「情報セキュリティ10大脅威 2023」
今年の10大脅威は以下の結果となりました。
前年 |
「個人」向け脅威 |
順位 |
「組織」向け脅威 |
前年 |
1 |
フィッシングによる個人情報等の詐取 |
1 |
ランサムウェアによる被害 |
1 |
2 |
ネット上の誹謗・中傷・デマ |
2 |
サプライチェーンの弱点を悪用した攻撃 |
3 |
3 |
メールやSMS等を使った脅迫・詐欺の手口による金銭要求 |
3 |
標的型攻撃による機密情報の窃取 |
2 |
4 |
クレジットカード情報の不正利用 |
4 |
内部不正による情報漏えい |
5 |
5 |
スマホ決済の不正利用 |
5 |
テレワーク等のニューノーマルな働き方を狙った攻撃 |
4 |
7 |
不正アプリによるスマートフォン利用者への被害 |
6 |
修正プログラムの公開前を狙う攻撃 |
7 |
6 |
偽警告によるインターネット詐欺 |
7 |
ビジネスメール詐欺による金銭被害 |
8 |
8 |
インターネット上のサービスからの個人情報の窃取 |
8 |
脆弱性対策情報の公開に伴う悪用増加 |
6 |
10 |
インターネット上のサービスへの不正ログイン |
9 |
不注意による情報漏えい等の被害 |
10 |
圏外 |
ワンクリック請求等の不当請求による金銭被害 |
10 |
犯罪のビジネス化 |
圏外 |
出典:独立行政法人情報処理推進機構「情報セキュリティ10大脅威2023」
https://www.ipa.go.jp/security/vuln/10threats2023.html
個人が注意すべき脅威
個人向けの脅威は「フィッシングによる個人情報等の詐取」が1位でした。フィッシングの脅威は2021年、2022年と、3年連続で上位となった脅威で、今年も引き続き注意が必要です。2位の「ネット上の誹謗・中傷・デマ」、3位の「メールやSMS等を使った脅迫・詐欺の手口による金銭要求」においても2021年、2022年とも上位に入る脅威となり、上位の「個人向け脅威」の傾向に変化はありませんでした。
一方、これまで圏外だった「ワンクリック請求等の不当請求による金銭被害」が10位にランクインしました。ワンクリック詐欺などの不当請求が10位以内に入っていたのは2018年(「ワンクリック請求等の不当請求」8位※1)以来となり、IPAも2022年6月に安心相談窓口の件数公表とともに注意喚起※2を行っています。
上位と脅威とともに、以前からある手口にも注意が必要です。
※1 IPA 情報セキュリティ10大脅威 2018
https://www.ipa.go.jp/security/vuln/10threats2018.html
※2 ワンクリック請求の手口に引き続き注意ー 会員登録完了画面が表示されても決して連絡しない!支払わない!
https://www.ipa.go.jp/security/anshin/mgdayori20220706.html
組織が注意すべき脅威
組織向けの脅威は「ランサムウェアによる被害」が3年連続1位となりました。警察庁が2023年2月に発表した令和4年の犯罪情勢※3においても、「令和4年中に警察庁に報告されたランサムウェアによる被害件数は 230件と、前年比で 57.5%増加」、「その被害は企業・団体等の規模やその業種を問わず広範に及んでおり、一時的に業務停止に陥る事態も発生している」と、引き続き猛威を振るっており、終息する兆しが見えません。
その他、「内部不正による情報漏えい」が4位、「不注意による情報漏えい等の被害」が9位と人的要因による情報漏えいもランクインしています。2022年は6月に某自治体で発生した「全市民46万人分の個人情報入りUSBメモリの紛失」や、12月に有罪判決が出た「元通信会社従業員が退職時に機密情報を持ち出し、転職先であるライバル会社へ提供する」といった、深刻な情報漏えい事案も発生しており、防止対策とともに、流出してもダメージを最小限にとどめるデータ保護対策が必須となっています。
※3 警察庁 令和4年の犯罪情勢について【暫定値】
https://www.npa.go.jp/news/release/2023/20230202001.html
脅威に対抗するための、ALSIソリューション
ここからは、ALSIのソリューションを活用した組織での脅威対策をご紹介します。
組織向けの脅威で3年連続1位となった「ランサムウェアによる被害」の対策として有効な対策の1つがWebフィルタリングです。Webフィルタリングはランサムウェアの手口でよく使われる、「対象者の関心を引くような内容や重要と思わせる内容のメールを用いてリンク先のWebサイトにアクセスさせるように仕向ける攻撃」に有効です。
ALSIが提供するクラウド型Webフィルタリングサービス「InterSafe GatewayConnection」は、時間や場所、端末を問わずに安全なWebアクセスを実現します。網羅率99%以上の高精度URLデータベースでランサムウェアに感染させる不正サイトへのアクセスを防ぎます。また、業界最大級となる148のURL分類カテゴリを用意しているほか、スケジュール機能やHTTPSデコード機能により、時間やサイトによって柔軟に制御をかけることも可能です。そのため、利便性を損なわずに安全なインターネット利用が可能となります。
万が一ランサムウェア被害に遭った際の対策として有効なのが「Cybereson EDR」です。EDRとはエンドポイント上でマルウェアやランサムウェアの侵入による不審な動きが起きていないかどうか、常時監視を行うものです。そのため、脅威に侵入されたとしても、疑わしい挙動を早期に検知し、管理者に通知することで被害を最小にとどめることができます。
「InterSafe GatewayConnection」でランサムウェア攻撃による感染を未然に防止し、「Cybereson EDR」でサイバー攻撃を受けたときの被害を最小限に抑えるというように、多層的な対策をすることが有効です。
「内部不正による情報漏えい」、「不注意による情報漏えい等の被害」といった、社内に潜むリスクには、情報漏えい対策を一元管理できる「InterSafe ILP」が有効です。ファイル暗号化、セキュリティUSB作成や、安全なファイル授受の実現など、さまざまな情報漏えい対策が可能な統合ソリューションです。
ファイル暗号化製品の「InterSafe FileProtection」は、ファイルそのものを暗号化することで、万が一ファイルが流出しても中身が見られない仕組みになっています。社内利用の際にはダブルクリックで閲覧できるほか、自動暗号化フォルダーを用いることでフォルダーにファイルをドラッグ&ドロップするだけで自動的に暗号化することもできます。また、連携製品の「InterSafe PIS」を併用することで、個人情報を含むファイルのみ暗号化することも可能です。ファイルを暗号化することにより、内部不正や不注意でファイルが外部に漏えいした際にもファイルの中にある情報を見られる心配がなくなります。
「InterSafe SecureDevice Ultimate」は、普段利用している汎用USBメモリをソフトウェアによってセキュリティUSBメモリに変換するソリューションです。USBメモリが盗難、紛失に遭った場合でも中に保存されている情報を守ることができます。また、「InterSafe DeviceControl」を利用することで、セキュリティUSBメモリ以外の外部デバイス利用を制限したり、ワークフローシステムの「InterSafe WorkFlow」を利用してUSBメモリへの書き出しを承認制にしたりすることができます。ファイルを無断で持ち出せない仕組みにより、内部不正による情報漏えいを防止します。
2023年も多角的なセキュリティ対策を!
2023年も引き続き多くのセキュリティリスクの発生が予想されます。特に3年連続1位となったランサムウェアや、順位を上げた内部不正、不注意による情報漏えいは迅速な対策の実施が求められます。
今回ご紹介したALSIソリューションでの対策をぜひ参考にして、セキュリティリスクへの万全な対策を講じましょう。