など生産管理システムが停止すれば、製品を作ったり出荷できなくなりますし、病院などの医療機関においては、人命に関わる問題も出てきます。
従来の組織を狙ったサイバー攻撃は、機密情報を狙ったものがメインでしたが、金銭目的のサイバー犯罪者が目をつけたのは、ITシステムそのものです。
まず、ターゲットとなる組織の脆弱性を突いたり、メールを介してマルウェアに感染させることで、組織の内部ネットワークに侵入し、偵察や事前準備を行なったうえで、組織内部のITシステムやパソコンなどにいっせいにランサムウェアを仕掛けて暗号化し、利用できなくさせます。組織は、パソコン一台が使えなくなっても、ある程度の業務は継続できますが、ITシステム全体や従業員の多数のパソコンが使えなくなると、業務継続が困難になります。
そして、バックアップがないため復旧できないといったケースに加え、自力で復旧を試みる際にも、対応費用や機会損失などを鑑みると、「犯人に金銭を支払うのもやむなし」という経営判断をせざるを得ないケースも起きています。
さらに、犯人は偵察段階で機密情報を盗み出し、システムを使用不能にするだけでなく、機密情報を一般公開すると脅迫してくるケースも相次いでいます。こうした被害を防ぐためには、おもに下記の対策が考えられます。
まず重要なのは、セキュリティ製品やサービスを導入する前に、脆弱性対策をしっかり行なうことです。IPAやJPCERT/CCが注意喚起している内容を履行するだけで、被害に遭う可能性を大きく減らすことができます。
次に、万が一、被害に遭った場合、自力で復旧するためにはバックアップが重要になります。組織の内部ネットワークでバックアップを取得していても同時に被害に遭う可能性が高いため、外部にてバックアップを取得することが重要です。例えば、クラウド型ストレージサービスを利用することで、手軽に外部バックアップ環境を構築できます。*2
侵入防止の観点では、外部との接続箇所にIPSやWAFなどを設置して脆弱性を突いてくる攻撃を防いだり、メールやWEBアクセスのセキュリティを強化することで、マルウェア感染のリスクを減らし、外部からの侵入を低減できます。*3
仮に、組織の内部ネットワークに侵入されても、早期に検知することで被害を極小化できます。そのためには、セキュリティのプロが24時間常時監視するようなSOCサービスの活用が有効です。*4
IT技術の発展・普及にともない、サイバー脅威は年々増加しています。IIJ では、最新のサイバーセキュリティに関する情報を収集し、膨大な観測データにもとづいたインターネット上の攻撃の傾向やセキィリティ事案を「wizSafe Security Signal」、「IIR」、「IIJ-SECTブログ」などを通して、公開・発信しています。自組織の対策を検討される際には、これらの情報をぜひご参照ください。
IIJが目指しているのは、セキュリティが組み込まれたサービスの提供を通して、脅威を意識することなく企業活動に専念でき、人々がより快適に生活できる未来です。IIJは先端技術に取り組むパイオニアとして、あらゆる脅威からIT環境を守り、安心・安全な社会の実現に貢献していきます。
ページの終わりです