IPA「情報セキュリティ10大脅威2021」のランキングから見るサイバー攻撃の傾向|サイバーセキュリティ.com

IPA「情報セキュリティ10大脅威2021」のランキングから見るサイバー攻撃の傾向



2021年のランキングは前年からどのように変化したのか、そしてインシデント発生事例で実施された再販防止策は?

出展:「情報セキュリティ10大脅威2021

「情報セキュリティ10大脅威2021」とは

日本のIT国家戦略を技術面・人材面から支えるために設立された経済産業省所管の独立行政法人であるIPAが、情報セキュリティ対策の普及を目的として、情報セキュリティ事故や攻撃の状況等から脅威を選出し、2006年から毎年上位10位を公表しているのが、「情報セキュリティ10大脅威 2021」です。

ランキングは、情報セキュリティ分野の研究者、企業の実務担当者など約160名のメンバーで構成する「10大脅威選考会」の投票を経て決定したものです。

ランキングには「個人」と「組織:企業、政府機関、公共団体等の組織およびその組織に所属している人」という立場でそれぞれランキングしていますが、ここでは「組織」のみを扱います。

「情報セキュリティ10大脅威2021」のランキング

順位 昨年順位
1位 ランサムウェアによる被害 5位
2位 標的型攻撃による機密情報の窃取 1位
3位 テレワーク等のニューノーマルな働き方を狙った攻撃 NEW
4位 サプライチェーンの弱点を悪用した攻撃 4位
5位 ビジネスメール詐欺による金銭被害 3位
6位 内部不正による情報漏えい 2位
7位 予期せぬIT基盤の障害に伴う業務停止 6位
8位 インターネット上のサービスへの不正ログイン 16位
9位 不注意による情報漏えい等の被害 7位
10位 脆弱性対策情報の公開に伴う悪用増加 14位

ランキングから見るサイバー攻撃の傾向

  • 「ランサムウェアによる被害」と「標的型攻撃による機密情報の摂取」が1位・2位。
    従来はウイルスメールなどで無差別に攻撃が行われていましたが、新たな攻撃者は、明確に標的を企業・組織に定めています。
  • 「テレワーク等のニューノーマルな働き方を狙った攻撃」が初登場で3位。
    昨年はテレワークへの移行に伴い、自宅から 社内システムにアクセスしたり、Web 会議サービスを利用したりする機会が増えました。こうした業務環境の急激な変化にセキュリティ対策が後追いになっている企業を狙った攻撃が増えています。
  • 「内部不正による情報漏えい」は前年の2位から6位にランキングを下げています。
    これもテレワークが増えた影響により、USBメモリーやHDDなどの外部記憶媒体を使ってシステムから直接データを不正にコピーできる機会が減少したり、自宅からをアクセス件のない情報を痕跡なしにダウンロードするのが困難になったためだと考えられます。

トップ3インシデントの発生事例と再発防止策

2020年~2021年に発生した事例をご紹介します。

1位「ランサムウェアによる被害」

2021年5月にビーウィズのアルバイト求人応募者データ15,421名と従業員の個人情報9,375名のデータが暗号化された。現時点で身代金の要求はないものの、原因や流出の痕跡について調査を進めている。
再発防止策として、「認証機能や権限設定の変更」、「一部VPN機能の停止」、「各種ログ取得範囲拡大による監視体制の強化」等を実施。

参照2021年8月13日ビーウィズのお知らせ


2020年11月にカプコンに対する第三者からのオーダーメイド型ランサムウェアによる不正アクセス攻撃により、15,649名の個人情報が流出した。また、身代金の要求はあったが攻撃者との交渉は拒絶している。
再発防止策として、従来の境界型セキュリティ対策に加え、外部との接続を常時監視するSOCサービスや機器の不正な挙動等を早期に検知するEDRの導入を実施。

参照2021年4月13日カプコンのプレスリリース


2020年6月に発生したホンダのランサムウェアEKANS(エカンズ)によるものとおもわれる大規模システム障害では、国内外9工場の生産や出荷が止まり、本社のネットワークシステムにも障害が発生した。復旧には3日掛かっている。このランサムウェアは、工場などで利用されるSCADA(監視制御データ収集)/ICS(産業用制御システム)をターゲットにしたもの。詳細な経緯および対策については公開されていない。

参照2020年6月9日朝日新聞デジタルの記事

 

2位「標的型攻撃による機密情報の窃取」

2021年1月~2月にかけ「マイナビ転職」登録者情報212,816名分に不正アクセスが発生。管理サーバーに、外部で不正に取得されたと思われるパスワードを使って不正ログイン。
再発防止策として、「マイナビ転職」全ユーザーのパスワードをリセット。機械的な攻撃に対する防衛策として、ID・パスワード認証以外のシステムセキュリティの高度化対策を実施。さらに、ログイン画面にGoogle社のreCAPTCHA認証を導入。

参照2021年2月12日マイナビのお知らせ


2020年12月に川崎重工が不正アクセスを受けたことを公表。攻撃は痕跡を残さない高度な手口によるもので、その後の調査結果により、情報の流出があったことは確認できたが、個人情報流出については確認された事実はないとの報告があった。
再発防止策として、国内外拠点間の通信ネットワーク監視とアクセス制御の厳格化を進め、不正アクセスを検知するとともに、迅速な被害範囲の特定と対応が可能となるプロセスを強化。サイバーセキュリティ総括部を中心としてグループ全体でセキュリティ強化を推進。

参照2021年7月30日川崎重工の調査報告


2020年1月に三菱電機が不正アクセスにより、8,635件の個人情報および企業機密情報が流出。不正アクセスは、中国の子会社が不正アクセスを受け窃取された従業員アカウントにより、クラウドサービスおよび関連サーバーに侵入したことにより発生。
再発防止策として、グループ全従業員のアカウント情報の改廃やアクセス制御強化を実施。今後、クラウドサービスの監視を強化するとともにゼロトラストセキュリティー対策を行う。また、ネットワークアクセス制御や端末のセキュリティー対策も行い総合的な多層防御によるセキュリティー対策を実施する。

参照2021年3月26日三菱電機の調査結果報告


2020年1月にNECが防衛事業部の社内サーバーに2016~2018年にかけて不正アクセスがあったことを公表。防衛事業部門で利用している他部門との情報共有用の社内サーバに保存された27,445件のファイルに不正アクセスを受けた。現時点で情報流出は確認していない。
再発防止策は、攻撃への対応体制や重要情報管理、早期検知・対処の強化など、さらなる対策の強化を行い、より高度な攻撃への対応を実施。

参照2020年1月31日NECのニュースリリース

3位「テレワーク等のニューノーマルな働き方を狙った攻撃」

2020年8月に米Pulse Secure(パルスセキュア)のVPN製品「Pulse Connect Secure」の脆弱性により世界全体で900件の認証情報がインターネット上に公開された。うち日本企業は日立化成や住友林業など46社(VPN57台分)が含まれる。脆弱性は2019年4月に見つかり更新プログラムをリリースしていたが更新されていないVPN製品が狙われた。

参照2020年4月16日CISA:Alert AA20-107A:Continued Threat Actor Exploitation Post Pulse Secure VPN Patching

2021年4月にも未修正の深刻な脆弱性が存在し、ゼロデイ攻撃も確認されたことを公開し、バッチプログラムを追ってリリースしている。
再発防止策は、更新プログラムの早期適用およびパスワードの変更といった基本的なもの。


2020年4月に三菱重工の社員が在宅勤務中に社用PCでSNSを利用した際にウイルスに感染。出社して感染したPCを社内ネットワークに接続して被害が拡大。従業員の個人情報、サーバのログ、通信パケット、サーバ設定情報等のIT関連情報などが流出。
再発防止策は、社有PCを外部ネットワークに接続する際、強制的に社内ネットワークを経由する処置(VPN強制接続)を適用。さらに、ローカル特権アカウントのパスワードを全て異なるものに変更。

参照2020年8月7日三菱重工業の重要なお知らせ

 


NEW

サイバーセキュリティお助け隊サービス
AXIS総合セキュリティパックのご紹介

AXIS総合セキュリティパック

「AXIS総合セキュリティパック」は、Sophosの最新製品を採用した次世代型セキュリティシステム(Sophos Firewall XGS、Sophos Intercept X)に24時間年中無休のマネージドサービス(Sophos MDR)さらに導入コンサルティングサービスとサイバー保険をワンパッケージにした最高レベルの総合セキュリティサービスです。

SNSでもご購読できます。