2022年に組織に最も影響のあった情報セキュリティの脅威は「ランサムウェアによる被害」

独立行政法人情報処理推進機構によると、2022年に最も社会的に影響が大きかった情報セキュリティにおける組織に関する事案は３年連続で「ランサムウェアによる被害」だったことが明らかとなった。「四重脅迫」という新たな手口も現れ、対策が求められる。

独立行政法人情報処理推進機構が脅威候補を選定し、情報セキュリティ分野の研究者、企業の実務担当者など約２００人のメンバーが投票を行って決定した「情報セキュリティ１０大脅威 2023」によると、組織の順位では、３年連続で「ランサムウェアによる被害」が１位となった。

この被害について情報処理推進機構は、「2022年も脆弱性を悪用した事例やリモートデスクトップ経由での不正アクセスによる事例が発生している。また、情報の暗号化のみならず窃取した情報を公開すると脅す"二重脅迫"に加え、DDoS攻撃を仕掛ける、被害者の顧客や利害関係者へ連絡するとさらに脅す"四重脅迫"が新たな手口として挙げられている」とする。

対策については、「ランサムウェアの感染経路は多岐に渡るため、ウイルス対策、不正アクセス対策、脆弱性対策などの基本的な対策を、確実かつ多層的に適用することが重要。また、バックアップの取得や復旧計画を策定するといった、攻撃を受けることを想定した事前の準備が重要」とアドバイスする。

【情報セキュリティ10大脅威2020・組織　トップ５】

１位　ランサムウェアによる被害
２位　サプライチェーンの弱点を悪用した攻撃
３位　標的型攻撃による機密情報の窃取
４位　内部不正による情報漏えい
５位　テレワーク等のニューノーマルな働き方を狙った攻撃

個人の順位では、「フィッシングによる個人情報等の詐取」が２年連続で１位となった。フィッシング詐欺は、実在の公的機関、有名企業を騙るメールやショートメッセージサービス(ＳＭＳ)を送信し、正規のウェブサイトを模倣したフィッシングサイトへ誘導することで認証情報や個人情報などを入力させ詐取する手口。

現状について情報処理推進機構では、「フィッシング対策協議会のフィッシング報告状況によると2022年の報告件数は約９７万件と、2021年の約５３万件から大幅に増加しており、一層の注意が必要」とした。

対策については、「詐取された認証情報による不正ログインを予防するために多要素認証を有効にする、被害を早期に発見するために利用サービスのログイン履歴やクレジットカード等の利用明細を日常的に確認する、といった取り組みが大切」と指摘する。

【情報セキュリティ１０大脅威2020・個人　トップ５】

１位　フィッシングによる個人情報の詐取
２位　ネット上の誹謗・中傷・デマ
３位　メールやＳＭＳ等を使った脅迫・詐欺の手口による金銭要求
４位　クレジットカード情報の不正利用
５位　スマホ決済の不正利用

今年の傾向として情報処理推進機構は、「今年は個人、組織ともに１０位の脅威が入れ替わるのみで、９位までの脅威の種類は昨年と同じだった。しかし、組織１０位に他の脅威を誘発しかねない"犯罪のビジネス化（アンダーグラウンドサービス）"がランクインしたように、各脅威に対して適切な対策を取ることが引き続き求められる」と注意を呼び掛けた。

配信元：日本人材ニュース