2024年IPAの10大脅威を読み解く~「ネットワーク」と「人」の問題に着目~
2024年今年もIPAから「情報セキュリティ10大脅威 2024 組織編・個人編」が発表されました。法人編では、順位の変動こそあれ、脅威トップ10は2023年とすべて同じ顔触れでした。これまでと変わらないように見える2024年の10大脅威について、組織はどこに着目し、対策に役立てるべきか、トレンドマイクロのセキュリティ専門家が読み解きます。
IPA10大脅威とは
最新の10大脅威の解説に入る前に、改めてその主旨などを確認することで、組織のセキュリティにどのように活用できる情報であるかを理解したいと思います。すでにご存知の方は、次の段落に進んでいただければと思います。
毎年の恒例となった「情報セキュリティ10大脅威 2024(以下10大脅威)」が、2024年1月24日、IPA(独立行政法人情報処理推進機構)から発表されました※1。10大脅威は、前年の社会に大きな影響を与えた情報セキュリティの事案から、IPAが脅威候補を選出し、セキュリティ研究者や企業担当者約200名からなる「10大脅威選考会」による審査投票を経て、決定します。
2005年から始まったこの取り組みは、当初、情報セキュリティにおける脅威を全般的に注意喚起するものでしたが、2016年から、個人編、組織編として、それぞれに影響する脅威を公表するかたちになっています※2。選考会には、セキュリティ研究者やセキュリティベンダーなどサービス企業の専門家に加え、実際に企業でセキュリティに従事する担当者も参加することで、国内組織が現時点で注目すべき、そして対処が必要な脅威情報が網羅的に整理されています。このため、組織における対策立案のための情報として広く参照されています。
※1 「情報セキュリティ10大脅威 2024」を決定(2024/1/24、IPA)
https://www.ipa.go.jp/pressrelease/2023/press20240124.html
※2 情報セキュリティ10大脅威 2016(最終更新日2016/11/29、IPA)
https://www.ipa.go.jp/security/10threats/2016/2016.html
https://www.ipa.go.jp/security/10threats/ps6vr7000000bhr6-att/000051691.pdf
ここで、先に発表された2024年の10大脅威・組織編を見てみます(図1)。順位の変動こそあれ、脅威トップ10は2023年とすべて同じ顔触れです。では、組織はどこに着目し、対策に役立てるべきなのでしょうか。そのポイントを見ていきます。
図1 「情報セキュリティ10大脅威 組織編」2024年2023年の比較、
2024年の脅威として発表された内容はいずれも昨年と同じ(IPAの公表情報をもとにトレンドマイクロが整理)
特に「内部不正による情報漏えい等の被害」と、「不注意による情報漏えい等の被害」の2つは、故意と過失の違いこそあれ、いずれも組織の従業員や、関連会社また委託先などのサプライチェーンにおける「人」を起点とした脅威と言えます。内部不正は、古くからの問題ですが、2023年には、現職や退職後の従業員、また業務委託先など取引先関係者による不正事件が複数顕在化しました。実際、2023年に報道・公表された主な内部犯行による情報漏えい等の被害事例は32件で、2022年の9件から増加が目立っています※3。
人材問題によるアウトソースの活用、業務におけるITの依存が進む中、新しい業務環境にあわせた、組織におけるガバナンス強化、セキュリティ対策点検の重要性が問われています。また不注意による情報漏えい等被害に関しては、昨今クラウドなどITツールの利用が組織で広がる中で、運用、設定ミスによる漏えいも顕在化しています。ITツールについては、委託先などサプライチェーンと共通で利用するケースも多く、不正と不注意双方の観点からの対策が求められます。
このような組織内部の「人」を起点とした脅威に対し、黄色に色分けした、「ランサムウェア」や「サプライチェーン」、「標的型攻撃」、「ゼロデイ攻撃」、「脆弱性の悪用」、そして「ニューノーマルな働き方を狙った攻撃」は、いずれも外部の攻撃者を起点として組織の「ネットワーク」が侵害される脅威です。ランサムウェアや標的型攻撃では、攻撃メールやネットワーク機器の弱点を経由して組織のネットワークに侵入します。侵入後、攻撃者は正規ツールを悪用することで(Living Off The Landの攻撃)、セキュリティ製品による検知を逃れようとします※4。サプライチェーンやニューノーマルな働き方を狙った攻撃では、組織や従業員に対する信頼関係を逆手に取る、いわゆる「サプライチェーンの弱点」が狙われます。そして、こうしたネットワークへの攻撃で悪用されるのが、ソフトウェアなどにおける既知や未知の脆弱性です。
※3 公表情報に基づくトレンドマイクロの集計による
※4 「見えない」ランサムウェア攻撃への対策とは
https://www.trendmicro.com/ja_jp/jp-security/23/g/securitytrend-20230727-02.html
3年で大きく変化した「ネットワーク」の脅威
この3年で、ネットワークを狙う脅威は大きく変化しています。組織のIT環境の拡大にあわせるように、サイバー攻撃側もその攻撃対象を拡大しています。図3は、日本国内における、アタックサーフェスの拡大の変遷を整理したものです。ネットワークにおける脅威が拡大していることが分かります。
それまで外部から組織内への侵入経路といえばメールでしたが、この「常識」を大きく変えたのがVPN製品などのネットワーク機器の脆弱性を悪用する攻撃です。海外では2019年から、複数のVPN製品において悪用可能な脆弱性とその脆弱性を狙った攻撃が発生しています※5。2020年以降は、特にコロナによるテレワークの浸透でVPN利用が広がったこともあり、ネットワーク機器を狙う攻撃が拡大するとともに、常套手段化していきました。米国土安全保障省傘下のCISAのレポートでは、2020年、2021年に悪用された脆弱性のトップ3はいずれもVPN機器だったことが報告されています※6。
日本では2021年10月に発生した徳島県の半田病院におけるランサムウェア被害の原因がVPN経由の侵入であると特定され、大きく注目されました。現在、ネットワーク機器への攻撃については、脆弱性の悪用と共に、認証突破の攻撃も拡大し、その被害は続いています。攻撃で狙われる脆弱性対策や管理者アカウントの窃取を防ぐ管理面での対策が求められます。
次に、サイバー攻撃のアタックサーフェスの拡大は、信頼する組織(サプライチェーン)とのネットワークに及びました。取引先や関連会社など、組織間のビジネス上のつながりを悪用する攻撃です。このような攻撃はサプライチェーン攻撃と呼ばれ、セキュリティの脆弱な組織を踏み台に、取引先や本社など信頼された組織間のネットワークを経由して被害が連鎖する攻撃と言えます。日本では、2022年3月の小島プレス工業、そして10月の大阪急性期・総合医療センターにおける2つのランサムウェア被害がその象徴的事例となりました。小島プレスは子会社、大阪急性期・総合医療センター納入事業者との間で利用するネットワーク機器からサイバー攻撃(ランサムウェア)に侵入され、大規模なサービス停止に追い込まれました。
同種の攻撃は2023年も続き、複数の国内組織が、国内国外の拠点や関連会社、取引先へのサイバー攻撃を発端にサイバー攻撃被害を受けたことを報告しています。このようなサプラチェーンの弱点を悪用する攻撃は、自組織だけのセキュリティを考えていても守り切れるものではありません。セキュリティの底上げをサプライチェーン全体で図ることが必要です。また、信頼する組織を経由して攻撃が侵入することを念頭に置いた対策として、すべての通信を信頼せずに検証するであるゼロトラストの考えに基づき、ネットワーク内での不審な挙動を早期に可視化できる監視の対策が必要となってきます。
さらに外部とのネットワークに関して、データセンター(クラウド)の脅威が相次いだのが2023年です。象徴的な事例が、7月に発生した名古屋港の港湾コンテナターミナルの管理システムでのランサムウェア攻撃被害です。管理システムをホストしていたデータセンター内のすべての仮想サーバと物理基盤が感染し、システムが停止し、中部圏の物流拠点が数日間に渡り操業停止に追い込まれました。ここで注目したいのは、データセンターにホストしたサービス基盤がサイバー攻撃を受けたことで、事業停止に追い込まれたという点です。
このようなデータセンター上のシステムの被害は、名古屋港の事例の1か月前、6月の時点で既に発生していました。人事労務向けSaaS製品のランサムウェア被害です。この事例では、製品をホストしていたデータセンターのサーバすべてが暗号化され、1か月に渡り利用者が製品を利用できないという事態に至っています。現在、組織のリソースがネットワーク内から社外のデータセンターやクラウドにも分散する中で、このようなデータセンター内のシステムが被害を受ける事例が続発したことは、大きな意味を持つと言えます。
ここ数年にわたる、VPN機器から、そしてサプライチェーンやデータセンター(クラウド)へのネットワーク脅威や被害の拡大は、セキュリティリスクが組織外に分散していることを象徴する事例と言えます。このような状況においては、ゼロトラストやネットワークの監視といった自組織ネットワーク上での具体的なセキュリティ対策と共に、自組織内のネットワークの中で攻撃対象、つまりアタックサーフェスとなるリソースはどこかを把握する取り組みが必要です。組織内外を問わず、自組織で利用するインフラ、リソースの全体像を捉えてセキュリティリスクマネジメントを行うアタックサーフェスリスクマネジメント(ASRM)の取り組みにより、効率的にセキュリティを強化できる体制へのアップデートが求められます。
※5 複数の SSL VPN 製品の脆弱性に関する注意喚起(公開日2019/9/2、JPCERT/CC)
https://www.jpcert.or.jp/at/2019/at190033.html
※6 悪用された脆弱性上位をCISAが公表、テレワーク関連が顕著(2021/11/15、トレンドマイクロ)
https://www.trendmicro.com/ja_jp/research/21/k/CISA-releases-top-exploited-vulnerabilities-remote-work-related.html
監修
岡本 勝之
トレンドマイクロ株式会社
セキュリティエバンジェリスト
製品のテクニカルサポート業務を経て、1999年よりトレンドラボ・ジャパンウイルスチーム、2007年日本国内専門の研究所として設立されたリージョナルトレンドラボへ移行。シニアアンチスレットアナリストとして特に不正プログラム等のネットワークの脅威全般の解析業務を担当。現在はセキュリティエバンジェリストとして、サイバーセキュリティ黎明期からこれまでのおよそ30年にわたるキャリアで培った深く幅広い脅威知識を基に、ブログやレポ―ト、講演を通じて、セキュリティ問題、セキュリティ技術の啓発にあたる。
講演実績:日本記者クラブ、一般財団法人日本サイバー犯罪対策センター(JC3)、クラウドセキュリティアライアンス(CSA)などにおける講演
Security GO新着記事
EDRを入れればセキュリティ対策は安心?セキュリティ神話がもたらす危険性
(2024年12月11日)
世界のサイバーリスク動向を”データ”で読み解く~世界サイバーリスクレポート2024年版より~
(2024年12月9日)
事例から考えるサービスサプライチェーンリスクによる影響とその対策
(2024年12月6日)