IPAが「情報セキュリティ10大脅威2024」を発表
～組織の4年連続1位はランサムウェアによる被害～

2024年7月

はじめに

1位　ランサムウェアによる被害

2021年から4年連続1位となったのが「ランサムウェアによる被害」だ。PC やサーバがこのマルウェアに感染すると、端末のロックやデータの暗号化が行われ、その復旧と引き換えに巨額の金銭を要求される。さらに暗号化と同時に重要な情報を窃取し、その情報をダークサイトなどで暴露する、DDoS攻撃を仕掛ける、攻撃を受けていることを世間に公開すると次々に脅しをかけるなど、多重脅迫も横行している。

ますます顕著になっているのがランサムウェア攻撃を仕掛ける犯罪集団の“しぶとさ”と“凶悪化”である。

例えば米司法省は2023年12月19日、ランサムウェアグループ「ブラックキャット」 のサイトをFBIによって押収したことを発表した。ちなみにこのサイトでは、日本の大手精密機器メーカーを攻撃したことをリークしたこともある。また欧州刑事警察機構も2024年2月20日、世界中の企業などを標的にサイバー攻撃を繰り返してきた「ロックビット」のメンバーを日米英などの共同捜査によって検挙し、各国のリークサイトを押収したと発表した。

ところがこの両組織はその後どうなったのか。ブラックキャットは数時間後に早くもサイトを復活させ、いまも攻撃を続けている。ロックビットも同様にサイトを再開し、さらには捜査に関与したFBIや米政府機関に対して「攻撃を強化する」と脅しをかけている。

対策

ランサムウェアの被害は非常に甚大になりかねないだけに、インシデントに即時対応できる組織（システム管理者、従業員）を整備することが望ましい。またランサムウェア感染を予防するため、下記のような基本原則を徹底する。

• 重要情報へのアクセスにつき多要素認証の設定を有効化
• 従業員教育（メールの添付ファイル開封やメールや SMSのリンク、URLのクリックを安易・に行わない。提供元が不明なソフトウェアを実行しないなど）
• サーバやクライアント、ネットワークへの適切なセキュリリティ対策
  例）脆弱性対策(迅速に更新プログラムを適用する)
• 共有サーバなどへのアクセス権の最小化と管理の強化
• 公開サーバへの不正アクセス対策
• 適切なバックアップ運用

なお、万一ランサムウェア攻撃を受けた場合も、身代金を支払って解決することを考えるべきではない。明確な統計データはないのだが、さまざまなセキュリティ専門家の見解を総合すると、仮に身代金を支払ったとしても、データが元通りに復元されるケースはかなり少ないのが現実だ。

2位　サプライチェーンの弱点を悪用した攻撃

こちらも昨年の2位から順位の変動はない。製造や流通に関わる企業の事業は1社で完結することはなく、 複数の取引先や顧客とサプライチェーンでつながり業務を遂行している。攻撃者はサプライチェーンの脆弱な部分から侵入し、ターゲットとする企業を攻撃し、情報や利益を得ようとするのである。日本でも2022年3月、自動車の内外装部品を生産するメーカーがサイバー攻撃を受け、サプライチェーンでつながる自動車メーカーの複数の工場が操業停止に追い込まれる事件が起こった。

特に「我が社には、狙われるような情報はない」など、まったく根拠のない安心感を持っている中堅中小企業は要注意だ。サプライチェーン攻撃の“踏み台”にされるおそれがある。

対策

業務委託や情報管理における規則を徹底し、例えば製造業であれば原材料や部品の調達経路、物流経路などを考慮し、取引先や委託先の情報セキュリティ対応の確認や監査を行う。もちろん自組織についても必要なセキュリティ対策が維持できているかどうか定期的に運用体制を見直す必要があり、ISMSやPマーク、SOC2^＊1、ISMAP^＊2などの情報セキュリティ認証についても積極的な取得を心がけてほしい。

＊1　SOC 2（Service Organization Control Type 2）：米国公認会計士協会（AICPA）が開発したサイバーセキュリティ・コンプライアンス・フレームワーク

＊2　ISMAP（Information system Security Management and Assessment Program）：政府機関などがクラウドサービスを調達する際のセキュリティや信頼性を評価する制度

3位　内部不正による情報漏えいの被害

昨年の4位から3位に浮上したのが、内部不正による情報漏えい被害である。一般にセキュリティ被害というと外部からのサイバー攻撃によるものをイメージしがちだが、実際には組織内部に起因するものもかなりの割合を占めている。

従業員による営業秘密の持ち出しもその1つだ。警察庁生活安全局が2023年3月に公開した「令和４年における生活経済事犯の検挙状況等について」という報告によれば、この事案の検挙件数は過去最多の29件となっている。 あるIT企業に勤務していた元派遣社員が、自ら運用に関わっていたコールセンターのシステムに管理者アカウントを悪用して不正アクセス。1,000万件近い顧客情報をUSBメモリにコピーして持ち出して名簿業者に販売し、逮捕された事例もある。

しかもこれも氷山の一角にすぎない。表沙汰にせずに内々に処理したケースや、そもそも持ち出されたことに会社が気づいていないケースもあり、実際の被害は何倍にも膨れ上がると推測される。

対策

最優先で実施すべきは、重要情報の管理・保護である。重要情報を取り扱う利用者ID およびアクセス権の登録・変更・削除に関する手順を定めて運用し、従業員の異動や離職に伴い不要となった利用者IDは直ちに削除する。特にシステムを維持・管理する上で高いレベルの権限を割り当てられた特権IDは厳重な管理が求められる。また、重要情報へのアクセス履歴や利用者の操作ログなどを証跡として記録し、常に監視を行っている事実を周知することが、不正行為に対する抑止効果をもたらす。そして何より従業員に対して、自社のポリシーやセキュリティについて日頃からしっかり教育を行い、順法意識を高めていくことが重要だ。

4位　標的型攻撃による機密情報の窃取

昨年の3位から4位へと順位は下がったが、決して標的型攻撃の危険性が低下したわけではない。その名のとおり特定の組織（官公庁、民間団体、企業など）を狙った攻撃で、機密情報の窃取や業務妨害などを目的としている。

2023年にも、ある国立大学で標的型攻撃メールによる被害が発生。教員が使用していた PCがマルウェアに感染し、教職員や学生の個人情報、過去の試験問題など数千件に及ぶ情報が窃取された形跡があることを公表した。

また1位のランサムウェアによる被害も、ターゲットに侵入する最初の手段として標的型攻撃の手法を用いることがよくある。したがってランサムウェア攻撃と標的型攻撃は、ばらばらではなく一体化した対策を検討しておきたい。

対策

被害を予防し、発生したインシデントへの対応力を強化するため、セキュリティ担当者やシステム管理者を中心とした次のような組織的対策が求められる。

• 情報の管理と運用ルール策定
• サイバー攻撃に関する継続的な情報収集
• 情報リテラシー、モラルの向上
• インシデント対応の定期的な訓練
• 関係者やセキュリティ業者、専門家と迅速に連携する対応方法や連絡方法の整備
• サーバやクライアント、ネットワークに対する適切なセキュリティ対策
• アプリケーション許可リストの整備
• 取引先のセキュリティ対策実施状況の確認
• 海外拠点なども含めたセキュリティ対策の向上
• 被害の確認や復旧にあたるインシデント対応体制の整備

5位　修正プログラムの公開前を狙う攻撃（ゼロデイ攻撃）

昨年6位から5位に浮上した。ソフトウェアやファームウェアの開発ベンダーなどが脆弱性対策情報を公開する前に、その弱点を悪用した攻撃を行うもので、ゼロデイ攻撃とも呼ばれている。なお、すでに脆弱性情報が公開されているにもかかわらず、パッチを当てるなどの対策を怠った場合も、ゼロデイ攻撃と同等のリスクが急上昇することも認識しておくべきだ。

対策

まずは既存資産の把握・管理体制を整備することが大前提となる。

その上で新たにソフトウェアを導入する際には、セキュリティのサポートが充実しているベンダーを選定し、修正プログラムや回避策の提供が迅速な製品を利用する。逆に、サポート対象から外れた製品やバージョンを利用するのは避けるべきである。さらにベンダーからの情報提供を受け身で待つだけではなく、利用するソフトウェアの脆弱性対策情報を自らも能動的に収集に努めることが肝要だ。

9位　テレワーク等のニューノーマルな働き方を狙った攻撃

昨年5位から9位に順位を下げた。新型コロナウイルス感染症（COVID-19）が爆発的な感染拡大を起こす中、十分な準備が整わないままテレワークは半ば見切り発車的に進められたこともあり、多くの企業でセキュリティインシデントが発生した。だが、それからすでに4年が経過した現在、ビジネスパーソンはニューノーマルな働き方のコツをつかみ、企業も本腰を入れてセキュリティ対策に取り組んできた。その結果として、テレワークのリスクは減少傾向にあるといえるだろう。

最も危機感が失われつつある今こそ、あらためて気を引き締める必要がある。攻撃者は常に油断や隙を突いてくるからだ。警察庁が発表した広報資料「令和5年上半期におけるサイバー空間をめぐる脅威の情勢等について」によれば、ランサムウェア被害の感染経路としてVPN機器経由のものが35件で最も多く、全体の71%を占めている。テレワークに利用される機器などの脆弱性は、相変わらず攻撃者にとって格好のターゲットなのだ。

対策

やるべきことは、いまだに残っているコロナ禍でのテレワーク開始時の暫定的なセキュリティ対策や例外措置の見直しだ。テレワークとオフィスワークを柔軟に組み合わせたハブリッドワークへとさらに進化していくニューノーマルな働き方に対応し、ユーザーの情報リテラシーとモラルを向上させる。また技術的な観点からは、ZTNA（ゼロトラストネットワークアクセス）など、セキュリティに強いテレワーク環境の導入を検討することをお勧めする。

まとめ

ここまで「情報セキュリティ10大脅威 2024」のTOP5にランクインしたサイバー攻撃および内部不正による情報漏えい被害などにフォーカスし、概要と基本的な対策を解説してきた。しかし一方で、このランクにとらわれすぎないことも重要だ。順位が高いか低いかに関わらず、組織や従業員が置かれている立場や環境を考慮し、優先度を付けた適切な対応を取る必要があるからだ。また、こうした「組織」向けの脅威に対しては、継続した対策と定期的な点検が必要であると同時に、何よりも従業員への意識向上が大切であり、そのための教育も重要だ。

自社にとって重視すべきリスクは何かを熟慮した上で、今後も適切なセキュリティ対策に臨んでいただきたい。

10大脅威へのセキュリティ対策に―お役立ち情報をご覧いただけます

ランサムウェア対策ガイドブック［2025年版］

セキュリティリスクを見える化！
感染予防・被害最小化に役立つサーバセキュリティ運用見える化サービス

Active Directory(AD)のセキュリティリスクを見える化

Web記事をホワイトペーパーとして閲覧できます。