書いてあること

  • 主な読者:自社の情報セキュリティについて、しっかり対策を講じたい経営者
  • 課題:そもそもどのような脅威があるのか、どこから着手するべきかを知りたい
  • 解決策:IPAの「情報セキュリティ10大脅威」を確認しつつ、ウイルス対策ソフトの導入などの基本対策を講じる

1 対策の第一歩は、どのような脅威があるのか知ることから

サイバー攻撃によって通常業務ができなくなってしまう。そんな恐ろしい事態が突然やってくるかもしれません。もはや誰もが無関係ではいられないのです。

足下では、出版大手KADOKAWAで、グループ会社のデータセンターのサーバーがランサムウェアによるサイバー攻撃を受けるなどしてシステム障害が発生し、「ニコニコ動画」や書籍の出版といったグループ全体の事業に影響が出ています。

大企業などと比べて情報セキュリティが弱いとされる中小企業こそ、サイバー攻撃の格好の餌食にならないよう、適切な対策を講じなければなりません。

その第一歩は、自社を取り巻く環境にどのような脅威があるのかを知ることです。

IPA(情報処理推進機構)が毎年公表する「情報セキュリティ10大脅威」で、社会的に影響の大きい情報セキュリティの脅威を確認してみましょう。

■IPA「情報セキュリティ10大脅威2024」■
https://www.ipa.go.jp/security/10threats/10threats2024.html

(図表)【情報セキュリティ10大脅威2024】

「個人」向け脅威(五十音順)
初選出年
10大脅威での取り扱い
(2016年以降)
インターネット上のサービスからの個人情報の窃取
2016年
5年連続8回目
インターネット上のサービスへの不正ログイン
2016年
9年連続9回目
クレジットカード情報の不正利用
2016年
9年連続9回目
スマホ決済の不正利用
2020年
5年連続5回目
偽警告によるインターネット詐欺
2020年
5年連続5回目
ネット上の誹謗・中傷・デマ
2016年
9年連続9回目
フィッシングによる個人情報等の詐取
2019年
6年連続6回目
不正アプリによるスマートフォン利用者への被害
2016年
9年連続9回目
メールやSMS等を使った脅迫・詐欺の手口による金銭要求
2019年
6年連続6回目
ワンクリック請求等の不当請求による金銭被害
2016年
2年連続4回目

順位
「組織」向け脅威
初選出年
10大脅威での取り扱い
(2016年以降)
1
ランサムウェアによる被害
2016年
9年連続9回目
2
サプライチェーンの弱点を悪用した攻撃
2019年
6年連続6回目
3
内部不正による情報漏えい等の被害
2016年
9年連続9回目
4
標的型攻撃による機密情報の窃取
2016年
9年連続9回目
5
修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃)
2022年
3年連続3回目
6
不注意による情報漏えい等の被害
2016年
6年連続7回目
7
脆弱性対策情報の公開に伴う悪用増加
2016年
4年連続7回目
8
ビジネスメール詐欺による金銭被害
2018年
7年連続7回目
9
テレワーク等のニューノーマルな働き方を狙った攻撃
2021年
4年連続4回目
10
犯罪のビジネス化(アンダーグラウンドサービス)
2017年
2年連続4回目

(出所:IPA「情報セキュリティ10大脅威2024」)

特に注目すべきは、「組織」に対する10大脅威です。これを見ると、1位は前年と同じく「ランサムウェアによる被害」です。ランサムウェアとは、

PCやスマートフォンに保存されているファイルの暗号化や画面のロックなどを行い、「金銭を支払えば復旧させる」と脅迫する手口に使われるコンピューターウイルスの一種

です。脅迫の際に「暗号化や画面のロックの解除」に加え、

暗号化前に窃取したデータの暴露の取りやめを条件に、身代金を要求する

など、複数の脅迫を組み合わせる手口が増加しています。

また、「犯罪のビジネス化(アンダーグラウンドサービス)」の脅威も増しています。ダークウェブなどと呼ばれる闇市場でサイバー犯罪に使用するためのサービスやツール、IDやパスワードの情報などが取引されています。専門知識が無くとも、これらのサービスやツールを使ってサイバー犯罪に手を染める輩が現れています。また、特殊な加工を施したリクエスト(プロンプト)を生成AIのチャットボットに与えることで、ポリシー違反に相当する要求を受け入れさせる「脱獄」をサービスとして提供する動きも出てきており、被害の拡大が懸念されます。

2 必ず押さえておきたい5つの基本対策

1)ソフトウェアの脆弱性への対策:ソフトウェアの更新

ソフトウェアに脆弱性が見つかった場合、通常、ソフトウェア開発業者は脆弱性の情報とともに、脆弱性をカバーするためのプログラムである「セキュリティパッチ」を一般公開します。速やかにセキュリティパッチを適用するためには、

  • 自社で利用しているソフトウェアやネットワーク対応機器について、製品名とバージョン情報を把握する
  • 製品開発者のウェブサイトで公開されている脆弱性対策情報を随時収集する

ことが求められます。

IPAのウェブサイトでも、主な製品の脆弱性対策情報が「重要なセキュリティ情報」として公開されています。自社で利用している製品があったら、緊急度・重要度に応じて関係先(組織内や顧客など)への周知、ソフトウェアの更新などの対応を行います。

2)ウイルス感染への対策:ウイルス対策ソフトの導入

既知のウイルスの感染を未然に防止するためには、

ウイルス対策ソフトの導入が不可欠

です。ウイルス対策ソフトの導入によって膨大な種類のウイルスを検知できますが、一方で、ウイルスを作成する者も新しい手口を模索しているので、検知できないウイルスも多くなっています。つまり、ウイルス対策ソフトを導入すれば完璧というわけではないので、

万が一感染してしまった場合に備えて、重要情報のバックアップを取るなど、多段階の対策が必要

となります。

3)パスワード窃取への対策:パスワードの適切な管理と認証の強化

パスワードは、他人が分からないように作成し、他人に使われないように管理しなければなりません。

作成については、8桁以上など一定の桁数以上で、英数の大文字・小文字と記号を組み合わせるといった対策が有効です。

短いパスワードだと総当たり(ブルート・フォース・アタック)でログインを試行され、不正にログインされてしまいます。また、誕生日や名前、「123456」「password」「qwerty」といった、推測されやすい文字列をパスワードにするのもやめましょう。

管理ついては、使い回しをしないのが鉄則です。そうしないと、いかに強度の高いパスワードを設定しても、どこか1つのサービスから漏れた場合に「パスワードリスト攻撃」を受け、不正ログインを防げないからです。

以前はパスワードの定期的な変更が推奨されていましたが、今では、

定期的な変更でパスワードの作成方法がパターン化することのほうが問題である

と考えられています。内閣サイバーセキュリティセンター(NISC)からも、パスワードを定期変更する必要はなく、流出時に速やかに変更する旨が示されています。

サービスによっては、「多要素認証」(MFA:Multi-Factor Authentication)が使えるので、積極的に取り入れましょう。多要素認証とは、

ログインなどの際、パスワードの他に、あらかじめ登録しておいたスマートフォンやハードウェアトークンに表示される認証コードの入力を求めるもの

です。

4)設定不備への対策:設定の見直し

ソフトウェアをインストールした直後や、サーバーやネットワーク対応機器などの購入時点では、不要な機能が有効になっていたり、機能へのアクセス制限が設定されていなかったりする場合があります。情報漏洩や乗っ取りなどの被害を防止するために、

設定の確認と定期的な見直しが必要

です。特にブロードバンドルーター、複合機、ウェブカメラなどのネットワーク対応機器の設定は見落としがちです。実際、ネットワークに接続された複合機の設定に不備があり、機器内に保存されたデータが外部から閲覧できてしまう問題も指摘されています。必要なければ、オフィス機器を外部ネットワーク(インターネット)に接続しないようにしましょう。

この他、社員の退職時には速やかにユーザーアカウントを抹消する、異動時にはアカウントに付与したアクセス権限を見直すといった対策も必要です。

5)わなにはめる誘導への対策:脅威や手口を知る

メールやウェブサイトを使って言葉巧みに誘導する手口は年々巧妙化しています。ただし、

どのような手口があるのか知っていれば、攻撃者が仕掛けたわなに気付き、被害を未然に防げる可能性が高まる

ことになります。IPAでは情報セキュリティに関する脅威や対策などを学ぶことができる映像コンテンツを、YouTubeの「IPA Channel (ipajp)」で公開しているので、参考にしてみてください。

■IPA Channel(ipajp)■
https://www.youtube.com/user/ipajp

以上(2024年7月更新)

pj60098
画像:Song_about_summer-Adobe Stock

Leave a comment

メールアドレスが公開されることはありません。 が付いている欄は必須項目です