情報セキュリティ10大脅威 2022とは？

2022年も半分が終わり、社会情勢も様々な変化がありました。

セキュリティの運用が変化していく中で新たに脆弱性が発見されたり、攻撃を仕掛けられるなどのニュースが飛び交っています。

今回は、IPAが2006年から毎年発行している「情報セキュリティ10大脅威」の2022年度版から、前回触れていない脅威を一部取り上げたいと思います。

関連ブログ
　情報セキュリティ10大脅威 2022、1位は？

サプライチェーンの弱点を悪用した攻撃（組織部門3位）

サプライチェーンとは、原材料や部品の調達、製造、在庫管理、物流、販売、業務委託先などの一連の流れのことです。
この流れにおいてセキュリティ対策が甘い組織が攻撃の足掛かりとして狙われてしまっています。

サプライチェーン攻撃の手口として以下の例があります。

• 標的組織の取引先や委託先を攻撃し、それらが保有する標的組織の機密情報を詐取する。
• ソフトウェア開発元を攻撃し、ソフトウェアにウイルスを仕込み利用者に感染させる。

対策や予防として、取引先や委託先の情報セキュリティ対応の確認、監査を行うことや、公的機関が公開している資料を活用することが挙げられます。
　経済産業省:サイバーセキュリティ経営ガイドラインと支援ツール　

また、2021年の事例として、OSSの需要の増加と共にOSSを狙った攻撃が1万2,000件を超えており、前年比の約650%増加しています。

テレワークなどのニューノーマルな働き方を狙った攻撃（組織部門4位）

2020年頃から続く感染症拡大により、テレワークが普及しています。

しかし、急なテレワークへの移行による管理体制の不備を狙った攻撃が増加しているようです。

一昨年から昨年の事例としてWHOのパンデミック宣言後、RDPへの不正ログインを試みる総当たり攻撃が急増しており、宣言前は9,310 万件でしたが、宣言後は約3倍にもなる2億7,740万件の攻撃が行われていたという報告もあります。

その他にも昨年、日経新聞でも取り上げられた事例として、ランサムウェアの被害に遭ったケースが報告されています。
　日本経済新聞：VPN認証情報また流出　日本は1000社、中小企業中心

悪用された脆弱性や対策に関する情報は2019年に公開済みでしたが、パッチの適用がされておらず脆弱性を悪用されてしまったというものでした。

対策や予防として、最新のパッチを適用することや、UTMの導入による多層防御があげられます。

また、その他にも複数の防御策を施すことで、サイバー攻撃に対する備えが重要です。

弊社では領域別、目的別に様々なサービス提供を行っております。
ぜひご検討ください。
　セキュアイノベーションが送るセキュリティ対策の最適解

おわりに

今回の記事では取り上げていませんが、組織部門で1位となっている「ランサムウェアによる被害」はここ2年でかなり数を増やしている印象です。

また、ランサムウェアの感染経路として「Emotet」がありますが、2021年から現在に至るまで、再び脅威をふるっていますが、原因の一つとしてメール文面の巧妙化があげられます。

このようにあらゆる手段を使い攻撃を仕掛けてきます。私たちは常にアンテナを張り、万が一の際に対応できるように技術を磨く必要があります。

引用

情報セキュリティ10大脅威 2022：IPA 独立行政法人 情報処理推進機構
サイバーセキュリティ経営ガイドラインと支援ツール（METI/経済産業省）
Sonatype's 2021 State of the Software Supply Chain
日本経済新聞：VPN認証情報また流出　日本は1000社、中小企業中心