『情報セキュリティ10大脅威 2024』を読み解く
2024年1月に公表された『情報セキュリティ10大脅威 2024』、今年からは個人向けについては順位表記を廃止したことが話題を呼んだ。同レポートの選考委員を務めた岡本勝之氏は、「個人向けは等しく“重要な脅威”であることを認識していただくため、順位付けをなくした。その一方、組織向けではセキュリティ対策予算が限られているため、優先度を決める参考にしたいという声が根強いため、順位付けを残している」と話す。
組織向けで選出された脅威に目を向けると前年と変わらず、順位のみが変動している。順位を上げたのは「内部不正による情報漏えい等の被害」と「修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃)」、そして「脆弱性対策情報の公開にともなう悪用増加」だ。
[画像クリックで拡大]
岡本氏は「10大脅威の顔ぶれは変わらず、サイバー攻撃の手口が集約されてきたことの表れだ」と指摘する。特に「ランサムウェアによる被害」が数年間にわたり1位であり、依然として被害規模は大きい。
また、脅威によりその粒度は異なる。たとえば、ランサムウェア攻撃には、サプライチェーンの弱点を悪用した攻撃が含まれ、ゼロデイ攻撃や脆弱性の悪用なども行われる。「既にランサムウェアは『RaaS(Ransomware as a Service)』としてビジネス化されているなど、10大脅威はそれぞれの関連性が強い」と岡本氏。実際にランサムウェアの被害にあった小島プレス工業や大阪急性期・総合医療センターへのサイバー攻撃は、サプライチェーンの弱点を悪用した攻撃だ。2位にランクインしているようにサプライチェーンの弱点を突くような攻撃は増加の一途を辿っており、自組織のセキュリティ対策に尽力しているだけでは十分と言えない状況に変わってしまった。
また、10大脅威は“内的要因”と“外的要因”に大別できるとも岡本氏は述べる。前者は、内部不正や設定ミスなど不注意によるもの、それら以外は外部からの攻撃(外的要因)と基本的に考えられるからだ。もちろん、前述したランサムウェア攻撃のように複数の要因(攻撃)が連鎖するケースも多いが、しっかりと脅威を切り分けることで10大脅威にランクインした脅威ごとに対策を講じるのではなく、より本質的な対策へと目を向けられるだろう。
なお、2024年のランキングを俯瞰した岡本氏は「フィッシング」が見受けられないとして、「あらゆる攻撃のきっかけとなることはもちろん、近年増加している『ビジネスメール詐欺(BEC)』の被害金額も莫大だ。解説編で補足されるかもしれないが、啓発は欠かせない」と指摘する。
加えて、最近ではVPN経由による侵入が大きな被害につながりやすいという。メールを攻撃に用いる場合は相手が引っかかることを待つしかないが、ネットワーク機能の脆弱性を見つけてしまえば能動的に侵入できる。そのため多くの攻撃者が脆弱性を探すような状況に移り変わってきた。
