情報セキュリティ10大脅威 2022

2021年に発生した情報セキュリティ事案の影響度を示した「情報セキュリティ10大脅威 2022（※1）」が、IPAからリリースされました。

個人部門での1位は「フィッシングによる個人情報等の詐取」、組織部門での1位は「ランサムウェアによる被害」でした。

個人部門の脅威の内容は順位に変動はあるものの、昨年、一昨年と全て同じ内容でした。

一方、組織部門では「修正プログラムの公開前を狙う攻撃（ゼロデイ攻撃）」が初登場で7位にランクインしています。これは、弊社セキュリティブログ（※2）でも取り上げた「Apache Log4j のゼロデイ攻撃」の影響が反映された結果と考えられます。

今回は、個人部門、組織部門 1位の脅威と対策について考えてみます。

フィッシングによる個人情報等の詐取（個人部門1位）

フィッシング対策協議会の報告によると2021年12月のフィッシング報告件数（※3）は、前月より 14,698 件増加し、63,159 件。なかでも、SMSを利用したフィッシングサイトへの誘導（スミッシング）は11月から比較すると約3倍に増加しています。10大脅威で取り上げられている通り、被害は拡大を続けています。

対策としては、「安易にURLをクリックしない」「サービスを利用する際には自身のブックマークからアクセスする」など日頃から注意が必要です。また、今後、通信キャリアから提供される「SMS対策機能（※4）」が被害を防止または軽減すると考えられます。

ランサムウェアによる被害（組織部門1位）

ランサムウェアはパソコンに特定の制限をかけて、その制限解除と引き換えに金銭を要求する不正プログラムです。

IPAのランサムウェア対策特設ページ（※5）には「ランサムウェアに感染しないための対策」が記載されています。

• OSおよびソフトウェアを常に最新の状態に保つ
• セキュリティソフトを導入し、定義ファイルを常に最新の状態に保つ
• メールやSNSのファイルやURLに注意する

なお、ランサムウェアに感染しないための対策を実施していても、100%被害を防げるとは限らないため、バックアップを取得しておく必要があります。

また、JPCERT/CCがランサムウェアによる被害発生時の初動対応等をFAQ形式（※6）で公開しています。

エンドポイントの管理

「ランサムウェアに感染しないための対策」に話を戻しますが、継続的に「パッチ適用状況」「セキュリティソフトの定義ファイルのバージョン」を管理するには、システム導入や人件費が必要になると考えられます。

弊社が提供するセキュリティ製品（EISS）を導入することで「Windows更新プログラムの適用状況」「Microsoft Defenderの定義ファイル等のバージョン」を一括管理することが可能です。エンドポイントの管理にお困りの方はEISSの導入を、ぜひご検討ください。

サービス紹介ページ：EISS（アイズ）

参照サイト：
※1　情報セキュリティ10大脅威 2022：IPA 独立行政法人 情報処理推進機構
※2　【3分解説】危険すぎるLog4jの脆弱性(Log4Shell)
※3　フィッシング対策協議会　Council of Anti-Phishing Japan | 報告書類 | 月次報告書 | 2021/12 フィッシング報告状況
※4　SMS対策機能
　報道発表資料 : フィッシング詐欺を未然に防ぐ「危険SMS拒否設定」の提供を開始 | お知らせ | NTTドコモ
　迷惑SMS対策機能を提供開始 | プレスリリース | ニュース | 企業・IR | ソフトバンク
※5　ランサムウェアの脅威と対策～ランサムウェアによる被害を低減するために　ランサムウェア対策特設ページ：IPA 独立行政法人 情報処理推進機構
※6　侵入型ランサムウェア攻撃を受けたら読むFAQ：JPCERT/CC