「情報セキュリティ10大脅威」でひも解く攻撃トレンド／前編

　デジタルシフトやデジタル・トランスフォーメーション（DX）を進めるうえでは、セキュリティリスクを伴います。セキュリティ対策はパソコンがビジネスにおいて使われるようになった時代から指摘されてきたことですが、サイバー攻撃が金銭や情報窃取を狙い深刻化したことで、その必要性は飛躍的に高まりました。

　ましてやIoT（モノのインターネット）やクラウドコンピューティング、AI（人工知能）といったテクノロジーによりDXが推進されれば攻撃される機会は増え、セキュリティリスクはこれまで以上に増大します。

　いまだセキュリティと聞くと、「関係ない」「大丈夫」と考える中小企業も少なくありません。しかし、中小企業が被害に遭うケースは確実に増えています。

　例えば、話題の尽きないランサムウェアです。セキュリティベンダーの大手トレンドマイクロによれば、「被害組織のうち従業員数200名までの組織が全体の56％を占めている。500名までの組織で見ると全体の75％を占める」とのこと（*1）。被害の多くは、中小企業なのです。
（*1）経営層向けセキュリティ情報サイト「Security GO」内の「アンダーグラウンド調査から解明したランサムウェア攻撃グループの実態」より引用

　セキュリティ対策はDX推進と並行して、あるいは何らかのデジタル技術をビジネスで使う以上は取り組むべき課題です。ムダなコストと考えることなく、投資的な視点でデジタルシフトやDX推進に組み込んで考えていくべきでしょう。

　では、セキュリティ対策を進めるには何から始めればよいのでしょうか。まずは、攻撃の全体像や攻撃のトレンドを理解することが欠かせません。そのために役立つのが、独立行政法人情報処理推進機構（IPA／*2）が公開している「情報セキュリティ10大脅威」です。
（*2）経済産業省のIT政策実施機関。さまざまな施策でデータとデジタルの時代を牽引し、安全で信頼できるIT社会の実現を目的とする。

　以下では、この情報セキュリティ10大脅威の最新版をもとにサイバー攻撃のトレンドについて、ひも解いて行きましょう。

10大脅威はセキュリティ対策の指針

　「情報セキュリティ10大脅威」とは、IPAが2006年から毎年公開しているサイバー攻撃に関する脅威ランキングです。

　前年の攻撃状況からIPAが選出した脅威候補に対して、セキュリティの専門家や企業のシステム担当者などから構成される「10大脅威選考会」が投票を行います。この結果を受けて、個人と組織のそれぞれでトップ10となった脅威を順位付けして10大脅威としてランニングが公開されます。

　同時に発行されるレポートではランクインした脅威の概要や被害事例、対策方法などが解説されており、セキュリティ対策を講じるうえでの指針となっています。

　その最新版が「情報セキュリティ10大脅威 2023」です。個人向け脅威と組織向け脅威のランキングは下表の通りとなっています。

出典：IPAの「情報セキュリティ10大脅威 2023 ～全部担当のせいとせず、組織的にセキュリティ対策の足固めを～」

　ランサムウェアやサプライチェーン攻撃、内部不正による情報漏えいといった新聞やニュースなどでも報道されることが多くなってきた脅威が上位に名を連ねています。

　いずれにしても、どの脅威もそれがどのような攻撃であるかを理解し最新の状況を知っておくことは重要です。

　個人向け脅威は資料に譲るとして、本稿では組織向け脅威に焦点をあてます。前編では、ここ数年で常に上位を占めるランキングの第１位から第３位について詳しく見ていくことにしましょう。

中小企業でも被害増の二大攻撃

　まず、ランサムウェアによる被害は企業や組織を最も悩ますサイバー攻撃といえます。周知の通り、ランサムウェアはパソコンやサーバー内のデータを勝手に暗号化してファイルを利用不可能とし、暗号化の解除と引き換えに金銭を要求するもの。前述したように中小企業の被害が増えています。

　ランサムウェア自体は流行りと沈静化を繰り返しながらかなり以前から存在しているサイバー攻撃ですが、絶えず進化しており最近の傾向としては「多重脅迫型（暴露型とも）」や「攻撃の容易化」を大きな特徴としていることは押さえておくべきポイントです。

　多重脅迫型とは、脅迫する仕掛けを何段階も用意することで金銭を支払わなければならない状況に追い込むこと。もともとは端末ロックや暗号化だけが脅しの手段でしたが、暗号化する前に機密情報や個人情報を窃取して「金銭を払わなければ情報を公開する」、あるいは「被害企業の取引先にセキュリティ侵害を知らせる」など二重や三重、時には四重脅迫型なども確認されています。

　加えて、10大脅威ランキングの第10位にも順位付けされていますが、サイバー攻撃は「犯罪のビジネス化」により一般社会での取引のように分業が進んでいます。

　このことはランサムウェアにおいても例外ではありません。よく知られているところではRansomware as a Service（RaaS）が挙げられます。この攻撃ツールをレンタルすれば特別な知識がなくともランサムウェア攻撃を仕掛けることが可能です。極論すれば、だれでも攻撃を実行できるというわけです。

　ただでさえ中小企業の被害が増えている状況下、中小企業を狙ったランサムウェア攻撃がさらに増えていく可能性は十二分にあり得るでしょう。

高度化かつ巧妙化するサイバー攻撃へ備えるには、具体的な手口を理解して知識武装することが組織としても従業員個人としても大切だ

　また、中小企業を脅かすトレンドとしてランキング上位の常連となりつつあるのがサプライチェーンの弱点を悪用した攻撃です。

　この攻撃は組織、あるいはサービスのつながりを悪用して次の攻撃の踏み台とする手口です。ソフトウェア製品を狙う「ソフトウェアサプライチェーン攻撃」、サービスやAPIを経由して狙う「サービスサプライチェーン攻撃」、子会社や取引先を狙う「ビジネスサプライチェーン攻撃」などの種類があり、一般的な中小企業が理解しておくべきはビジネスサプライチェーン攻撃といえます。

　今や、ビジネスは商品やサービスの企画・開発から資材調達、製造、物流や販売まで複数の企業や組織が関わった一連のサプライチェーン構造が一般的です。

　ビジネスサプライチェーン攻撃とは、この一連のプロセスにおいて狙った組織よりもセキュリティが脆弱な取引先や業務委託先、子会社などを標的にします。それらの組織が保有している標的組織の情報を窃取、あるいは侵入した組織を踏み台に親会社や発注元の大企業、上流工程といったセキュリティレベルが高くダイレクトには攻撃しにくいターゲット組織を狙う手法です。

　中小企業にとってセキュリティは自社だけの問題ではなく、何かしらのインシデント（セキュリティの脅威となる事象）が発生すれば影響はサプライチェーン全体に及ぶリスクもあるだけに、しっかりとした対策が必要といえるでしょう。

特定の組織を調べ上げて狙う「標的型攻撃」

　一方、標的型攻撃による機密情報の窃取は、スピアフィッシングやソーシャルエンジニアリング、フィッシング攻撃などとも呼ばれますが、組織向けの脅威としては「企業や官公庁、団体などの特定組織を狙った攻撃」のことです。狙った組織の機密情報の窃取や業務の妨害を目的としています。

　組織がターゲットとはいえ、攻撃手法では社員が狙われます。メールの添付ファイルや本文記載のリンク先に不正プログラムを仕込み、開封やアクセスにより感染させて侵入を試みます。メールの内容を巧みに偽装し、何度もメールをやり取りしながら油断させて攻撃を仕掛けるなど巧みな手口が使われます（やり取り型攻撃）。

　社会の変化や働き方の多様化など大きな社会的なイベントも悪用しながら攻撃を仕掛けてきます。実際、新型コロナウイルスのパンデミック時には、それに絡んだメールなどによる攻撃が急増しました。

　標的とされた組織がよく利用するWebサイトを調べて、そのWebサイトを改ざんして不正プログラムを仕掛けるといった手法（水飲み場型攻撃）も使われます。

　もちろんシステムの脆弱性を狙った不正アクセスによる攻撃もあるため、総合的なセキュリティ対策が必要です。しかも特定の組織を狙ってターゲットを細かく調べ上げる巧妙な手口は、攻撃への対処を難易度の高いものとしています。

　また、標的組織のセキュリティレベルが高く侵入が難しい場合には、前述したサプライチェーン攻撃により中小企業などを経由して標的組織への攻撃を仕掛けるため、「当社が狙われるわけがない」といったロジックは通用しないのです。

　本稿では脅威ランキングの第１位から第３位について解説しました。後編では、第４位以下の攻撃について見ていくことにしましょう。

ここがポイント！

●中小企業を狙うサイバー攻撃は確実に増えており、さまざまな調査レポートでも被害報告は増大している。

●ランサムウェアでは「多重脅迫型攻撃」や「攻撃の容易化」が大きなトレンド。

●ビジネスサプライチェーンの一端を担う中小企業が、上流プロセスの企業を狙うサイバー攻撃の踏み台としてターゲットに。

●ターゲットを調査したうえで攻撃仕掛ける標的型攻撃はセキュリティ対策の難易度も高い。