今年も「情報セキュリティ10大脅威 2022」が経産省所管の情報処理推進機構(通称IPA)から発表されました。
情報セキュリティは専門外ですが、無体財産を扱う者として状況をウォッチングしています。
| 昨年順位 | 個人 | 順位 | 組織 | 昨年順位 |
|---|---|---|---|---|
| 2位 | フィッシングによる個人情報等の詐取 | 1位 | ランサムウェアによる被害 | 1位 |
| 3位 | ネット上の誹謗・中傷・デマ | 2位 | 標的型攻撃による機密情報の窃取 | 2位 |
| 4位 | メールやSMS等を使った脅迫・詐欺の手口による金銭要求 | 3位 | サプライチェーンの弱点を悪用した攻撃 | 4位 |
| 5位 | クレジットカード情報の不正利用 | 4位 | テレワーク等のニューノーマルな働き方を狙った攻撃 | 3位 |
| 1位 | スマホ決済の不正利用 | 5位 | 内部不正による情報漏えい | 6位 |
| 8位 | 偽警告によるインターネット詐欺 | 6位 | 脆弱性対策情報の公開に伴う悪用増加 | 10位 |
| 9位 | 不正アプリによるスマートフォン利用者への被害 | 7位 | 修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃) | NEW |
| 7位 | インターネット上のサービスからの個人情報の窃取 | 8位 | ビジネスメール詐欺による金銭被害 | 5位 |
| 6位 | インターネットバンキングの不正利用 | 9位 | 予期せぬIT基盤の障害に伴う業務停止 | 7位 |
| 10位 | インターネット上のサービスへの不正ログイン | 10位 | 不注意による情報漏えい等の被害 | 9位 |
情報セキュリティ10大脅威 2022:IPA 独立行政法人 情報処理推進機構
組織の1位はランサムウェア攻撃とのことです。変なメールをクリックしてしまう等でシステムが止まるなどし、原状回復のためビットコインなどの身代金(ランサム)を要求されるソフトウェアなので、ランサム+ソフトウェア=ランサムウェアとのことです。最近は標的型攻撃と組み合わせてくるので、非常に防ぎにくくなっているそうです。変なメールは開かない、変な電話にペラペラ情報を話さないなど従業員の教育も必要ですね。
組織の 1 位は、昨年に引き続き「ランサムウェアによる被害」でした。2021 年も国内の企業や病院などのランサムウェア被害が報道され、大きな話題となりました。近年のランサムウェア攻撃は、標的型攻撃と同様の手法で企業・組織のネットワークに侵入したり、データを暗号化するだけでなく窃取して公開すると脅したりして、身代金を支払わざるを得ないような状況を作り出します。標的型攻撃と同等の技術が駆使されるため、この攻撃への対策は、例えば、ウイルス対策、不正アクセス対策、脆弱性対策など、基本的な対策を、確実かつ多層的に適用することが重要です。また、どの組織でも被害に遭う可能性があることを念頭において、バックアップの取得や復旧計画を策定するなど、事前の準備が重要です。
プレス発表 「情報セキュリティ10大脅威 2022」を決定 (ipa.go.jp)
初のランクインはゼロデイ攻撃だったそうです。修正パッチが出る前に脆弱をつく技ですね。
ゼロデイ攻撃は、修正プログラムが提供される前の脆弱性を悪用した攻撃です。2021 年 12 月には Java 用のログ出力ライブラリである「Apache Log4j」の脆弱性対策情報が、すでに攻撃が観測されているとの情報と同時に公開されました。「Apache Log4j」は、ウェブサイトのバックエンドにあるウェブサーバーなどで行われた操作を記録する機能をもつプログラムの部品のようなもので、世界中のプログラムで広く使われているため、大きな話題となりました。ゼロデイ攻撃の場合、修正プログラムが提供された時点ですでに攻撃が行われているため、脆弱性対策に加え、外部からの侵入を検知/防御する機器を導入するなどの備えが重要です。
プレス発表 「情報セキュリティ10大脅威 2022」を決定 (ipa.go.jp)
プレスの紹介では、Log4jの話も出ていました。Log4jに関してはOSSの企業の理解の足りなさなども露呈しています*。セキュリティは離れますが、知財の観点ではOSSは基本的にはOSSライセンスとしてコピーライト・レフトで一定の制限がありますので、ライセンス条件の確認は必須です。
*「無料でLog4j対策を教えろ」と迫った大企業とオープンソース開発者の痛快なやりとりが公開中(022年01月26日 05時00分、Gigazine)
「無料でLog4j対策を教えろ」と迫った大企業とオープンソース開発者の痛快なやりとりが公開中 - GIGAZINE
