特集 情シス事情を知る
IPAが「情報セキュリティ10大脅威 2019」を発表
~ランク外から5位以内に入った脅威とは?~
2019年6月
独立行政法人情報処理推進機構(IPA)が、最新の「情報セキュリティ10大脅威 2019」を発表した。それによると1位「標的型攻撃による被害」、2位「ビジネスメール詐欺による被害」、3位「ランサムウェアによる被害」と、トップ3の順位は昨年と変わらない。しかし、4位に入った「サプライチェーンの弱点を悪用した攻撃の高まり」は初めて圏外からランクインしたことからも注目すべきである。今回は上位1~5位に絞って、それぞれがどういう脅威なのか、どういう対策をすればよいのかを説明する。
今年も標的型攻撃は1位。
昨年に引き続き1位となったのは、やはり標的型攻撃である。メールの添付ファイルのほか、悪意のあるウェブサイトに誘導してマルウェアを送り込む手口が多い。特に目立っているのがMicrosoft Officeの文書ファイルを悪用した攻撃だ。「.csv」「.wiz」「.iqy」「.slk」などの拡張子を持ったExcel や Word と関連づけされた添付ファイルを開き、「~を有効にする」などの命令をうっかり許可してしまうと、マルウェアに感染するおそれがある。
対策としては、やはり「不審なメールを事前にブロックする」という基本を徹底することから始めるべきである。実際、日本語に対応したアンチスパム、アンチウイルス、サンドボックスを三位一体で揃えることで、完全とは言えないまでもかなりの比率のマルウェアは防御できるのだ。また、侵入したマルウェアの感染拡大を防ぐためには、端末ごとに仮想的なファイアウォールを設置し、端末間の不審な通信を遮断するなどの対応の検討もしてほしい。
2位は巧妙な手口のビジネスメール詐欺。日本語のメールにも要注意
昨年3位から2位に浮上。巧妙に細工されたメールで金銭を振り込ませる手口だ。組織間での取引を偽装し、金額被害が高額になる傾向が高いため企業にとって影響が大きい。
留意すべきは、2018年8月に日本語を使用したビジネスメール詐欺が初めて確認されたことだ。CEOを詐称し、偽の弁護士を文面に登場させつつ、「機密扱いでお願いしたい」という内容のメールが着信したというものだ。担当者が返信したところ、約5分後に「国際送金の必要がある」というメールが送られてきた。
今後、日本語の文面によるビジネスメール詐欺が増加した場合、海外との取引がない、あるいは英語のメールのやりとりの習慣がない国内の一般企業・組織も被害に遭う危険性が高まっていく。被害を防止するためには、経理部門や総務部門などもこの手口の存在を知り、社内でのチェック体制の再確認と整備を行うことが重要となる。
ランサムウェアは3位。セキュリティ対象外の機器から感染した企業も
PCやスマホ内のファイルを暗号化や画面ロックなどを行い、復旧と引き換えに金銭を要求する手口だ。感染ルートとして最も多いのは標的型攻撃と同様にメールの添付ファイルやウェブサイトで、2018年7月にJPCERT/CCから公開されたレポートによると、国内の約35%の組織がランサムウェアに感染している。また、被害額は年々拡大していく傾向にある。
クローズドな運用を行っている工場内のOT(制御システム)系のネットワークといえども安心はできない。日本のある大手電機メーカーもランサムウェア「WannaCry」に大規模感染したが、最初の侵入ルートは欧州のグループ会社の事業所にある電子顕微鏡の操作装置だった。一般的なPCとはまったく異なる組み込みOSベースの機器であり、セキュリティの管理対象外だった。この盲点を突かれてしまったのだ。
標的型攻撃と同じく基本となるのは、組織としてしっかりとした体制の確立、セキュリティ担当者のルール策定などの対策である。
サプライチェーンへの攻撃が4位に急上昇! 対策を行わないとビジネス自体ができなくなる可能性も
昨年のランク外から一気に4位に浮上したのが、この「サプライチェーンの弱点を悪用した攻撃の高まり」である。
ほとんどの企業は、さまざまな企業との取引を通じてつながりビジネスを展開している。ある製品を捉えれば、原材料や部品の調達、製造、在庫管理、物流、販売までの一連の商流があり、それぞれのプロセスに多数の企業が関わっており、さらにそれらの企業は特定の業務を外部の企業に委託している。すなわち、このつながりのすべてを包括したものがサプライチェーンだ。要するにサプライチェーンを構成する企業のうち一社でもセキュリティ対策の甘いところがあれば、そこを攻撃の足がかりとして狙われるリスクとなる。
例えば、個人情報などの重要情報を扱うウェブサイトの運用管理をパートナーに委ねている場合、その委託先が不正アクセスを受ければ易々と情報を盗まれてしまう。また、ソフトウェア開発を委託している場合、セキュリティに十分配慮した開発が行われていなければ、脆弱性を内在したソフトウェアがサプライチェーンのあちこちに配布されてしまう。
実際に2018年2月、ある自動車ディーラーにおいてサプライチェーンの弱点を突かれたセキュリティインシデントが発生した。業務委託先の企業が不正アクセスを受け、顧客の電子メールアドレスが漏えいしたというものだ。委託先企業が利用しているウェブアプリケーションに脆弱性が内在していたのが原因だ。
そして同様の被害の拡大を重く見た各国の政府もサプライチェーン全体におよぶサイバーセキュリティ対策を模索し、規制強化に向けた動きを加速させている。例えば米国はサイバーセキュリティフレームワーク(NIST策定のガイドライン)に「サイバーサプライチェーンリスクマネジメント」を明記すると共に、同年末に防衛調達に参加する全ての企業に対してセキュリティ対策を義務化した。また、ヨーロッパでもエネルギーなどの重要インフラ事業者にセキュリティ対策を義務化するほか、単一サイバーセキュリティ市場を目指したネットワークに繋がる機器の認証フレームの導入検討を発表。ドイツにおいてもルーターに関する独自のテクニカルガイドラインの作成が進められている。
こうした世界の動きから言えるのは、セキュリティ要件を満たさない事業者およびそこから提供される製品やサービスは、今後グローバルサプライチェーンからはじき出される可能性が高いということだ。今回、「サプライチェーンの弱点を悪用した攻撃の高まり」がランクインした背景には、このような事情もある。
対策としては、サプライチェーン全体で情報やガイドラインを共有してセキュリティに対する意識を高め、足並みをそろえてレベルアップを図っていく必要がある。
5位は内部不正による情報漏えい。モラル向上とITでの対策が必須
「内部不正による情報漏えい」も昨年の8 位から5位に浮上しており、引き続き動向を注視する必要がある。そもそもセキュリティ攻撃は、必ずしも外部の犯罪者によってのみ行われるわけではない。組織内部の従業員や元従業員のほか、取引先やパートナーといった関係者によっても情報の持ち出しや悪用などによる不正行為が発生しているのが現実だ。
例えば、営業管理ツールに不正ログインして取得した顧客情報を転職先の営業活動に利用する、勤務中に取得した顧客のクレジットカード情報をインターネット通販で不正利用して商品を窃取するといった事件が起こっている。また、自治体においても、職員が一時的に付与された管理者用パスワードを業務外目的で使用し、人事情報を不正に閲覧して懲戒処分を受けるという不祥事が起こっている。
いずれにしても漏えいした情報の機密性や重要性、漏えい規模によっては、組織の社会的信用の失墜や競争力の弱体化につながり、企業の存続を揺るがすインシデントに発展するおそれがあるだけに決して軽視することはできない。
対策としては、重要情報の管理体制の厳重化、社員や職員の情報モラルの向上などが基本となるが、システムの運用面においても監視・監査の体制を強化する必要がある。機密情報へのアクセス履歴や利用者の操作履歴などのログ、証跡(メールの内容など)を記録し、監視することで、内部不正の早期検知を実現するのである。
こうしたガバナンスを強化することが不正行為の抑止力となり、大多数を占める悪意を持たない社員や職員の信頼を守ることにもつながっていく。
このように2019年度もセキュリティの脅威はおさまることがなく、むしろ高まっているのが実態だ。必要とされる対策はどんどん増えていく一方だが、だからこそ優先順位をしっかり定めた上での検討が大切だ。セキュリティベンダーが提供しているリスク診断やアセスメントサービスなども活用し、全体像を把握して対策を講じることも有効な一手となるだろう。