情報セキュリティの10大脅威(組織編)

情報処理推進機構(IPA)は情報セキュリティの10大脅威というものを発表しています。
被害の実態も組織と個人とで異なっていることから、今回は「組織編」としまして2018年度の被害が多かった事例のランキングにちなんで順にご紹介いたします。

情報セキュリティの10大脅威(組織編)

1位 標的型攻撃による被害
2位 ランサムウェアによる被害
3位 ビジネスメール詐欺による被害
4位 脆弱性対策情報の公開に伴う悪用増加
5位 脅威に対応するためのセキュリティ人材の不足
6位 Webサービスからの個人情報の窃取
7位 IoT機器の脆弱性の顕在化
8位 内部不正による情報漏えい
9位 サービス妨害攻撃によるサービスの停止
10位 犯罪のビジネス化(アンダーグラウンドサービス)

第10位 犯罪のビジネス化<アンダーグラウンドサービス>

まずは、2018年の組織編第10位は「犯罪のビジネス化(アンダーグラウンドサービス)」です。
これはサイバー攻撃を目的としたサービスやツールが、金銭で取引されていることを指しています。攻撃者は、ITに関する高度な知識がなくても、これらを購入して、用意にサイバー攻撃を行うことができます。
例えば、以下のようなサービスやツールが販売されています。
・エクスプロイトキット
・オンライン銀行詐欺ツール
・DDoS(分散型サービス妨害)攻撃代行サービス

事例としては次のものがあります。

1.モバイル向けランサムウェアを作成できるAndroidアプリ
このアプリはアンダーグラウンドで公開されただけでなく、中国のSNSで表示される広告からも入手可能となっています。
機能としては、脅迫メッセージやアイコン、ロック解除コード等を入力することで、モバイル向けランサムウェアのファイル(APKファイル)を作成することができます。

2.クラッキングトレーニングがアンダーグラウンド上で売買
ハッキングの中でも、特に明確な悪意によって行われるものをクラッキングと呼びます。アンダーグラウンドで悪意のあるクラッカーを育成するクラッキングトレーニングがサービスとして提供されています。
このサービスの利用者を組織化してサイバー犯罪事業を行う集団を形成しています。

第9位 サービス妨害攻撃によるサービスの停止

2018年の組織編第9位は「サービス妨害攻撃によるサービスの停止」です。
ウィルスに感染し、ボット化したIoT機器等からDDoS(分散型サービス妨害)攻撃が行われているという現象が確認されています。
これによって、DNSサーバが高負荷状態となり、利用者がアクセスできなくなる被害が発生し、さらには、2017年は公式のマーケットに公開されたスマホアプリがボット化し、DDoS攻撃が行われたという事例も報告されています。

DDoS攻撃の手口には以下の方法が利用されます。
・ボットネットの利用
あらかじめ構築されたボットネットに攻撃命令を出し、標的組織のWebサイトや組織の利用しているDNSサーバへ想定外の大量アクセスを行い、負荷をかける攻撃です。
・リフレクター攻撃
送信元を偽装し、標的組織のサーバを装いつつ、脆弱な設定の多数のルーターやDNSサーバ等に通信を送り、応答結果を標的組織に送りつけ、負荷をかける攻撃です。
・DNS水責め攻撃
標的組織のドメインにランダムなサブドメインをつけて問い合わせ、標的組織ドメイン名の権威DNSサーバに負荷をかける攻撃です。
・DDoS代行サービスの利用
DDoS代行する不法なサービスを利用する攻撃で、専門的な技術がなくても攻撃が可能です。

サービス妨害攻撃によるサービスの停止に対する防止策としては以下のようなものがあります。
・DDoS攻撃の影響を緩和するISPやCDN等のサービスを利用する。
・システムの冗長化やリソース強化による軽減策
・ネットワークの冗長化
…DDoS攻撃の影響を受けない非常時用のネットワークを事前に準備しておく。
・Webサイト停止時の代替サーバの用意と告知手段の整備
…DDoS攻撃を受けてサービスが停止することを想定して、切り替えるために状況を連絡する体制を整えておく。例えば連絡手段として、代替サーバまたはSNSの公式アカウント等の告知手段を用意しておく。

最近ではウィルスに感染したコンピュータやネットワークからだけでなく、比較的セキュリティの甘いIoT機器がボット化されて攻撃手段として利用されるなど、攻撃の手口が多様化しています。
DDoS攻撃はサーバが停止してしまうため、業務が停止するなどの損害が発生します。どこからどんな手段で攻撃されているかが特定できないと、復旧が難しいため、業務の停滞が長引く可能性があります。
ネットワークを常時監視して、サーバへの異常な振る舞いを迅速に検知できる体制が求められています。

第8位 内部不正による情報漏えい

2018年の組織編第8位は「内部不正による情報漏えい」です。
この脅威は組織特有のものと言えるでしょう。
組織内部の従業員が、主に金銭目的などの個人的な利益を得るために個人情報や機密情報を不正に持ち出すことを指します。
広い意味で捉えると、手順を守って情報を持ち出したけれども、置き忘れてきた、紛失したといった人的ミスも含まれます。

不正にアクセスする場合の手口としては以下のようなものがあります。
1.アクセス権限の悪用
組織内部の人間であれば、当然、職位などに合わせて組織内の情報にアクセスする権限が与えられています。
そこで得られる情報を窃取し、外部の人間に売ってしまうという事例が多く報告されています。
2.USBメモリや電子メール等により情報を外部へ持ち出す
情報を持ち出す手段としては、USBメモリが一番多いようです。電子メールや紙媒体は記録が残るケースがあるので、最近ではあまり使用されていません。

具体的な事例としては次のものがあります。
1.元従業員の顧客情報の持ち出し
GMOメイクショップの元従業員が、顧客情報や営業関連のデータ等32,800件を外付けHDDへコピーして、自身が業務を請け負っていた会社に持ち込んでいたという事件です。
2.日本年金機構職員の不正持ち出し
日本年金機構の職員が、年金加入者の個人情報を盗んだとして逮捕された事件です。同職員は盗んだ個人情報を第三者に提供し、見返りに金銭を受け取る等の行為を働いていたとのこと。

内部不正に関するセキュリティ対策は、組織全体で取り組むべき課題です。そもそも情報を持ち出す事ができない様にするシステム的対策と、ルール作りや教育による人的対策の両方を同時に整備する必要があります。
・情報資産を把握、アクセス権限などの体制を整備する。
・重要情報にはアクセス制御や暗号化を施す。
・アカウントや権限を定期的に監査する。
・情報の取扱いに関するポリシーを作成し、周知徹底を行うと同時に、機密保持に関する誓約書を取り交わす。
・情報漏えいについての罰則を定め、組織内の人間による相互監視を強化する。
・外部記憶媒体の利用を制限する。

情報の漏洩が内部の人間によるものの場合、外部からの不正アクセスとは異なり、システム的に防ぐことが難しいことが多いのが現状です。
誓約書を取り、罰則を強化することで、情報資産に対する組織内部の人間の意識を変えていくことが一番重要です。
もちろん、最新のシステムでは、許可された外部記憶装置以外接続できなくする事もできるので、セキュリティの専門家にコンサルティングを依頼するのも1つの方法でしょう。

第7位 IoT機器の脆弱性の顕在化

2018年の組織編第7位は「IoT機器の脆弱性の顕在化」です。
IoT機器とはインターネットに繋がっている全ての機器のことを指します。特に、コンピュータやスマホ以外の電子機器を指すことが一般的です。
IoT機器はコンピュータやスマホと異なり、セキュリティ対策ソフトがインストールされていないことが多く、また、ほとんどのユーザがパスワードを初期設定のまま利用しています。
そうした脆弱性を悪用しウィルスに感染させることで、インターネット上のサービスやサーバに対して、大規模な分散型サービス妨害(DDoS)攻撃が行われるなどの被害が確認されています。
また、国内で販売されているIoT機器において脆弱性が発見されており、機器を乗っ取られる、または撮影機能等を悪用して個人情報を窃取されるといった危険性があることが公表されています。

事例としては、脆弱性を悪用して、IoT機器をボット化するなどのものがあります。
「IoTroop」または「IoT_reaper」と呼ばれるウィルスが確認され、数百万台規模のIoT機器が感染しています。感染している主なIoT機器は、インターネットに接続された監視カメラとされています。
このウィルスは初期設定のID、パスワードを利用するのではなく、機器そのものの脆弱性を悪用するタイプのものです。国内に設置されている監視カメラでも感染が確認されていて、製品に存在する認証回避の脆弱性「CVE-2017-8225」が悪用されたとみられています。
対策としては以下のようなものが挙げられます。
・初期パスワード変更の強制化
・脆弱性の解消(セキュアプログラミング、脆弱性検査、ソースコード検査、ファジング等)
・ソフトウェア更新手段の自動化
・分かりやすい取扱説明書の作成
・迅速なセキュリティパッチの提供
・利用者にとって不要な機能の無効化
・アクセスできる範囲の制限
・安全なデフォルト設定
・利用者への適切な管理の呼びかけ
・ソフトウェアサポート期間の明確化
これらの対策は主にIoT機器の製造メーカが対応しなければならない対策です。一方でユーザ側が対応できるのは、ネットワーク上でのセキュリティ対策です。ファイアウォールによる通信制限や、MACアドレスなどによるデバイス認証の強化が最低限求められます。

IoT機器は元々セキュリティ対策が弱く、ウィルスなどの外部からの攻撃に対する耐性がほとんどないと考えても良いでしょう。
そんなIoT機器が悪用される可能性があるという認識を組織全体に周知・徹底すると同時に、情報リテラシーの向上を図るために教育体制の整備も必要でしょう。

第6位 Webサービスからの個人情報の窃取

2018年の組織編第6位は「Webサービスからの個人情報の窃取」です。
これは個人編でも第6位にランクインしている脅威ですが、個人と組織とではその被害の大きさや対策が異なります。

ショッピングサイトのようなWebサービスには多くの個人情報が登録されている。
・氏名
・性別
・生年月日
・住所
・連絡先(携帯、メールアドレス)
・クレジットカード番号  など

Webサービスの弱点の1つは、様々なソフトウェアで構成されているため、利用しているソフトウェアのバージョンが適切に管理されていない場合、脆弱性が放置されたままになっている可能性があります。

攻撃の手口としては次のようなものがあります。

1.企業で開発したWebサービスの脆弱性を悪用
一般的に多いのが、SQL文を実行させてデータベースを不正に操作することが可能な「SQLインジェクション」などの情報漏洩に繋がる脆弱性がWebサービスの中に作り込まれているケースです。

2.ソフトウェアの脆弱性の悪用
WebサービスはOS、ミドルウェア、CMSなどの複数のソフトウェアで構成されているため、それらのソフトウェアの脆弱性を悪用して攻撃を行う場合があります。
特にWebサービスで広く利用されている以下のソフトウェアには注意が必要です。

・OpenSSL
・Apache Struts
・WordPress

これらのソフトウェアに脆弱性が発見された場合、その影響は大きいため標的にされやすいです。
事例としては次のものがあります。

1.チケット販売大手のWebサイトから情報漏洩
2017年4月、チケット販売大手ぴあが運営を受託しているWebサイトにおいて、最大約15万5,000件の個人情報が漏洩した可能性があると発表しました。
原因は、Apache Struts2の脆弱性が悪用されたことにあるとされています。

2.登山情報サイトからの情報漏洩
登山情報サイト「ヤマケイオンライン」において、不正アクセスにより氏名やメールアドレスなど、1,160名分の情報漏洩が発覚しました。
原因はSQLインジェクションの脆弱性が存在し、それを悪用されたとのことでした。

様々なソフトウェアが組み合わさって作られたWebサービスの場合、一度情報が漏洩するなどの事件が発生すると、その原因の調査にも時間がかかってしまいます。
その間、業務を停止せざるを得なくなり、直接的にも、間接的にも多大な費用がかかります。
また、信用の低下などそれ以降の営業活動にも支障が出てきます。
Webサービスを作り込む時点で脆弱性がないかどうかの確認を十分に行うと同時に、ソフトウェアの更新のタイミングで新たな脆弱性が出現しないか専門家に診断してもらうことも必要でしょう。

また、Webサービス上で取り扱う情報を洗い出し、それらが漏洩した場合の被害シミュレーションをする、リスクアセスメントの考え方も重要です。その結果から、不必要な情報は収集しない、外部ASPサービスを利用して情報を内部に保有しないなどの選択肢も検討できます。

第5位 脅威に対応するためのセキュリティ人材の不足

2018年の組織編第5位は「脅威に対応するためのセキュリティ人材の不足」です。
情報セキュリティ上の脅威に対応する知識や技術には次のようなものがある。

・リスク評価や対策を検討する企画スキル
・対策や修正を実装する技術スキル
・監視や組織内教育等の運用管理スキル
・事故発生時の調査や対応等の事業対処スキル

上記のようなスキルを持ったセキュリティ人材を確保しようとしても、十分な予算が確保できない等の理由により、必要な人材を確保できないケースが多い上に、そもそもセキュリティ人材の絶対数が足りていないという問題もあります。

経済産業省の調査によりますと、情報セキュリティ人材は2016年時点ですでに約13.2万人が不足していて、情報セキュリティ市場の高い伸び率から2020年には約19.3万人が不足すると推計されています。
国もセキュリティ人材の育成方針を策定しています。
内閣サーバーセキュリティセンター(NISC)は、組織におけるサイバーセキュリティ人材に関わる課題とそのあり方を検討し、「サイバーセキュリティ人材育成プログラム」を作成しました。
このプログラムでは、社会で活躍できるサイバーセキュリティに関連する人材育成の方向性を示すことにより、安全な経済社会の活動基盤としてのサイバー空間の形成に向けた環境整備を図っています。

また、すでに就職している社会人だけでなく、後に就職する若者に対して、高度な情報セキュリティ技術の習得機会を提供する場もあります。
セキュリティ・キャンプは、セキュリティに対する専門家志向の強い若者に対し、技術面のみならず、倫理面、法制度面等の高い知識、実践能力の向上と、人的ネットワークの確立を目的として開催されています。

企業側でできるセキュリティ人材不足の問題への対策は、まず組織としてセキュリティ対応の方針を決定することです。その上で人材の確保を計画します。

・セキュリティ人材を確保する戦略の決定
→セキュリティ人材に対する予算や確保していくための中長期的な戦略を決定します。
・セキュリティ人材の採用
→セキュリティに関する業務経験がない中途採用者やITの基礎知識を有していない新卒採用者を入社後に育成しても良いでしょう。
セキュリティを専門に取り扱う人材の不足は深刻な問題であり、今後ますます組織への攻撃が激化することが予測される今、組織の資産を護るための重要な課題と言えるでしょう。

第4位 脆弱性対策情報の公開に伴う悪用増加

2018年の組織編第4位は「脆弱性対策情報の公開に伴う悪用増加」です。
一般的に、ソフトウェアに脆弱性が発見された場合、開発者が脆弱性を修正するためのプログラムを作成します。
その後、開発者は脆弱性の内容と更新プログラムを公開し、当該ソフトウェアの利用者に更新プログラムの適用を促します。
一方、攻撃者は公開された脆弱性情報を元に攻撃プログラムを作成して、更新プログラムを適用していない利用者を標的に攻撃を行います。
また、脆弱性が発見されてから、更新プログラムが公開されるまでの期間に発生するゼロデイ攻撃という攻撃も行われています。
実際の被害の事例には以下のものがあります。

1.WordPressで構築された複数のサイトが改ざん
2017年2月3日頃から、多数のWebサイトが改ざんされる被害が確認されました。
この改ざん被害では、同月1日に脆弱性情報が公開された、WordPressのコンテンツインジェクションの脆弱性が悪用されていることが分かっています。
WordPressの開発者は、脆弱性情報の公開に先行して、更新プログラムをリリースしましたが、更新プログラムを適用していない利用者も多く、多数のWebサイトが改ざん被害を受けました。

2.Apache Strutsの脆弱性により情報流出
2017年9月に、アメリカの消費者信用情報会社「Equifax」が、攻撃者による不正アクセスを受け、約1億4,000万人の情報が流出する被害を受けました。
攻撃を受けた原因は、2017年3月に公開されたApache Strutsの脆弱性対策を行っていなかったと指摘されています。

対策としては、開発者から配布される更新プログラムを迅速に適用することですが、更新プログラムを適用する場合、既存のシステムが正常に動作するかどうかを検証する必要があります。
検証に時間が掛かるなど、すぐに更新プログラムが適用できない場合、サーバを停止するなどの回避策も検討しなければなりません。
また、常にネットワークを監視し、迅速に対応することで攻撃を防ぐこともできます。
とはいえ、上記の方法では業務が一時停止することは避けられないので、万が一に備え、専門家の意見のもと、不正アクセスがあっても、被害を最小限に食い止められるようなネットワークの設計や、ファイアウォールなどの機器の導入を検討すべきでしょう。

第3位 ビジネスメール詐欺による被害

2018年の組織編第3位は「ビジネスメール詐欺による被害」です。
「ビジネスメール詐欺(Business E-mail Compromise: BEC)」は、巧妙なだましの手口が使われています。

・通常の取引のメールと見分けづらいように作成されている。
・取引先のメールアドレスを装ったメールアドレスだけでなく、本物のメールアドレスを使っている場合がある。

そのため、メールを受け取った担当者は攻撃者からのメールを本物として取り扱ってしまい、攻撃者に重要な情報を渡したり、口座へ送金してしまったりする事例が報告されています。
具体的な攻撃の手口は以下のようなものです。

・取引先との請求書の偽装
取引先と請求に関わるメールのやりとりを行っている際に、攻撃者が取引先になりすまし、攻撃者の用意した口座を記入した偽の請求書を送付し、振り込ませる。

・経営者等へのなりすまし
企業の経営者になりすまし、従業員に攻撃者の用意した口座へ振り込ませる。このとき、攻撃者は事前に入手した経営者や関係している従業員等の情報を利用している。

・窃取メールアカウントの悪用
従業員のメールアカウントを窃取し、アカウントを則った上で、その従業員の取引実績のある別の企業の担当者へ、攻撃者の用意した口座を記入した偽の請求書等を送付し、振り込ませる。

事例としては次のようなものがあります。

1.日本航空にてビジネスメール詐欺被害
2017年12月、日本航空は、偽の請求書メールにより、航空機リース料等の支払要求に応じてしまい、約3億8,000万円の詐欺被害にあったと発表しました。
送信元のメールアドレスは、実在する取引先を装ったものが使われていました。取引先とのメールのやり取りはウィルスまたはメールアカウントの乗っ取りにより盗み見られた恐れがあります。

2.経営幹部を装ったビジネスメール詐欺
トレンドマイクロ社によると。2017年1月から9月の間に確認された約27,000件の経営幹部を装ったビジネスメール詐欺を調査したところ、メールドメインを選択できる無料のWebメールサービスを利用した偽装メールの手口が増加していることが分かりました。この手口は全体の約65%を占めています。
なお、この手口以外にもメールの返信先を偽装する手口や模倣ドメインを利用する手口が確認されています。

こうしたビジネスメール詐欺は、セキュリティ担当者やシステム管理者だけでなく、経理・財務担当者などが連携して対策や教育を講じる必要があります。

第2位 ランサムウェアによる被害

2018年の組織編第2位は「ランサムウェアによる被害」です。
ランサムウェアは個人編でも第2位にランクインしていました。
ランサムウェアは感染したコンピュータ内のデータを暗号化し、それを復元するための「復号化キー」と引き換えに身代金(ランサム)を要求するというものです。

これまでランサムウェアに感染する経路として代表的だったのは、メールの添付ファイルや悪意のあるWebサイトの閲覧でしたが、2017年はOSの脆弱性を悪用して、ネットワーク内のコンピュータに感染を拡大させるものが登場しました。
そのため、企業などの組織のコンピュータが1台感染すると、ネットワークを介して組織全体に感染が広がる危険性が高まっています。

ランサムウェアはコンピュータ内のファイルに対して暗号化という、ファイルに対する不正な振る舞いを行いますので、それを予測して検出するなどの機能を持つ機械学習を利用したセキュリティ対策ソフトも存在しています。
一方で、ランサムウェアの方も、この機械学習を回避する手法を採用しているものも確認されており、攻撃も進化を続けているのが現状です。

組織としてランサムウェアの感染に備えるには、次のような対策があります。

1.メールの添付ファイルを開く際にはセキュリティ対策ソフトでスキャンするよう周知・徹底する。
2.メールに記載のURLを安易にクリックしないよう周知・徹底する。
3.OSやブラウザの更新を迅速に行うよう指導する。
4.サポートの切れたOSを搭載したコンピュータの使用を停止する。
5.悪意のあるメールやWebサイトを遮断するフィルタリングツールを活用する。
6.万が一感染した場合に、組織全体に被害が及ばないよう、部署単位などでネットワークを分離しておく。
7.暗号化されてしまったファイルを元に戻せるように、外付けHDD等の外部記憶媒体へ定期的にバックアップを取っておく。

暗号化されてしまったファイルは復号化キーがないと元に戻せませんが、ランサムウェア対策情報を提供しているWebサイト「The No More Ransom Project」では、ランサムウェアに暗号化されてしまったファイルを復元するツールが公開されています。コンピュータ上のランサムウェアを駆除した上で、このツールを利用する事によって、失われたファイルを取り戻せるケースがあります。

ランサムウェアも進化を続けている以上、システムやルータなどの定期的な見直しも含めて、予算や人材も確保しておくことが重要でしょう。

第1位 標的型攻撃による被害

最後に、2018年の組織編第1位だった「標的型攻撃による被害」です。
感染経路は主にメールの添付ファイルや悪意のあるWebサイト、USBメモリなどです。
これらを通じて標的の組織内のコンピュータにウィルスを感染させて、組織内部に侵入する標的型攻撃が確認されています。
ウィルスに感染すると、感染したコンピュータを攻撃者に遠隔で操作され、個人情報や機密情報を窃取されます。
また、情報の窃取ではなく、システムの破壊や業務を妨害する目的でサーバを停止させるような攻撃を仕掛けてくるものあります。
なお、現在では、大企業の情報セキュリティレベルが向上しているため、直接大企業を狙うのではなく、そこと取引のある、比較的セキュリティレベルの低い中小企業を踏み台に攻撃を仕掛けるケースが多くなってきています。これをサプライチェーン攻撃と呼びます。

事例としては次のようなものがあります。
サイバー情報共有イニシアティブ(J-CSIP)によると、2017年1月から12月までの間にJ-CSIP参加組織宛に届いた標的型攻撃メールの件数は173件と発表されています。
この期間の標的型攻撃として、メールにパスワード付きの圧縮ファイルを1つ添付して、解凍すると2つのウィルス付きファイルが格納せれているという攻撃手法が確認されています。
また、海外の関連企業の従業員アカウントを乗っ取り、国内企業へ不審メールを送りつけるという攻撃も観測されている。

対策としては、以下のようなものが考えられます。

1.組織として情報セキュリティに対する体制の整備
・迅速かつ継続的に対応できる体制(CSIRT等)の構築
・対策の予算確保と継続的な対策の実施
・セキュリティポリシーの策定

2.セキュリティ担当者が取るべき対策
・情報の管理とルール策定
・サーバ攻撃に関する継続的は情報収集と情報共有
・セキュリティ教育
・インシデント発生時の訓練の実施
・統合運用管理ツール等によるセキュリティ対策状況の可視化

企業が保有する個人情報や機密情報は、情報漏洩についての直接的な損害だけでなく、社会的信頼度の低下や風評被害など、間接的な被害も大きいのが現状です。
専門家の意見を取り入れ、ハード・ソフト両面からセキュリティ対策を取ることはもちろん、社員に対する情報セキュリティへの教育や情報の周知といった情報リテラシーの向上も重要な要素です。