IPAの情報セキュリティ10大脅威 をご存知でしょうか。
情報セキュリティ分野の研究者や企業の実務担当者が、発表前年の1年間に発生した社会的に影響が大きいと考えられる情報セキュリティにおける事案について、審議を行い決定したものです。その中でもコロナ禍を経て需要が高まったテレワークにより生じた事案、「テレワーク等のニューノーマルな働き方を狙った攻撃」。2019 年以降、4年連続で脅威として取り上げられている本件に着目し、お話していきたいと思います。

IPA 情報セキュリティ10大脅威 2024 [組織]

どのような方法で攻撃が行われるか

VPN製品の脆弱性の悪用

最新化が行われていないことにより、脆弱性をつかれて攻撃を受けることになります。

個人環境を悪用

マルウェア感染しているパソコン等で社内ネットワークに接続することにより、社内ネットワークにマルウェアが拡散することが考えられます。また、ルーターなどのファームウェアが最新化されていない場合、こちらも拡散の恐れがあります。フリー Wi-Fi の利用も、悪意で設置されたものである場合、盗用される恐れがあります。

ソーシャルハッキングによる情報漏えい

技術的な手法を用いずとも、情報が漏えいし、攻撃を受けることが考えられます。不特定多数の人物がいるカフェやレストランでの業務は、盗み見たり、盗聴することにより情報が抜き取られる場合があります。

ランサムウェアによる被害

攻撃事例としてランサムウェアについて解説いたします。
感染するとパソコン等に保存されているデータを暗号化し、使用できない状態にした上で、そのデータを復号する対価(金銭・暗号資産)を要求するプログラムです。また、データの暗号化のみならず、データを窃取した上で「対価を支払わなければデータを公開する」という脅迫をする手口が確認されています。二重恐喝のみならず、DDoS や取引先に対して攻撃することにより、三重、四重の脅迫を行う事例もあります。ランサムウェアによる被害は「IPAの情報セキュリティ10大脅威」に9年連続であげられており、2024 年度では1位の脅威とみなされています。

攻撃方法への主な対応策

ソフトウェア、ファームウェアの最新化

OS やアプリケーションなどのソフトウェアだけでなく、ハードウェアを制御するファームウェアなどの脆弱性を見直すことにより、攻撃を防ぎます。近年、更新を怠ったために攻撃を受けたというインシデントも報告されており、基本的なセキュリティ対策といえます。

多要素認証の導入

多要素認証とは、認証の3要素である「知識情報」、「所持情報」、「生体情報」のうち、2つ以上を組み合わせて認証することを指します。万が一、ユーザー ID やパスワードが流出したとしても、不正アクセスを未然に防ぐことができます。

【コラムバックナンバー】多要素認証とは?二段階認証との違い

ルール遵守の徹底

ソーシャルハッキングや端末や業務資料の紛失などはシステム管理者側での対策が難しいため、利用者個人が被害の大きさを認知し、被害防止のために実施する必要があります。

侵入を前提とした考え方

昨今の多様な攻撃方法により、攻撃を防ぐ方針ではなく、侵入されることを前提とした対策が有効です。

エンドポイントセキュリティ

エンドポイントとは終点・末端を意味し、セキュリティにおいてはクライアント端末を示します。

EPPEndpoint Protection Platform)
ウィルスに感染させないようにするための未然の防止策です。従来のウィルス対策ソフトには、この手法を行う製品が多く見受けられます。

EDREndpoint Detection and Response)
ウィルスに感染した後の被害を抑えるための策です。監視対象となるエンドポイントに専用のソフトウェアを導入し、ログを取得。不審な挙動が見受けられた際にシステム管理者に通知が行われ、各種攻撃へ迅速に対応が可能です。

【コラムバックナンバー】いま再び重要視されるエンドポイントセキュリティ対策

ゼロトラストセキュリティ

「アクセスしている人は本当に当人か?」を絶対に信用せずに、常に確認することを前提にしたセキュリティです。

【コラムバックナンバー】
注目されるゼロトラストセキュリティ
ゼロトラストセキュリティの5つのポイント

まとめ

コロナ禍での急速な対応が求められ、準備不足のままテレワークに移行した組織も多く、脆弱な部分を攻撃され、被害に遭うことも少なくありませんでした。現在は組織・ユーザー側も対策を確立しており、ニューノーマルな働き方に対する攻撃も減少傾向にあります。(情報セキュリティ10大脅威 [組織] 2021 年から 2024 年まで順に、3 位 → 5 位 → 4 位 → 9 位)
しかし、セキュリティの対策は明確なものの、その範囲は広く、攻撃の多様化が進むにつれて、対策も増えていきます。現在でもシステム管理者だけでは対応できるものではありません。この先も経営者、管理者、利用者が考えうるリスクを認識し、対策を施し、結束して運用されることが求められることでしょう。

参考
IPA 情報処理推進機構
https://www.ipa.go.jp/
https://www.ipa.go.jp/security/10threats/10threats2024.html
総務省
https://www.soumu.go.jp/main_sosiki/cybersecurity/telework/

※記載の製品名は、各社の商標または登録商標です。