前回に引き続き、ITシステムのセキュリティ脅威分析についてお話します。
前回はリスク評価のCVSSについてお話しました。今回は以前、脅威分析の流れを紹介した際に省略した攻撃手法の話について、リクエストがあったので、初心者にもわかりやすい「情報セキュリティ10大脅威」に書かれている最近よくある攻撃手法についてお話します。
セキュリティ10大脅威
最初に「セキュリティ10大脅威」についてお話しておきます。これはIPA(情報処理推進機構)という国の外郭団体が毎年発表している社会的に影響の大きかった情報セキュリティの脅威をまとめたものです。2006年ごろから発表しており、2016年からは、個人と組織に分けて公表されています。影響の大きい脅威が個人と組織で変わってきて来たからだと思います。
2022年 組織編の10大脅威
今回は、その最新である2022年版の組織編について紹介します。
1位は、ランサムウェアによる被害です。ウイルスによる感染で、パソコンを使用不能にして、金銭を請求します。払っても回復しないケースもありますが、払っていることも少なくないようです。
2位は、標的型攻撃による機密情報の窃取です。メール等で特定組織のパソコンをウイルス感染させ、機密情報を窃取します。標的型攻撃はウイルス対策ソフトでは感知しづらいので、対策が難しいと言われています。
3位は、サプライチェーンの弱点を悪用した攻撃です。標的企業の取引企業がもつ脆弱性を利用して、情報漏えいを行います。大きな企業と取引している中小企業がターゲットになりやすいです。ここで得られた情報が2位の標的型攻撃に使われることになります。2019年度から登場しています。
4位は、テレワーク等のニューノーマルな働き方を狙った攻撃です。テレワークで利用されているソフトの脆弱性を利用して不正アクセスを行います。本社がいくらきちんとしていても、社員のパソコンのセキュリティが甘いとつけこまれる時代になりました。2021年度から登場の脅威です。
5位は、内部不正による情報漏えいです。元従業員やモラルの低い従業員の操作による情報漏えいです。内部の人間の悪意のある行動だけでなく、アクセス権限やユーザー管理のミスから乗じることもあります。
6位は、脆弱性対策情報の公開に伴う悪用増加です。公開された脆弱性を利用して攻撃を行うことです。対策より攻撃が早い場合は被害が大きくなります。
7位は、修正プログラムの公開前を狙う攻撃です。ゼロデイ攻撃と呼ばれるもので、脆弱性情報が公開される前に起きる場合もありますが、多くは6位と同様、情報公開により修正プログラムより先に攻撃プログラムができてしまい、悪用されてしまうようです。今回初登場の脅威です。
8位は、ビジネスメール詐欺による金銭被害です。なりすましによる請求書や入金指示がメールによって行われて、気付かなずに手続きを行い、被害にあるケースです。
9位は、予期せぬIT基盤の障害に伴う業務停止です。ウイルス等ではなく、設備障害や自然災害、人的ミスにより起こりうるものです。セキュリティを安全だけでなく、保障といった意味にまで広げるとサービスが利用できない状況も脅威と考えられるということです。
10位は、不注意による情報漏えい等の被害です。メールの宛先ミスや電車等での機密情報の置忘れ、不特定多数の人がいるところでのおしゃべりやパソコン画面の表示による情報漏えいといったことにより発生します。
なお、個人編やもう少し詳細が知りたい方は、ぜひIPAのサイトを見にいってください。わかりやすいスライド資料等があるので勉強になると思います。
次回は、この10大脅威に共通する脅威の原因、注意すべきことについてお話します。