IPAが「情報セキュリティ10大脅威 2022」を発表
～組織の2年連続1位はランサムウェアによる被害～

2021年に続いて1位となったのが「ランサムウェアによる被害」である。ランサムとは身代金を意味し、侵入したPCやサーバをロックしたり、データを暗号化したりして利用できなくし、その復旧と引き換えに金銭を要求するタイプのマルウェアだ。近年では搾取したデータをリークサイトで公開すると脅しをかけて金銭を要求する「二重脅迫型」や「曝露型」と呼ばれるランサムウェアも登場しており被害が拡大している。

このようにランサムウェアは企業の問題から業界・社会的な問題に発展しており、自社の対策はもとより、社会の一員として取り組む必要がある。

またランサムウェアの感染経路も多様化している。以下は一例である。

• メールの添付ファイルやメール本文中のリンクを開かせる古典的な手口
• 偽装や改ざんを行ったWebサイトに誘導してマルウェアをダウンロードさせるドライブ・バイ・ダウンロード
• VPN装置などネットワーク機器の脆弱性を悪用した不正アクセス
• 公開サーバや個人PCに侵入した後にネットワーク内部でマルウェアを横展開していくラテラルムーブメントなど

当然のことながら日系企業も例外ではない。この1年以内でも下記のようなセキュリティインシデントが発生している。

病院	パッチ未適用のネットワーク機器（VPN装置など）の脆弱性を悪用し、盗み出したアカウントを利用して侵入したランサムウェア（LockBit2.0）によって院内システムがロックされ、同時に電子カルテのデータも搾取されて二重脅迫された。2か月間にわたり手作業での病院業務の遂行を余儀なくされ、システムの復旧には約2億円の費用がかかった。
自動車メーカー	サプライチェーンでつながる部品メーカーがランサムウェア攻撃を受けてシステム障害が発生し、数十か所に及ぶ国内工場の生産ラインを停止。1万台を超える車の生産に影響が生じた。
タイヤメーカー	海外子会社がランサムウェア（LockBit 2.0）攻撃を受けたが、身代金要求に応じなかったところリークサイトでデータが公開されてしまった。 ※注）仮に金銭を支払ったとしても、データの復旧や漏えいした情報の削除が行われるとは限らない。

こうしたランサムウェアによる被害を最小限にするためには、まず徹底した脆弱性対策を行うことが重要だ。攻撃者は常にシステムの脆弱なポイントを探し出し、それを悪用して侵入を試みるからだ。

具体的には定期的なアセスメントを実施し、システムに脆弱性が内在していないかチェックするとともにパッチ適用を迅速に行い、サポート切れのOSは即座に利用を停止する。加えてセキュリティ対策ツールの利用や設定見直し、ネットワーク分離、共有サーバへのアクセス権の最小化と管理の強化、公開サーバへの不正アクセス対策、バックアップの取得なども重要なポイントである。

さらにこれらの施策を継続的に実施し、万一インシデントが起こった際にも迅速に対応できるCSIRTなどの体制も構築しておきたい。

2位となったのも、昨年から引き続き「標的型攻撃による機密情報の窃取」である。

標的型攻撃とは、その名のとおり特定の組織（官公庁、民間団体、企業など）を狙った攻撃を指し、ターゲットの状況に応じた巧みな攻撃を仕掛けて機密情報を窃取しようとする。長期にわたって潜伏し、発覚しにくいのも大きな特徴だ。

例えばある卸売業のサーバが攻撃を受け、個人情報や一部企業情報が外部に流出する事件が起こったが、この原因が標的型攻撃であったことが判明するまでにも長い時間を費やしてしまった。本社で利用するサーバで共有ファイルが開けなくなり、メールが届かない不具合が発生してようやく発覚したとされている。

標的型攻撃の予防策としては、情報の管理と運用ルール策定、サイバー攻撃に関する継続的な情報収集、従業員に対するセキュリティ教育の実施、インシデント対応の定期的な訓練を実施、管理端末への継続的セキュリティパッチ適用、統合運用管理ツール等によるセキュリティ対策状況の把握、アプリケーション許可リストの整備、アクセス権の最小化と管理の強化、ネットワーク分離、重要サーバの要塞化（アクセス制御、暗号化など）、取引先のセキュリティ対策実施状況の確認、海外拠点等も含めたセキュリティ対策の向上などが挙げられる。

そしてより重要なのは、標的型攻撃に侵入されたことを想定した対策である。前述したように標的型攻撃は執拗に侵入を試み、侵入後は長期間にわたって潜伏するため、発覚が遅れれば遅れるほど被害が拡大するからだ。

攻撃の予兆や被害を早期検知する仕組みとして、各種セキュリティ対策ソリューション（UTM、IDS/IPS、WAF、仮想パッチなど）を導入するほか、エンドポイントと呼ばれるPCやサーバ、スマートフォンなどのネットワークの末端に接続されている端末の継続的な監視・防御を行うEDRと呼ばれる仕組みも併せて導入することが望ましい。また実際に情報搾取などの被害を受けた場合に備え、セキュリティ対策専門チームによるインシデント対応やフォレンジック（影響調査および原因の追究）体制の強化も図っておきたい。

3位は「サプライチェーンの弱点を悪用した攻撃」である。企業間の取引を構成するサプライチェーンの中で、セキュリティ対策が手薄な組織やシステムの脆弱性を突いて最初の侵入口とし、そこを踏み台として本命の標的である組織を攻撃する手口だ。

業務委託や情報管理における規則を徹底し、例えば製造業であれば原材料や部品の調達経路、物流経路などを考慮し、取引先や委託先の情報セキュリティ対応の確認や監査を行う。もちろん自組織についても必要なセキュリティ対策が維持できているかどうか定期的に運用体制を見直す必要があり、ISMSやPマーク、SOC2、ISMAPなどの情報セキュリティ認証についても積極的な取得を心がけてほしい。

4位は「テレワーク等のニューノーマルな働き方を狙った攻撃」である。コロナ禍で急拡大したテレワーク環境におけるVPN装置やリモートデスクトップ、個人所有端末などの脆弱性を狙った攻撃が目立っている。

したがってテレワーク環境で使用するVPN装置やネットワーク機器、PC、スマートフォンなどに、最新のセキュリティパッチを適用することは必須である。加えて各種セキュリティ対策ソリューション（UTM、IDS/IPS、WAF、仮想パッチなど）を導入し、以降も対策情報（設定など）を定期的に更新することも重要だ。

また、上記のような取り組みを確実に実施するためにも、CSIRTと呼ばれるセキュリティ対策専門チームの構築、継続的な対策予算の確保、テレワークのセキュリティポリシーの策定、有事の際の連絡窓口やフローの確立など、組織としての体制を強化しておきたい。

なお、テレワークの拡大に伴い自宅などから社内ネットワークにアクセスしたり、クラウドサービスを直接利用したりするケースが増えている状況を鑑みて、ゼロトラストと呼ばれる新たなセキュリティの考え方が注目されている。社内か社外かを問わず、守るべき情報資産にアクセスするものはすべて信用せず、その都度検証を行うことで安全性を担保するものだ。

そして5位に入ったのは「内部不正による情報漏えい」である。情報漏えいは必ずしも外部からの攻撃によってのみ起こるわけではなく、従業員や元従業員などの関係者による機密情報の持ち出しや悪用といった不正行為からも発生しているのだ。

防止策として最優先で実施すべきは、重要情報の管理・保護である。重要情報を取り扱う利用者ID およびアクセス権の登録・変更・削除に関する手順を定めて運用し、従業員の異動や離職に伴い不要となった利用者IDは直ちに削除する。特にシステムを維持・管理するうえで高いレベルの権限を割り当てられた特権IDは厳重な管理が求められる。

また重要情報へのアクセス履歴や利用者の操作ログなどを証跡として記録し、常に監視を行っている事実を周知することが、不正行為に対する抑止効果をもたらす。

ここまで「情報セキュリティ10大脅威 2022」のトップ5を取り上げてきたが、加えて7位にも注目しておきたい。「修正プログラムの公開前を狙う攻撃（ゼロデイ攻撃）」が初めてランクインしたのである。

ソフトウェアの脆弱性が発見された際に、ベンダーから修正プログラム（パッチ）や回避策が公開される前にその脆弱性を悪用したサイバー攻撃が行われることがある。これをゼロデイ攻撃と呼ぶ。これに対して組織で事前にできる対策は限られてしまうだけに、確実に防ぐことは難しい。

その意味でゼロデイ攻撃は、あらゆるセキュリティ脅威の原因となりうるのである。広く利用されているソフトウェアほどゼロデイ攻撃の被害は広範囲で発生し、社会が混乱に陥るおそれがある。

前述したとおり打つ手は限られるが、ネットワークを常に監視して攻撃の疑いがある通信を遮断するほか、ネットワークの末端に接続されている端末の継続的な監視・防御を行うEDRと呼ばれる仕組みの導入、できるだけセキュリティのサポートが充実しているソフトウェアやバージョンを使うことも予防策として重要だ。また、正式パッチが提供されるまでの対策として、仮想パッチが適用できる環境をあらかじめ整備しておきたい。

なお、すでに修正プログラム（パッチ）や回避策が公開されているにもかかわらず対策を後回しにした場合、その脆弱性は攻撃者の間でも周知のものとなっているだけに、ゼロデイ攻撃以上のリスクが高まっていることを強く認識していただきたい。