みなさんは、2021年に最も多くサイバー攻撃を受けた国をご存じでしょうか。
IBMのサイバーセキュリティ部門の報告書『X-Force脅威インテリジェンス・インデックス2022』によると、その答えは「日本」なのだそうです。
東京2020オリンピック・パラリンピックが件数の増加に影響しているものの、日本が世界有数の‟標的”であることは間違いありません。
今、サイバー攻撃に狙われやすい業界はどこ? 警戒すべき情報セキュリティ攻撃は?
──こうした最新情報を押さえ、自社の情報セキュリティ強化に生かしましょう。
2021年、最もサイバー攻撃の対象とされた産業は、製造業でした。
『X-Force脅威インテリジェンス・インデックス2022』によると、これは同調査が開始されて以来初めてのこと。2020年までは2位の「金融・保険業」がトップの座を保ち続けていたのです。
その他も含めた「2021年サイバー攻撃対象となった産業ランキング」は以下の通り。
|
順位 |
業界 |
攻撃頻度 |
|
1 |
製造業 |
23.2% |
|
2 |
金融・保険業 |
22.4% |
|
3 |
専門・ビジネスサービス |
12.7% |
|
4 |
エネルギー |
8.2% |
|
5 |
小売・卸売業 |
7.3% |
|
6 |
医療/ヘルスケア |
5.1% |
|
7 |
運輸 |
4.0% |
|
8 |
官公庁/自治体 |
2.8% |
|
8 |
教育 |
2.8% |
|
9 |
メディア |
2.5% |
引用元:X-Force脅威インテリジェンス・インデックス2022┃IBM-Security
また、製造業に対する攻撃手法の内訳は以下の通り。
|
攻撃手法 |
割合 |
|
脆弱性の悪用 |
47% |
|
フィッシング |
40% |
|
リムーバブル・メディア |
7% |
|
認証情報の盗用 |
3% |
|
ブルート・フォース |
3% |
引用元:X-Force脅威インテリジェンス・インデックス2022┃IBM-Security
「脆弱性の悪用」と深く結びついているのが、昨今のIoTやIT×OTソリューションへの注目の高まりです。関連する脆弱性の増加率は、IoTが16%、産業用制御システム(ICS)が50%とのこと。これは全体の0.4%を大きく上回る数値です。
つづくフィッシングは全産業の統計においてはトップの攻撃手法であり、不審なメールは開かない、IDやパスワードの使いまわしを避けるなど基本的なセキュリティルールの徹底・ガバナンスの強化が被害の防止に関わるでしょう。
リムーバブル・メディアと聞いて思い浮かぶのは、2022年に世間の話題をさらった兵庫県尼崎市の市民の個人情報を含むUSB機器の紛失。同事件の経緯とそこから学べる教訓についてはデータのじかんの記事で詳しく解説しています。
人為的ミスを原因とするソーシャルエンジニアリングや、マルウェアへの感染など認証情報の盗用の原因は多岐にわたり、多要素認証やワンタイムパスワードを用いたパスワードレス認証などが対策として挙げられます。
ブルート・フォースは日本語では「総当たり攻撃」。マシンパワーにあかせて全ての組み合わせを試し、力技でパスワード認証を突破する手法です。こちらも尼崎の事件において「パスワードを構成する要素と桁数」がよりにもよって記者会見の場で明かされたことにより、脅威が高まったと指摘されました。
国内の製造業に対するサイバー攻撃として、2022年3月1日、取引先部品メーカーへのサイバー攻撃によりトヨタ自動車株式会社の国内全工場が終日停止した事件が思い出されます。調達、生産から流通まで多重かつグローバルなサプライチェーンを持つ製造業は、取引先企業を利用したサプライチェーン攻撃のリスクにもさらされやすいのです。
情報セキュリティにおける脅威について、より日本国内に特化した視点から見てみましょう。
IPA(情報処理推進機構)は毎年、情報セキュリティの専門家や企業の実務担当者など約150名で構成されたチームにより、昨年の情報セキュリティに関する事件やトレンドを踏まえた「情報セキュリティ10大脅威」を選出しています。
その2022年版(組織編)のランキングが以下です。
|
順位 |
脅威 |
|
1 |
ランサムウェアによる被害 |
|
2 |
標的型攻撃による機密情報の窃取 |
|
3 |
サプライチェーンの弱点を悪用した攻撃 |
|
4 |
テレワーク等のニューノーマルな働き方を狙った攻撃 |
|
5 |
内部不正による情報漏えい |
|
6 |
脆弱性対策情報の公開に伴う悪用増加 |
|
7 |
修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃) |
|
8 |
ビジネスメール詐欺による金銭被害 |
|
9 |
予期せぬIT基盤の障害に伴う業務停止 |
|
10 |
不注意による情報漏えい等の被害 |
引用元:情報セキュリティ10大脅威 2022┃IPA
「ランサムウェア」とは、マルウェアなどによりデータの略奪あるいはロックを行い、元の状態に戻したり、漏えいを指し止めするための手段としてランサム(身代金)を要求するタイプのサイバー攻撃のこと。警視庁によると、令和3年下半期の被害件数は令和2年下半期の約4倍(21件→85件)となっており、その悪い意味での勢いの強さが偲ばれます。
警視庁のサイトでは、簡単にランサムウェア攻撃をはじめられるランサムウェア版のSaaS「RaaS」の存在が紹介されています。サイバー犯罪もパッケージ化され、技術がなくても誰でもはじめられるという状況が被害件数の増加の一因となっているでしょう。
先のトヨタ関連企業のサイバー攻撃もランサムウェアによるものでした。これは、3位に位置する「サプライチェーンの弱点を悪用した攻撃」との組み合わせですね。
米Veeam Software社の発表によると、過去12カ月間にランサムウェア被害を一度以上受けたことがあるITリーダーの76%が身代金の支払いに応じたものの、その約1/3(24%)は結局データが復旧できなかったとのこと。被害にあった場合は犯罪者に応じることなく、毅然と対応できるよう、被害の防止とともにバックアップなど万一に備えることも求められます。
情報セキュリティ大手トレンドマイクロが2022年4月6日に公開した「2021年 年間セキュリティラウンドアップ」においても、サプライチェーン攻撃、ランサムウェア攻撃は2021年を振り返っての重要サイバー脅威トレンドとして取り上げられています。
ランサムウェア攻撃については従来の無差別型ではなく、人手により企業・組織のネットワークに侵入し攻撃を進める「Human-Operated」型のランサムウェア攻撃が同社の対処した範囲ではほとんどどだったとし、攻撃手法の高度化が指摘されています。
「情報セキュリティ10大脅威」に2022年より新たに加わった「修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃)」も含め、サイバー攻撃の手法が従来より完全に防ぐのが難しいものになっている証拠といえるでしょう。
今もサイバー攻撃が発見されていないだけかもしれないと考え、できる限り早く検知できる体制を整えるべきです。
それにもかかわらず、イギリスの情報セキュリティ企業ソフォスの発表(2019)によると、米国、カナダ、インドなど12カ国のうち、最も大規模な被害が生じたサイバー攻撃を発見するまでの時間が最長だったのは日本だったとのこと。
サイバー攻撃は防ぐだけでなく、すでに侵入されているかもしれないと危機感を持ち、被害が広がる前に適切に対処する体制を構築しましょう。
日本が世界有数のサイバー攻撃のリスクにさらされているという話題を皮切りに、2022年のサイバーセキュリティや脅威のトレンドについて概観してきました。東京オリンピック・パラリンピック期間に受けた約4.5億回のサイバー攻撃は、官民350組織の連携により重大な被害なく対処されたとのこと。
攻撃手段が多様化、高度化する現代ではこのように、企業やサプライチェーン、国を越えての情報共有と協力体制の確保が求められるでしょう!
【参考資料】 ・X-Force脅威インテリジェンス・インデックス2022┃IBM-Security ・小山 奨太『日本が2021年最もサイバー攻撃を受けた国に 製造業の攻撃増加も──IBM Security調べ』┃EnterprizeZine ・東京五輪を狙った4.5億回のサイバー攻撃、防ぎきった官民の連携力とは┃日経XTECH ・情報セキュリティ10大脅威 2022┃IPA ・マルウェア「ランサムウェア」の脅威と対策(脅威編)┃警視庁 ・Veeam、サイバーセキュリティに関する動向調査レポートを公開 ランサムウェア攻撃を受けた企業の76%が身代金を支払い、 約3分の1の企業がデータの復元に失敗┃Veeam Software ・7つの気になる真実 - エンドポイントセキュリティ┃SOPHOS ・2021年 年間セキュリティラウンドアップ┃トレンドマイクロ
(宮田文机)
メルマガ登録をしていただくと、記事やイベントなどの最新情報をお届けいたします。
30秒で理解!インフォグラフィックや動画で解説!フォローして『1日1記事』インプットしよう!
