東京都産業労働局 令和5年度中⼩企業サイバー
セキュリティ対策継続支援事業

文字サイズ
中小企業向けサイバーセキュリティ対策の極意 令和6年度中小企業サイバーセキュリティ社内体制整備事業

第2章. 事例を知る:重大なインシデント発生から課題解決まで2-1. 情報セキュリティの概況

2-1-3. IPA:情報セキュリティ10大脅威

情報セキュリティ10大脅威は、情報セキュリティ専門家を中心に作成された資料です。情報セキュリティの研究者と実務担当者が、1年間に発生したセキュリティインシデントや攻撃の状況を元に脅威を抽出し、審議・投票によって「個人」と「組織」に分けて、10個の脅威が選定されています。[3]
10大脅威を活用することで、どのようなことを重視してセキュリティ対策を実施すれば良いのかがわかります。1年間の状況を反映して作成され、テレワークに関連した脅威や注目を集めた脅威についてのサイバー攻撃事例や対策が紹介されています。これらを有効活用して、自社のセキュリティ対策に役立てます。

情報セキュリティ 10 大脅威の活用法:組織の検討例
1.「守るべきもの」の明確化

自社にとっての守るべきものを明確にします。

  • 業務プロセス:取引先との受注業務
  • 情報データ:取引先情報や受注先情報
  • システム、サービス、機器:社内ITシステムとその構成機器
  • その他:取引先との信頼関係等
2.自社にとっての脅威の抽出

10大脅威を参考にし自社の守るべきものに対する脅威を抽出します。
脅威が生じた場合の被害額を算出し、会社の経営方針を考慮し、優先順位を付けます。

  • ランサムウェア感染による社内ITシステムの使用不能・脅迫(ランサムウェアによる被害)
  • 取引先である大企業へのサイバー攻撃の踏み台として悪用(サプライチェーンの弱点を悪用した攻撃)
  • 従業員による顧客情報や取引情報の不正持ち出し(内部不正による情報漏えい)
3.対策候補(ベストプラクティス)の洗い出し

自社にとっての脅威に対する対策候補(ベストプラクティス)を洗い出します。

  • 被害の予防:不正アクセス対策、バックアップの取得、基本方針の策定、情報セキュリティの認証取得等
  • 被害の早期検知:システムの操作履歴の監視等
  • 被害を受けた後の対応:CSIRT、関係者への連絡、影響調査、バックアップからの復旧、復号ツールの活用等
4.実施する対策の選定

洗い出した各対策候補に対して現状を整理し、未実施内容に対しての対策を選定します。

  • 1.実施状況を確認(実施済み、一部実施、要調査等)
  • 2.対応計画を立案
  • 3.対策の実施

(出典) IPA「情報セキュリティ10大脅威の活用法」を基に作成

1位 ランサムウェアによる被害

情報が暗号化され、復旧と引き換えに金銭を要求されます。また金銭を支払わなければ、情報を公開すると脅迫する二重脅迫も確認されています。
事例:攻撃者はWebサービス上にランサムウェアを自動的に配布するファイルを配置し、自動更新時にファイルを実行させることで、ランサムウェア感染を引き起こしました。

2位 サプライチェーンの弱点を悪用した攻撃

直接攻撃が困難な大企業に対し、セキュリティレベルが低い取引先や子会社を攻撃し、踏み台にして標的に侵入する攻撃です。
事例:某製造メーカーが取引先のシステム障害により国内全工場を停止しました。

3位 標的型攻撃による機密情報の窃取

特定の企業を標的にし、業務関連のメールを装ったウイルス付きメールを送りつけることで行われます。受信者がメールを開くと、PCやサーバに感染が広がります。そして、攻撃者は組織内部に潜入し、機密情報を窃取する等の活動を行います。
事例:某お菓子メーカーは、他社の社員を装ったメールに添付されたWordファイルを開き、「編集を有効にする」をクリックし、ウイルスに感染しました。

4位 内部不正による情報漏えい

企業の従業員や元従業員等が、会社で保管する情報を不正に持ち出し、外部に公開したり、競合他社へ情報提供したりすることで情報が漏えいすることがあります。
事例:某住宅メーカーは、元従業員が同社顧客情報を不正に持ち出し、転職先に提供していたことを明らかにしました。

5位 テレワーク等のニューノーマルな働き方を狙った攻撃

Web会議を覗き見されたり、テレワーク用の端末にウイルスを感染させられたり、VPN脆弱性を悪用して不正アクセスされ、情報を搾取されるおそれがあります。
事例:某製造メーカーは、 テレワークの負荷により過去に利用したVPN機器を再度稼働させたところ、未修正の脆弱性が存在しており、IDとパスワードが窃取されました。

6位 修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃

ソフトウェアに脆弱性が存在することが判明し、脆弱性の修正プログラムがベンダーから提供される前に、その脆弱性を悪用してサイバー攻撃されることがあります。
事例:某ベンダーは、ブラウザのゼロデイ脆弱性を解消するアップデートを準備しており、それまで影響を軽減する機能の活用を呼びかけています。

7位 ビジネスメール詐欺による金銭被害

従業員のメールアカウントを乗っ取り、取引実績がある組織の担当者へ偽の請求等を送りつけ、攻撃者の用意した口座に金銭を振込ませるような攻撃です。
事例:国内企業と海外取引先企業の間で行われるやり取りにおいて、攻撃者が取引先を装い、銀行口座証明書を偽造し、書類の真正性に気付かずに誤って偽造口座へ送金した事案が発生しました。

8位 脆弱性対策情報の公開に伴う悪用増加

ベンダーが脆弱性対策情報の公開をして利用者に広く呼びかける際、攻撃者がその情報を悪用し、当該製品へ脆弱性対策を講じていないシステムを狙って攻撃を行うことがあります。
事例:某食品メーカーは、VPN機器の公開された修正プログラムを更新しなかったため、ランサムウェアによるサイバー攻撃を受けました。

9位 不注意による情報漏えい等の被害

メールの誤送信、記録端末や記録媒体の紛失等、従業員のセキュリティ意識の低さ、不注意によるミス等によって重要情報を漏えいすることがあります。
事例:某マスコミは、メールマガジンの送信時にミスがあり、登録者のメールアドレスが流出しました。

10位 犯罪のビジネス化(アンダーグラウンドサービス

企業から不正に窃取した情報が、ブラックマーケットで売買され悪用されています。認証情報を入手し、企業のWebサービス等に不正ログインされることがあります。
事例:某施設運営会社はサイバー攻撃を受け、その後、口座情報を含む一部の個人情報がダークウェブ上で公開されたことが判明しました。

(出典) IPA「情報セキュリティ10大脅威」を基に作成

詳細理解のため参考となる文献(参考文献)

[3]:IPA.”情報セキュリティ10大脅威 2023”. https://www.ipa.go.jp/security/10threats/ps6vr70000009r2f-att/kaisetsu_2023.pdf , (2023-07-06).

目次にもどる