コラム columns

2019.10.18 レポート

JNXセミナー2019情報 IPA講演 情報セキュリティ10大脅威2019 概要

JNXセミナー2019のIPAプレゼンテーションの前半に、「情報セキュリテ10大脅威2019」について、独立行政法人情報処理推進機構(IPA)セキュリティセンター セキュリティ対策推進部 土屋正氏に講演いただいた。

IPAの「情報セキュリティ10大脅威」は、2006年から毎年発行しており、前年のセキュリティ事故やサイバー攻撃状況などからIPAが脅威候補を選出。セキュリティ専門家や実務担当者等から成る「10大脅威選考会」にて投票を行い、TOP10入りした脅威を「10大脅威」 として解説を加えて発表。2016年から「個人」と「組織」の「10大脅威」を公表している。

今年度の10大脅威はこちらから。

2019ipa1-1

今回は、自動車業界のIT担当者向けに、4つの観点から組織10大脅威のうち、7つの脅威について解説頂いている。

●金銭を狙う脅威

【2位】 ビジネスメール詐欺による被害
・取引先や経営者とやりとりするビジネスメールを装う
・企業の金銭を取り扱う担当者を騙す
・攻撃者の用意した口座へ送金させる

◇ビジネスメール詐欺(BEC)の被害状況
2013年10月から2018年5月までに、被害件数は78,617件、被害総額は約125億米ドル($12,536,948,299)に上っている。
被害額÷被害組織数の単純計算で、1案件あたりの被害額は 約16万米ドル(日本円で 約1,800万円)

●情報を狙う脅威

【1位】 標的型攻撃による被害
・メール等によりPCをウイルスに感染させ組織内部へ潜入
・長期にわたって侵害範囲を徐々に広げる
・組織の機密情報を窃取

◇攻撃手口
ウイルスに感染させて機密情報を窃取
・メールを利用した手口(標的型攻撃メール)
・ウェブサイトを利用した手口(水飲み場型攻撃)
不正アクセスによって機密情報を窃取
・不正アクセスによる手口

【7位】 インターネットサービスからの個人情報の窃取
・インターネットサービス内に保管された個人情報等を窃取される
・窃取された情報を不正利用される

◇攻撃手口
不正アクセスでインターネットサービスから情報窃取
・サーバーのソフトウェアの脆弱性を悪用
 -サーバーで稼働するOS、ミドルウェア、CMS等の複数のソフトウェアの脆弱性を悪用
・Webアプリケーションの脆弱性を悪用
 -インターネットサービスで稼働しているWebアプリケーションの脆弱性を悪用(SQLインジェクション攻撃など)

【9位】 脆弱性対策情報の公開に伴う悪用増加
・脆弱性対策のために公開された情報を攻撃に悪用
・対策未実施の利用者に対して攻撃を行う
・情報漏えいや改ざん、ウイルス感染等の被害に

◇攻撃手口
脆弱性対策のために公開された情報を攻撃に悪用
・公開された脆弱性対策情報を悪用
・対策未実施の利用者が被害に遭う

◇脆弱性を悪用した攻撃
Apache Struts2 の脆弱性を悪用した攻撃
Drupalの脆弱性情報公開に伴う攻撃の増加

●組織内に潜む脅威

【5位】 内部不正による情報漏えい
・組織の従業員や元従業員等による機密情報の漏えい
・組織関係者による不正行為により、組織の社会的信用の失墜、損害賠償による経済的損失

◇攻撃手口
内部の従業員は重要情報にアクセスしやすい
悪意をもって情報を外部に提供してしまう

◇内部不正の要因 (不正のトライアングル)
○動機・プレッシャー
・職場環境や処遇の不満
  処遇面(業務多忙、給与や賞与)の不満、復讐や個人的な利益の享受
○機会
・アクセス権限の不適切な付与(過剰なアクセス権)
・システム操作記録と監視の未実施(不正に気づきにくく、不正の発覚が遅れる)
○正当化
・自分勝手な理由づけ

◇効果のある対策とは
職務上の成果物を公開した場合の罰則規定を強化する
管理者を増員する等、社内の監視体制を強化する

【10位】 不注意による情報漏えい
従業員の不注意等によって、意図せず機密情報を漏えい
情報漏えいすることによる社会的信用の失墜、漏えいした情報の悪用による二次被害

◇情報漏えいの原因
紛失・置忘れ(26.2%)、誤操作(24.6%)⇒全体の5割

◇不注意を引き起こす要因
・個人のリテラシーやモラル不足からの不注意
 取扱情報の重要性に対する認識不足からの不注意
 情報を取り扱う際の本人の状況
・組織の管理体制の不備
 組織規程および確認プロセスの不備
  -重要情報の定義、取扱規程、持ち出し許可手順等の不備

●サプライチェーンに潜む脅威

【4位】 サプライチェーンの弱点を悪用した攻撃の高まり
・原材料や部品の調達から販売までの商流においてセキュリティ対策が不十分な組織が狙われる
・委託先組織から情報が漏えい

◇何故、サプライチェーンに弱点ができるのか
自組織のみがセキュリティ対策を講じても穴ができる

◇サプライチェーンのセキュリティ対策不足
サプライチェーンを適切に選定、管理していない
再委託先や再々委託先の管理は困難
 委託元からセキュリティ対策を管理することは難しい


2019ipa1-2独立行政法人情報処理推進機構(IPA) セキュリティセンター 研究員 土屋 正 氏


≪まとめ≫

「10大脅威」の順位は毎年変動するが、基本的な対策の重要性は長年変わらないため、
下記の情報セキュリティ対策の基本は忠実に実施して欲しいとの提言をいただいた。

◆情報セキュリティ対策の基本

ソフトウェアの脆弱性への攻撃は、ソフトウェアを更新し、脆弱性を解消して攻撃によるリスクを低減すること
ウイルス感染での攻撃は、セキュリティソフトを利用し、攻撃をブロックすること
パスワード窃取の攻撃は、パスワードの管理・認証を強化し、パスワード窃取によるリスクを低減すること
設定不備への攻撃は、設定を見直し、誤った設定を攻撃に利用されないようにすること
誘導(罠にはめる)攻撃は、脅威や攻撃の手口を知り、その手口に対し、有効となる対策を理解すること