2019年におとずれるサイバー攻撃の新たな脅威

「情報セキュリティ10大脅威 2019」が発行された

 独立行政法人情報処理推進機構(IPA)は毎年3月~4月頃に、その年に重大な脅威になり得るだろうと予想されるサイバー犯罪について公表しています。
 (※3月~4月以外の期日に公表されることもあります。)

 その名も「情報セキュリティ10大脅威」です。今年も2019年に予想される10大脅威が公表されました。

■情報セキュリティ10大脅威とは?


出典:情報処理推進機構(IPA)、情報セキュリティ10大脅威 2019、https://www.ipa.go.jp/security/vuln/10threats2019.html

 前年において、社会全体に影響を及ぼした、または大きく話題になったセキュリティ事案をIPAが複数ピックアップし、情報セキュリティにおける研究者やエキスパートたち約120名より構成された「10大脅威選考会」が、ピックアップされたセキュリティ候補に対して審議・投票を行います。

 そして、個人向けと企業向けの脅威それぞれに1位から10位までランキングされたものがその年の10大脅威として公表されます。公表する際には
・前年からの変更等
・10大脅威の内容
・今後の懸念点や課題
 の3章で構成されたPDF資料としてIPAの公式サイトから無料でダウンロードすることが出来ます。

■2019年版に新しい手口がランクイン

 今回公表された10大脅威において、初めてランキングに登場した脅威が2つあります。

 それは企業向け脅威4位にランクインした「サプライチェーンの弱点を悪用した攻撃の高まり」と個人向け脅威4位にランクインした「メール等を使った脅迫・詐欺の手口による金銭要求」です。

新たな脅威「サプライチェーン型攻撃」と「メールを使った脅迫・詐欺」について

 2019年版10大脅威において新しくランクインした2つの脅威「サプライチェーン型攻撃」「メールを使った脅迫・詐欺」について解説したいと思います。

■サプライチェーン型攻撃とは?


出典:情報処理推進機構(IPA)、情報セキュリティ10大脅威 2019、https://www.ipa.go.jp/security/vuln/10threats2019.html

 2019年版10大脅威のランキング内の言葉を使用するなら正確には「サプライチェーンの弱点を悪用した攻撃の高まり」です。

 そもそもサプライチェーンとは何のことでしょうか?

 それは調達、製造、在庫管理、物流、販売、など物やサービスの流れ、および外部委託等でその流れに携わる組織の集まりのことを言います。

 つまりこの流れに存在する弱点を悪用して個人情報が盗まれたり、商品に対し欠陥を与えたりなどして攻撃するのです。

■サプライチェーン型攻撃の対策は?

 サプライチェーンのセキュリティを強固なものにしたくとも、対象の範囲が広すぎてどこから手をつけるべきか悩ましいところです。

 ですが、以下の点を考慮し対策を施してみてはいかがでしょうか?

・関係している組織を把握する
 少なくともリーダーや情報セキュリティ課に所属している人は自身が担当しているサービスや物品販売において携わっている組織は把握しておくべきです。

 むしろ把握できないほど組織を複雑化するべきではないでしょう。

・組織間のセキュリティに関する契約は?
 組織を把握したならば組織同士でセキュリティに関してどのような契約がなされているか見直してみましょう。

 攻撃を受け何かしらの損害を被った場合にどこに責任が発生し、賠償請求することができるのか?契約における盲点を無くしましょう

・組織の運用について見直す
 サービスや物品を取扱う際にどのような運営体制が引かれているかの把握をすることはとても重要です。

 運用において特に重要視すべき点は、機密情報の取り扱い方や手順がしっかり踏まれているか、機密情報にアクセスできる人員は必要最低限にとどめられているかという点です。

・組織に携わる人員へのセキュリティ教育
 今やインターネットに関わらず情報を取扱う全ての人員にセキュリティ教育を施す必要性が出てきています。

 その結果、多くの企業が年に1〜2回のセキュリティ教育を全社員に行うようになりました。

 正社員だけでなく派遣社員やパートの従業員に対しても行われているか確認しましょう。

■メールを使った脅迫・詐欺とは?


出典:情報処理推進機構(IPA)、情報セキュリティ10大脅威 2019、https://www.ipa.go.jp/security/vuln/10threats2019.html

 個人向けのセキュリティ脅威として新しくランクインされた「メールを使った脅迫・詐欺による金銭要求の手口」。

 これはその名の通りメールで相手の弱みを握っているかのような文章を相手に送りつけ、金銭を要求し脅迫するという手口です。
 
 主に学生やお年寄り、情報セキュリティについてあまり認識がないと思われる人の被害が増加傾向にあります。

 主に以下の内容で脅迫されることが多いようです。
・被害者のパスワードを把握しているかのような口ぶりで脅迫
・アダルトサイトを閲覧している姿を撮影し、連絡先情報を収集した」と脅す
・仮想通貨を要求する
・送信元が自分のアドレスになっている場合がある
出典:情報処理推進機構(IPA)、「安心相談窓口だより」より、https://www.ipa.go.jp/security/anshin/mgdayori20181010.html

■メールを使った脅迫・詐欺の対策は?

 メールの文章が明らかに自身を脅迫していると感じたら、全て無視し破棄することです。

 ここで慌てて金銭を支払ってしまうと、再び脅迫メールが届いてしまう可能性があります。

 また、パスワードに関する脅迫文が届いた場合は、念の為すぐにパスワードを変更するようにしましょう。

2019年に起こるであろう脅威の傾向と対策

 2019年は東京オリンピックの前の年ということもあり、海外からのサイバー攻撃がますます活発になってくる恐れがあります。

 一体どのようなサイバー攻撃が増加する可能性があるのでしょうか?

 予想し早めに対策を立てておくことは、自身の企業とお客様の信頼を守ることに大きく貢献します。

■金銭目的の犯罪が増加傾向にある!?

 かつていたずらや能力誇示のために行われていたサイバー攻撃は、今や国が関わるようになり、金銭目的や大規模な業務妨害のために行われるようになってきました。

 そしてセキュリティに関し世間は大きく警戒しているため、サイバー攻撃を受けシステムに攻撃を受けたとなれば企業の規模にかかわらずすぐに情報が広まり信頼を失うことに繋がります。

 更に今後はAIを駆使した、見分けることが困難な攻撃を気づかれること無く行われる可能性が高くなるでしょう。

■気をつけておくべきサイバー攻撃への対策

 セキュリティソフトの導入に人員へのセキュリティ教育の徹底に、基本的な事柄はもちろんですが、それらに加えて利用しているシステムに詳しくなる必要が出てくるでしょう。

 というのも、今後はいかに最短でサイバー攻撃を受けたことに気づき適切な対策を施すかが重要になってくるからです。

 一部の人間のみシステムを理解しているようでは攻撃を受けた際に対処へ動くことは出来なくなります。

 今までのように専門家や詳しい人任せでいるわけにはいかなくなります。一人一人の当事者意識が今後のサイバー攻撃への備えになります。

まとめ

 IPAは毎年その年のサイバー犯罪における脅威をランキング形式で公表しています。

 完全に予測が当たるとは限りませんが、ある程度対策の準備をしたりセキュリティに関するとっかかりをつかむことは出来るのではないでしょうか?

 しかし万全なセキュリティはありません。

 今年もいつ攻撃対象になってもおかしくないという心構えで情報を守りましょう。

 我々は、情報が漏洩した事後の対策としてサイバー保険をご紹介しています。是非、事前の対策だけではなく事後の対策も行いましょう。どの企業にも起こりうることです。

サイバー攻撃に対する必要な備えは大きく2つ
1.サイバー攻撃を受けないための対策
2.サイバー攻撃を受けた後の対策

詳しくはこちらのサイバー保険の専用ページをご覧ください。
月額5,000円から利用できるサイバー保険付帯サービス
サイバー保険をご検討中の方へ
「安心」で「快適」な「未来」をお客様とともに創造します!
・サイバー保険が気になっている
・保険料はどのくらいなのか
・サイバー保険でどこまで補償できるのか

上記に関することでご相談・ご質問等ございましたら、お気軽に弊社までお問い合わせください。

2 Comments

現在コメントは受け付けておりません。