情報セキュリティ10大脅威2022個人編の考察
情報セキュリティ10大脅威2022個人編が出た
https://www.ipa.go.jp/files/000096258.pdf
情報セキュリティ10大脅威2022
2021年において社会的に影響が大きかったセキュリティ上の脅威について「10大脅威選考会」の投票結果に基づき順位付けがされています。
個人向けと組織向けの脅威は以下のようになっていました。
個人向けの脅威
- フィッシングによる個人情報等の詐欺
- ネット上の誹謗・中小・デマ
- メールやSMS等を使った脅迫・詐欺の手口による金銭要求
- クレジットカード情報の不正利用
- スマホ決済の不正利用
- 偽警告によるインターネット詐欺
- 不正アプリによるスマートフォン利用者への被害
- インターネット上のサービスからの個人情報窃取
- インターネットバンキングの不正利用
- インターネット上のサービスへの不正ログイン
組織向け脅威
- ランサムウェアによる被害
- 標的型攻撃による機密情報の窃取
- サプライチェーンの弱点を悪用した攻撃
- テレワーク等のニューノーマルな働き方を狙った攻撃
- 内部不正による情報漏洩
- 脆弱性対策情報の公開に伴う悪用増加
- 修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃)
- ビジネスメール詐欺による金銭被害
- 予期せぬIT基盤の障害に伴う業務停止
- 不注意による情報漏洩等の被害
SNS上で話題になった(少なくとも自分が目にした)脅威
「2021年 脅威の名称」で検索すると話題になったニュースが見つかります。
ワクチン接種の予約システム脆弱性とゼロデイ攻撃
ワクチン接種の予約システムが架空の予約番号で予約できる脆弱性が判明し、対策がされる前にSNSやマスコミでそのことが拡散されてしまった。
その結果、興味本位で予約する人も現れ、本物と偽物の予約の区別がつかなくなった。といったところでしょうか?
ゼロデイ攻撃をするのはもちろんNGですが、ゼロデイ攻撃につながるような情報発信も危険だと思ったことを覚えています。
部品工場がランサムウェアの攻撃を受け、トヨタが国内全工場停止
これは2022年3月1日の出来事ですが、組織向けの脅威1位のランサムウェアの内容だったため取り上げます。
「日本のトップ企業のトヨタの工場停止に成功した。それなら日本の他の企業にランサムウェアの攻撃しても有効だろう」みたいな考えになっている気がするので、今後もランサムウェアの被害が増えていきそう。
ランサムウェアとは
- Ransom(身代金)とSoftware(ソフトウェア)を組み合わせて作られた造語
- ランサムウェアはマルウェアの一種(悪意のあるソフトウェア)
- 端末を利用できないように暗号化し、身代金を要求する(身代金を払っても復号してくれない気がする)
とはいえ、ランサムウェアで攻撃すると企業に反撃される時代になったようです。(日本にも、このような企業があると心強いのですが)
情報セキュリティ対策の基本
ソフトウェアの脆弱性
ソフトウェアの更新:脆弱性を解消し攻撃によるリスクを低減する
ウイルス感染
セキュリティソフトの利用:攻撃をブロックする
パスワード窃取
パスワードの管理の・認証の強化:パスワード窃取によるリスクを低減する
設定不備
設定の見直し:誤った設定を攻撃に利用されないようにする
誘導(罠にはめる)
脅威・手口を知る:手口から重要視するべき対策を理解する