• セキュリティ情報
  • 2021.02.01

ランサムウェアは継続、ニューノーマルな働き方が狙われている!?情報セキュリティ10大脅威

2021年1月27日、情報処理推進機構(IPA)が、「情報セキュリティ10大脅威 2021」を発表しました。

「情報セキュリティ10大脅威 2021」とは?

IPAのページには、以下のように説明されています。

「情報セキュリティ10大脅威 2021」は、2020年に発生した社会的に影響が大きかったと考えられる情報セキュリティにおける事案から、IPAが脅威候補を選出し、情報セキュリティ分野の研究者、企業の実務担当者など約160名のメンバーからなる「10大脅威選考会」が脅威候補に対して審議・投票によって決定されたものとなります。[1]

昨年発生した脅威から特に影響の大きかったトピックが選出されており、今、警戒すべき事案のランキングといえます。

情報セキュリティ10大脅威 2021

発表されたランキングは以下の通りです。ランキングは、「個人」と「組織」の立場で分かれています。

個人

順位 脅威名 昨年順位
1位 スマホ決済の不正利用 1位
2位 フィッシングによる個人情報等の詐取 2位
3位 ネット上の誹謗・中傷・デマ 7位
4位 メールやSMS等を使った脅迫・詐欺の手口による金銭要求 5位
5位 クレジットカード情報の不正利用 3位
6位 インターネットバンキングの不正利用 4位
7位 インターネット上のサービスからの個人情報の窃取 10位
8位 偽警告によるインターネット詐欺 9位
9位 不正アプリによるスマートフォン利用者への被害 6位
10位 インターネット上のサービスへの不正ログイン 8位

組織

順位 脅威名 昨年順位
1位 ランサムウェアによる被害 5位
2位 標的型攻撃による機密情報の窃取 1位
3位 テレワーク等を狙ったニューノーマルな働き方を狙った攻撃 NEW
4位 サプライチェーンの弱点を悪用した攻撃 4位
5位 ビジネスメール詐欺による金銭被害 3位
6位 内部不正による情報漏えい 2位
7位 予期せぬIT基盤の障害に伴う業務停止 6位
8位 インターネット上のサービスへの不正ログイン 16位
9位 不注意による情報漏えい等の被害 7位
10位 脆弱性対策情報の公開に伴う悪用増加 14位
図1 情報セキュリティ10大脅威 2021 ([1]より作成)

注目したいポイント

注目ポイントとしては、やはり「組織」ランキングの

  • ランサムウェアによる被害
  • テレワーク等を狙ったニューノーマルな働き方を狙った攻撃

でしょう。この2点について詳しく見ていきたいと思います。

ランサムウェアによる被害

IPA「ランサムウェア対策特設ページ」では、ランサムウェアについて以下のように紹介しています。

ランサムウェアとは、「Ransom(身代金)」と「Software(ソフトウェア)」を組み合わせた造語です。
感染したパソコンに特定の制限をかけ、その制限の解除と引き換えに金銭を要求する挙動から、このような不正プログラムをランサムウェアと呼んでいます。([2] 「はじめに」)

ランサムウェアについては、こちらの記事「あなたのデータが人質に!ランサムウェアの恐怖」でもまとめていますが、重要なデータを窃取・暗号化して”人質”に取り、金銭を要求するケースが主流のようです。ランサムウェアの現状の調査結果[3]によると、ランサムウェア攻撃からの平均復旧コストは761,106米ドル(およそ8億円)とされており、大きな被害が出ていることがわかります。最近では、国家機関もランサムウェア攻撃を受け、機密情報がインターネット上に公開されたなど[4]、猛威をふるい続けています。

テレワーク等を狙ったニューノーマルな働き方を狙った攻撃

ここ一年ならではの脅威が早速3位に登場しました。IPAの調査[5]によると、テレワーク実施時のセキュリティ上の課題について、「課題と感じていることはない」と回答した組織がわずか7.6%にとどまるなど、大半の組織がテレワーク時のセキュリティに不安を感じているようです。

具体的に確認された事例としては個人情報保護委員会[6]で以下の通り紹介されています。

  • 標的型攻撃によりテレワーク中の社員のPCがウイルスに感染、後日社内に持ち込まれ内部情報が漏洩
  • 脆弱性のあるVPN機器が攻撃に利用され認証情報等が漏洩

総務省では、テレワーク時のセキュリティについて事例を交えながら解説した資料[7]を公開しています。またIPAでは、テレワークに伴う個人情報漏えい事案に関する注意事項[8]を公開し、注意喚起を行っています。これらの情報をチェックして、セキュリティ対策を講じる必要がありそうです。

例えば、テレワーク時に発生する業務に必要なデータ管理の問題に対しては、データを個人のPCに置かず、クラウドを利用してデータレスPC化を図るといった運用が攻撃脅威の対策として有効です。一方で、テレワークに合わせて社内外で利用できるオンラインストレージなどを導入することは、昨今話題のPPAPを回避した安全なファイル運用の実現にも繋がります。

関連: 「PPAP問題への取り組み、添付ファイルの代替案問われる

まとめ

IPA発表「情報セキュリティ10大脅威 2021」を紹介し、その中から「ランサムウェアによる被害」「テレワーク等を狙ったニューノーマルな働き方を狙った攻撃」の2点を取り上げました。時勢を反映した脅威がランクインしている一方で、昨年より引き続きランクインしていたものがも多く、その考え方の根底や対策には不変のものがあるのではないでしょうか。時代に対応しつつ、情報セキュリティの基本をしっかり押さえて、ルール・人・技術のバランスを保った対策を目指しましょう。

情報セキュリティ対策におけるバランスの考え方
図2 情報セキュリティ対策におけるバランスの考え方 ([7]p.7 図2より引用)

参考文献

[1]情報セキュリティ10大脅威 2021:IPA 独立行政法人 情報処理推進機構
https://www.ipa.go.jp/security/vuln/10threats2021.html
[2]ランサムウェア対策特設ページ:IPA 独立行政法人 情報処理推進機構
https://www.ipa.go.jp/security/anshin/ransom_tokusetsu.html
[3]ソフォス社「ランサムウェアの現状2020年版」
https://www.sophos.com/ja-jp/medialibrary/Gated-Assets/white-papers/sophos-the-state-of-ransomware-2020-wp.pdf
[4]Cyber attack | Scottish Environment Protection Agency (SEPA)
https://www.sepa.org.uk/about-us/cyber-attack/
[5]「ニューノーマルにおけるテレワークとITサプライチェーンのセキュリティ実態調査」~ニューノーマルにおけるテレワークとITサプライチェーンのセキュリティ実態調査 組織編 中間報告~:IPA 独立行政法人 情報処理推進機構
https://www.ipa.go.jp/files/000088346.pdf
[6]テレワークに伴う個人情報漏えい事案に関する注意事項 |個人情報保護委員会
https://www.ppc.go.jp/news/careful_information/telework/
[7]総務省「テレワークセキュリティガイドライン(第4版)」
https://www.soumu.go.jp/main_content/000545372.pdf
[8]テレワークを行う際のセキュリティ上の注意事項:IPA 独立行政法人 情報処理推進機構
https://www.ipa.go.jp/security/announce/telework.html