IPAが情報セキュリティ10大脅威 2025を公表したのでその所感(組織編)
組織編
一位はやはり想像通りといった感じで、ランサムウェアによる被害でしたね。
10年連続10回目のランクインということで、今後もこのトレンドはかわらないでしょう。
ランサムウェは、RaaSとも言われるような役割分担型の体制で行われています。もはや攻撃者にとってはそれが仕事といっても過言ではないほど、実態はビジネスライクに行われています。(金額交渉や、必ず復号することを約束することを売りにしていたり)
サプライチェーンや委託先を狙った攻撃も、依然として重大な脅威として挙げられます。委託の委託、そのまた委託など下流になればなるほど、委託元の目が届きにくくなる上セキュリティ意識が薄れてしまう傾向があるように感じます。委託先の選定や委託先へのセキュリティ遵守事項のチェックも必ず行う必要があります。委託先へのPCの貸与やそのPCの監視システムの導入することや、そもそも顧客情報や重要情報へアクセスできないようにしたり、必要最小限のアクセス権を与えること、などの対策も必要です。
地政学的リスクに起因するサイバー攻撃が初選出となっております。国際政治の問題や世界紛争、戦争などの延長でサイバー攻撃が行われる脅威も増しているようです。
また分散型サービス妨害攻撃(DDoS攻撃)は5年ぶり6回目の選出となっております。最近でも年末年始にDDoS攻撃を受けたという企業の報告をニュースで見ましたが、件数自体も増えているように感じます。この攻撃は、比較的安易に行えるという特徴があるのと、こうした悪意のある攻撃によって検挙された人の年齢層は若くなっているという傾向があるようなのですが、面白半分や興味本位で試してみて、というようなことも考えられるかもしれません。
ランクインした脅威の中の多くが「人」への対策や教育で防げたり軽減できるものが実は多いです。
内部不正、ビジネスメール詐欺、不注意などは典型的にそうですね。内部不正に関しては、「動機」「機会」「正当化」の、3つの要素が揃うことで発生するとされています。なので、これらを生まないようにすること、最低でも、3つを揃えてしまわないようにすることが大切です。この中の、「機会」は、その不正ができてしまう機会が与えられている、ということです。これを潰すには、「やったらばれる」という状況を作り周知させることが大切です。例えば、顧客情報を参照したらログが残る、一度に**件以上出力したらアラートが発出される、外部記憶媒体に保存したらアラートが発出される、などです。これらを周知することで、「やったらばれる」状況になり、不正を牽制する効果があります。これは、例としてあげてみました。不正のトライアングルと呼ばれる理論です。詳細は割愛しますが興味のある方はお調べください。
それ以外の、ランサムウェアや標的型攻撃も、契機となるのは、メールであることが多く、不審なメールや心当たりのないメールの、添付ファイルは開かない、URLは踏まないなどといったことが徹底されていれば、発生確率は軽減します。ただ、昨今の攻撃はより高度化しており、長い時間かけて、信頼関係を築きあげて攻撃を仕掛けてくるので、小手先の対策というわけにはいかないのも事実です。2024年に起きた、某暗号資産の取引所で膨大な資金が流出した事件も、ヘッドハンティングをしようと近づいてきた人物を信頼して、悪意のあるURLへ誘導されたことが原因のようでした。個人的なやり取りでことを進めようとせず、相手の会社を通してやり取りしようとしてたら怪しさに気づけた可能性はあります。
システムの脆弱性をついた攻撃は、特に一般の利用者向けにインターネットに公開しているシステムの場合には注意が必要です。このようなシステムは、常に脅威にさらされているということを念頭に置いて、脆弱性を対処をした上で、公開することが大切です。システムを開発するときの要件として定めることや、脆弱性診断サービスを利用することが効果的です。また、漏洩されたら困るような情報は極力保持しないということも大切です。また、SaaSをうまく活用することも有効です。(その利用するSaaS自体が信頼できるものかの検討は必要です)
Discussion