【速報】「情報セキュリティ10大脅威 2022」が公開 組織編の1位は昨年と変わらず「ランサムウェアの被害」
2022年度「情報セキュリティ10大脅威」の速報版が2022年1月27日にIPA(独立行政法人情報処理推進機構)よりプレス発表されました。
この「情報セキュリティ10大脅威」は情報セキュリティにおける前年の被害例や社会的に注目度の高かったトピックスを選考委員会の投票によりランク付けするものです。
今回発表された「情報セキュリティ10大脅威」はプレス発表のため各項目に対する詳細は説明されていません。各脅威の詳細な手口や傾向・対策などは2月下旬に発表される予定です。
今回はランキングの簡単な説明に留めておきます。詳しい内容は2月下旬に発表されてから行いたいと思います。
関連記事
※情報セキュリティ10大脅威2021についてハッカーが詳しく解説していく【組織編】
※情報セキュリティ10大脅威2021についてハッカーが詳しく解説していく【個人編】
「情報セキュリティ10大脅威 2022」のランキング内容
2022年もこれまでと同様に「個人編」と「組織編」に分けて10大脅威が公開されています。
「情報セキュリティ10大脅威 2022」の組織編の注目事項
「情報セキュリティ10大脅威 2022」の組織編についてまずは見ていきましょう。
10項目のうち9項目は順位の変動はありますが同様の内容になっています。新出の項目としては「修正プログラムの公開前を狙う攻撃(ゼロディ攻撃)」だけになっています。「ゼロディ攻撃」とは以前は発見されていない脆弱性を悪用して攻撃を行う事を指していましたが、最近では発見され、修正プログラムが公開されるまでの脆弱性を悪用した攻撃までを指すようになっていますね。(著者としては前者の意味をゼロディ攻撃と考えているので少し違和感があります。)
・Log4j脆弱性の影響で「修正プログラムの公開前を狙う攻撃(ゼロディ攻撃)」がランクイン
「修正プログラムの公開前を狙う攻撃(ゼロディ攻撃)」が2022年の10大脅威にランクインした理由はやはり2021年12月の発表されたJava用のログ出力ライブラリである「Apache Log4j」における脆弱性が修正プログラムが公開される前に多くの攻撃に悪用され被害が拡大したためでしょう。
「Apache Log4j」はウェブサイトのバックエンドのウェブサーバーで動作するシステムであり、どのような操作がサーバーで行われたのかを記録するライブラリになります。その為、「Apache Log4j」は世界中の多くのウェブサイトに組み込まれており多大な影響を及ぼしました。
このようなゼロディ攻撃の場合には修正プログラムが公開された時点ですでにシステムへの攻撃・侵入が行わている為、脆弱性管理だけでなく、攻撃の検知・対応が非常に重要になります。
この項目に関連して、「脆弱性対策情報の公開に伴う悪用増加」の項目が昨年10位から6位にランクアップしています。すでに公開され修正プログラムが公開されていても各システム・情報端末に適応していなくては意味がありません。攻撃の多くが公開された脆弱性を利用して攻撃・侵入・拡大を行っています。脆弱性管理という対策が今後非常に大切になっていくのではないでしょうか。
※株式会社クロイツ:脆弱性診断
※株式会社クロイツ:情報セキュリティコンサルティング
・引き続き変わらぬ脅威 「ランサムウェアによる被害」
2021年は2020年から引き続きランサムウェアによる被害が多く報告されました。これまで大きな被害は海外が中心でしたが2021年は国内でも大手企業から病院・中小企業と多くの被害報告が発表されました。
近年のランサムウェアはこれまでのただデータを暗号化して身代金を要求するタイプではなく、データを暗号化し身代金を要求し、なおかつ身代金を払わなければデータを公開するという「2重の脅迫」を行い、確実に金銭を獲得しようとしてきます。
また、これまでの標的型攻撃のような巧妙さも確認されており、ウイルス対策ソフトや不正アクセス対策ソフトなどのシステムだけの対策だけでなく、脆弱性管理や従業員への教育、早期の対応などの人の対策を組み合わせた「ハイブリッドのセキュリティ対策」を実施していき多層・多角的な対策が必要になってくるでしょう。
※【現役ハッカーが教える情報セキュリティ入門】ランサムウェアとは??実害と対策を徹底解説!!
※株式会社クロイツ:情報セキュリティコンサルティング
「情報セキュリティ10大脅威 2022」の個人編の注目事項
次に「情報セキュリティ10大脅威 2022」の個人編についてみていきましょう。
個人編のランキングの項目は順位の変動はあったものの新たな項目はランクインしませんでした。
個人編の1位は「フィッシングによる個人情報等の詐取」になりました。これまで2位や3位にランクインしており変わらず高い脅威になっていた「フィッシング」。2021年は新型コロナウイルスの感染拡大が続き自粛・巣ごもりによる通販サイトの利用急増に呼応するかの如く「フィッシング」の被害報告が急増しました。
また、3位にランクインした「メールや SMS 等を使った脅迫・詐欺の手口による金銭要求」も多く報告されました。特にSMSを利用した「スミッシング」という事例は多く耳にしました。
「フィッシング」や「スミッシング」に対しては安易に URL をクリック・タップしない、サービスを利用する際は自身のブックマークや公式アプリからアクセスするなど、の基本的な対策が有効になります宇。
個人だから大丈夫ということはありません。誰もがスマホ・タブレットといった情報端末を所持できるからこそ、個人だからこそ狙われる時代になっています。その為、基本の情報セキュリティ対策を見直し、実施していくことが重要になっていくでしょう。
「情報セキュリティ10大脅威 2021」との比較
上記のランキングは2021年の「情報セキュリティ10大脅威」になります。
2022年どのランキングは2021年と比較して大きく変化がありませんでした。(2020年から2021年は大きな変化がありました。)
変わった点は組織編の8位にランクインしていた「インターネット上のサービスへの不正ログイン」の項目がランク外になったこと位でしょうか。
2022年は2021年と同じような脅威が引き続き続くと考えられます。そして2022年も新たな脅威が出てくることでしょう。
重要なキーワードは「脆弱性」と「セキュリティ教育」になるような気がします。システムだけで防げなくなっているからこそシステムと人の「ハイブリッドな対策」がより重要になってくるでしょう。
まとめ
「情報セキュリティ10大脅威 2022」いかがだったでしょうか?
詳細な解説に関しては2月下旬に発表される予定ですのでその際に見ていきたいと思います。
この情報セキュリティ10大脅威にランクインしていないからと言って危険ではない・脅威がないというわけではありません。この10大脅威以外にも多くの脅威が情報セキュリティには存在します。
しかし、2022年の情報セキュリティの方針の参考にはなる事でしょう。
脅威を知り、敵を知る。そして適切な対策を講じる。この行為が非常の大切になります。
※IPA(独立行政法人情報処理推進機構)「情報セキュリティ10大脅威」公式ホームページ(外部サイトに移動します。)