IPA「情報セキュリティ10大脅威2022(組織)」のランキングから見るサイバー攻撃の傾向|サイバーセキュリティ.com

IPA「情報セキュリティ10大脅威2022(組織)」のランキングから見るサイバー攻撃の傾向



2022年のランキングは前年からどのように変化したのか、そしてインシデント発生事例で実施された再販防止策は?

出展:「情報セキュリティ10大脅威2022

「情報セキュリティ10大脅威2022」とは

日本のIT国家戦略を技術面・人材面から支えるために設立された経済産業省所管の独立行政法人であるIPAが、情報セキュリティ対策の普及を目的として、情報セキュリティ事故や攻撃の状況等から脅威を選出し、2006年から毎年上位10位を公表しているのが、「情報セキュリティ10大脅威 2022」です。

ランキングは、情報セキュリティ分野の研究者、企業の実務担当者など約150名のメンバーで構成する「10大脅威選考会」の投票を経て決定したものです。

ランキングには「個人」と「組織:企業、政府機関、公共団体等の組織およびその組織に所属している人」という立場でそれぞれランキングしていますが、ここでは「組織」のみを扱います。

「情報セキュリティ10大脅威2022」のランキング

順位 脅威 昨年順位
1位 ランサムウェアによる被害 1位
2位 標的型攻撃による機密情報の窃取 2位
3位 サプライチェーンの弱点を悪用した攻撃 4位
4位 テレワーク等のニューノーマルな働き方を狙った攻撃 3位
5位 内部不正による情報漏えい 6位
6位 脆弱性対策情報の公開に伴う悪用増加 10位
7位 修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃) NEW
8位 ビジネスメール詐欺による金銭被害 5位
9位 予期せぬIT基盤の障害に伴う業務停止 7位
10位 不注意による情報漏えい等の被害 9位

ランキングから見るサイバー攻撃の傾向

昨年に引き続き「ランサムウェアによる被害」と「標的型攻撃による機密情報の摂取」が1位・2位。

従来はウイルスメールなどで無差別に攻撃が行われていましたが、新たな攻撃者は、明確に標的を企業・組織に定めています。ランサムウェア攻撃は、データを暗号化するだけでなく、公開すると脅し、身代金要求してきます。この攻撃への対策は、ウイルス対策、不正アクセス対策、脆弱性対策など、基本的な対策に加え、被害に遭う可能性があることを念頭において、バックアップや復旧計画などを事前に準備しておくことが重要です。

「修正プロブラムの公開前を狙う攻撃(ゼロデイ攻撃)」が初登場で7位。

ゼロデイ攻撃は、修正プログラムが提供される前の脆弱性を悪用した攻撃で、昨年12月に発生した「Apache Log4j」に対する攻撃や、昨年4月の内閣府に対するゼロデイ攻撃が話題となりました。ゼロデイ攻撃の場合、修正プログラムが提供された時点ですでに攻撃が行われているため、脆弱性対策に加え、外部からの侵入を検知/防御する機器の導入が必要です。

「内部不正による情報漏えい」と「テレワーク等のニューノーマルな働き方を狙った攻撃」が4位・5位。

この2つも昨年に引き続き上位にランキングされています。2020年以降、テレワークが急増し、自宅PCからVPN経由で社内システムにアクセスしたり、ウェブ会議をする機会が増ました。その際に利用するソフトウェアの脆弱性や設定ミスが標的になりインターネット経由で、ウェブ会議をのぞき見されたり、テレワーク用の端末にウイルスを感染させられたり、感染した端末から社内システムに不正アクセスされたりする事例が増えています。

テレワークを狙った攻撃の発生要因

VPNやウェブ会議サービスの脆弱性の悪用

VPN 製品の脆弱性の報告は今後も継続すると予想できます。ご利用中のVPNやウェブ会議サービスの脆弱性情報を確認し適切にバッチを適用することが重要です。2021年9月にはフォーティネット社製のSSL-VPN装置の8万7千台分の認証情報が漏えいしたとの発表がありました。また、2021年9月に警察庁が発表したレポートによると感染経路の55%がVPN機器からの侵入で、テレワークを利用して侵入したと考えられるものが8割近くを占めていると報告されています。また、ウェブ会議サービスの公開された脆弱性を悪用した不正アクセスが高水準(1日6千件強/1IP)であることも指摘されています。

参照令和3年上半期におけるサイバー空間をめぐる脅威の情勢等について(警察庁)

急なテレワーク移行による管理体制の不備

テレワークへの急な移行によりルール整備やセキュリティ対策のノウハウが不十分なまま業務利用を開始してしまっている。

私有端末や自宅のネットワークを利用

私有端末では、ウェブサイトやSNS へのアクセスや、様々なソフトウェアをインストールすることがある。端末のウイルス感染や、ソフトウェアの脆弱性を攻撃者に悪用され、業務上の情報やテレワーク用の認証情報等を窃取されるおそれがある。また、組織支給の端末を利用している場合でも、自宅やシェアオフィスのネットワーク環境に適切なセキュリティ対策が行われていないと組織のセキュリティ対策が適用されず、端末がウイルスに感染する等のおそれがある。

 

トップ3インシデントの発生事例と再発防止策

2021年に発生した事例を紹介します。

1位「ランサムウェアによる被害」

ランサムウェア被害で決算報告延長

2021年7月7日に株式会社ニップン(製粉会社)で複数のシステムにて障害が発生。サイバー攻撃によるサーバーへの不正アクセスにより、同社が保管する企業情報及び個人情報の一部が流出した可能性があると公表。

同社は、サイバー攻撃を受け、大部分のサーバーや一部端末が同時多発的に暗号化される被害を受けた。暗号化されたシステムにはグループ会社も利用している基幹システムも含まれ、システムのオンラインバックアップを管理するサーバーについても暗号化されたことで早期復旧が困難になり、その結果、四半期決算報告書の提出を延期することとなった。

参照2021年8月 システム障害発生のお知らせ(続報)  (株式会社ニップン)

ランサムウェア攻撃により8万5千人の患者データが暗号化

2021年10月、徳島県の半田病院がランサムウェアの感染によって、約8万5,000人分の電子カルテや会計システムにアクセスできなくなる被害を受けた。同病院は身代金を支払わずにシステムの再構築を行い、復旧までの約2ヶ月間、一部の診療科で新規患者の受け入れを中止する等の影響があったが、2022年1月、通常診療を再開した。

参照2022年1月5日 半田病院、ランサム被害から復旧し通常診療を再開

アメリカ最大のパイプライン、身代金4.8億円の支払い認める

2021年5月、アメリカ最大の石油パイプラインであるコロニアル・パイプラインが、ランサムウェアの被害を受けて5日間の操業停止に追い込まれ、ガソリン不足を心配した市民がガソリンを買いだめし、売り切れや価格高騰といった大きな影響が出た。DarkSideという犯罪グループによる犯行で、脆弱な設定のVPN 経由での不正アクセスによってランサムウェアに感染させていた。データの暗号化の他にデータの窃取もされており、二重の脅迫を受けた同社は身代金440万ドルを暗号資産(ビットコイン)で支払い、システムを復旧させた。なお、6月にFBIは身代金の大部分を回収したと報じた。

参照2021年10月15日 ランサムウエア攻撃で石油パイプラインが停止、犯罪組織DarkSideの手口を検証(日経クロステック)

2位「標的型攻撃による機密情報の窃取」

業務スーパーが不正アクセス被害、個人情報や法人情報流出

2021年12月20日、「業務スーパー」を展開する神戸物産は、同社サーバーがサイバー攻撃を受け、個人情報や一部企業情報が外部に流出したことを明らかにした。発覚の経緯は、本社で利用するサーバーで共有ファイルが開けなくなり、メールが届かない不具合が発生したためとしている。その後、外部との通信を遮断し、システムの復旧を行った。

参照不正アクセスによる個人情報等流出の可能性に関するお知らせとお詫び (株式会社神戸物産)

不正アクセスにより、情報が外部流出

2021年5月、富士通が提供するプロジェクト情報共有ツール「ProjectWEB」が第三者から不正アクセスを受け、顧客から預かった情報の一部が窃取されたことが公表された。本ツールは、同社やグループ会社、外部の協力企業、顧客間のシステム開発等のプロジェクト管理(開発工程やソース、タスクの管理等)に用いられていた。
2021年12月に「ProjectWEB」の販売停止を発表。

参照プロジェクト情報共有ツールへの不正アクセスについて (富士通株式会社)

3位「サプライチェーンの弱点を悪用した攻撃」

HOYA米子会社にサイバー攻撃。顧客情報が闇サイトで公開

2021年4月、国内の光学機器メーカーHOYAの米子会社 Hoya Optical Labs of America, Inc. がAstro Lockerというランサムウェア攻撃を受け、約300ギガバイトの財務や顧客情報等が窃取され、闇サイトに公開されていることが明らかになった。Astro Lockerには、暗号化されたファイルをダブルクリックすると脅迫文が常に開くという特徴がある。
今回の攻撃は「アストロチーム」と名乗るサイバー犯罪グループが犯行声明を出している。

参照当社グループの米国子会社に対するサイバー攻撃について (HOYA株式会社)

サイバー攻撃により約7億5000万円の特別損失を計上

建設コンサルティングのオリエンタルコンサルタンツは、2021年8月15日及び同19日のグループの複数のサーバーに対するランサムウェアによる攻撃により、サーバー内に保管されていた業務関連データが不正に外部送信される被害を受けた。この影響により、9月に連結業績で約7 億5000 万円の特別損失を計上すると発表した。同社に業務を委託していた東京都や千葉県市川市が、貸与していたデータも被害を受けた可能性があると発表している。

参照ランサムウェア攻撃に関するご報告 (株式会社 オリエンタルコンサルタンツグローバル)

顧客情報など130万ファイルを窃取と表明

情報セキュリティー会社の三井物産セキュアディレクションによると、2021年4月27日「REvil」と名乗るサイバー犯罪グループが「ほぼすべての子会社の秘密保持契約書や設計図など130万に上るファイルを盗み出した。5月1日までに身代金を支払わないと売却する」との内容の犯行声明を公開した。

参照鹿島海外グループがランサム感染、約130万件のデータで金銭迫られる

SNSでもご購読できます。