SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

直近開催のイベントはこちら!

Data Tech 2022

2022年12月8日(木)10:00~15:50

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

Security Online Press

2022年のサイバーインシデントから得られる学び 徳丸浩氏が提言する、来年に向けたセキュリティ施策

 2022年があと1週間ほどで終わりつつある。今年は、マルウェアのEmotetやランサムウェア攻撃による病院での被害など、国内でのサイバー攻撃事案は例年になく話題となり、その脅威もまた認知されるようになった。2023年の日本におけるセキュリティ環境はどうなるのか。EGセキュアソリューションズ取締役CTOである徳丸浩氏に、日本における今年のセキュリティ環境と、2023年の見通しについて語ってもらった。

サプライチェーンが注目された2022年のセキュリティ環境

 サイバー攻撃が例年なく注目された2022年。徳丸氏はまずIPAが毎年公表している「情報セキュリティ10大脅威」を引用し、今年を振り返る。

 サイバー攻撃の手法は進化が早いと指摘されながらも、ここで登場する各項目は例年それほど変化がないという。それでも、今年特に問題となったのが事業側だとランサムウェア、サプライチェーン攻撃、そして個人側ではクレジットカード情報の不正利用について挙げた。

画像クリックで拡大
画像クリックで拡大

 サプライチェーン攻撃の経路については、主として子会社・外部委託業者の脆弱な危機にマルウェアが感染するか、使用している脆弱なOSSが狙われているという。

 徳丸氏は例として、2020年に不正アクセスの被害を受けたカプコンの例を引用した。同社の被害原因としては、北米現地法人内に置かれた旧型のVPN装置が攻撃され、ネットワークへ不正侵入された結果、日米拠点の一部機器が乗っ取られる結果になったという。

 旧型のVPN装置が設置された理由については、当時コロナ禍初期対応にあたって在宅勤務対応に追われ、増設したVPNに脆弱性が存在していたという。もっとも、社内ネットワークに侵入されたとしても、攻撃を受けた北米の社内ネットワークで本来はとどまり、日本本社サーバーなどへの侵入はパスワード保護などのため難しいはずだと徳丸氏は指摘する。

画像クリックで拡大
画像クリックで拡大

 だが本社サーバーへの侵入も簡単に許してしまったことから、「脆弱性やパスワード設定など、セキュリティの甘さなどがあったのではないか」と推察している。

 結果としてカプコンでは、情報流出のほかファイルの暗号化も行われてしまい、ランサムウェアによる情報の窃取とファイルの暗号化という二重脅迫につながる典型的な事例となった。

次のページ
注意すべき、セキュリティにおけるサプライチェーン攻撃の定義 

この記事は参考になりましたか?

  • Facebook
  • Twitter
  • Pocket
  • note
Security Online Press連載記事一覧

もっと読む

この記事の著者

西隅 秀人(編集部)(ニシズミ ヒデト)

EnterpriseZine編集部

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/17145 2022/12/23 12:00

Job Board

PR

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

2022年12月8日(木)10:00~15:50

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング