情報セキュリティ10大脅威 2019 ~組織編~
クローバーフィールドの杉山です。
IPAが発表した情報セキュリティ10大脅威 2019の組織編も見ていきたいと思います。
今年新たに登場したのが「サプライチェーンの弱点を悪用した攻撃の高まり」です。
法人であれ、個人であれ、ビジネスをするうえで、どんな組織であっても取引先があります。
公共機関であっても、単独で仕事はできません。
「将を射んと欲すればまず馬を射よ」と言いますが、セキュリティに非常に厳しい組織であっても、取引先までセキュリティに厳格な対応をしているとは限りません。ターゲットに直接侵入するのが難しい場合、このような脇の甘い組織を探して狙います。
まず、踏み台にしたい組織のネットワークに対して侵入を試みたり、マルウェア付きのメールなどを送ってバックドアを仕込むなどを行います。
攻撃の足場として利用するため、当該組織に対して表立った攻撃はせず、足場を固めます。
そして、ターゲット組織との取引部門などを特定し、取引している担当者のメールアドレスを取得するなどして、効果的攻撃のための情報を取得します。
最後に、いかにも本物っぽいタイトルのメールに添付ファイルに偽装したマルウェア添付して送りつけたり、偽サイトに誘導するなど、あの手この手でミスを誘います。
その結果として、1位の「標的型攻撃による被害」、2位の「ビジネスメール詐欺による被害」、3位の「ランサムウェアによる被害」などが発生することになります。
ビジネスメール詐欺については、2017年に発生した日本航空への事件なとがメディアに取り上げれたのでご存知の方も多いと思います。
警視庁サイバー犯罪対策プロジェクトでも「ビジネスメール詐欺に注意!https://www.npa.go.jp/cyber/bec/index.html」などで注意を呼びかけています。
6位の「インターネットサービスからの個人情報の窃取」は、インターネツトでなんらかのサービスを提供している組織を狙って行われています。
最近では、「宅ファイル便」の情報漏えいが大きなニュースだってのではないでしょうか。
このようなクラッキングが非常に効率の良い収入源となってといるため、様々な犯罪組織が攻撃を行っています。
未遂で終わっている攻撃はかなりの数があると考えます。
皆さんのメールアドレス宛にも、いかにも書類を送付してきたようなタイトルのメールや便利情報などのタイトルのメール届いていますよね。
そして、外部からの攻撃に対する守りだけを固めてもどうしょうもないのが、内部の問題です。
5位の「内部不正による情報漏えい」については、自分の組織には悪人がいないと思いたいところです。
しかし、どうしてか簡単に易きに転ぶひともいることは確かです。
うちには大した機密情報など無いとお考えの方であっても、営業マンが顧客情報を盗んで転職するなどの問題は聞いたことがあるのではないでしょうか。
セキュリティの規約を作成して、就業規則に罰則規定を盛り込まないと、いざという時に法律が味方をしてくれません。
しっかり対策をしておきましょう。
また、10位の「不注意による情報漏えい」ですが、情報漏えいの原因は不注意での情報漏えいがほとんどだと考えます。
メールの誤送信などをインシデントとして公開していない場合か多いと思います。
でも、数年に一度くらいの割合でCCに大量のメールアドレスが記載されているメールが届くことがありますので、要注意です。
そして、社外で利用するためのに持ち出したパソコンの紛失であったり、置き引きなどの被害も情報漏えいになります。
例えデータを暗号化してあっても、漏えいしたことになりすま。
もちろんスマートフォンの紛失もこれに該当します。
情報の持ち出しについては運用ルールを確立し、従業員に理解していただく必要があります。
最後に、9位の「脆弱性対策情報の公開に伴う悪用増加」です。
社内で利用しているコンピュータのOSやアプリケーション、ネットワーク機器などのセキャリティに対する脆弱性を放置していないでしょうか。
少なくともOSやアプリケシーョンのアップデートはこまめに実施すること、ネットワーク機器などは初期パスワードのまま利用しないなどが最低限の対処になります。
それぞれの会社のサイトやJVNなとで公開されている脆弱性についての情報を収集して、必要に応じて対応することが望ましいです。
ビジネスに取り組む上で、セキュリティは増々重要になっています。
弊社もSECURITY ACTION宣言を行いましたので、しっかりセキュリティの対策を実施していきます。