外部からの情報セキュリティの脅威の種類

前回の記事では組織内部のどのようなことが情報セキュリティを脅かすかについて書かせていただきました。今回は外部からのセキュリティ上の脅威にはどのような種類のものがあるのかについて、簡単にご説明させていただきたいと思います。

外的な脅威というと、どのような脅威があげられるでしょうか?IPA(情報処理推進機構)による「情報セキュリティ10大脅威2021」*1では、1位が「ランサムウェアによる被害」、2位が「標的型攻撃による機密情報の窃盗」、そして3位が「テレワーク等のニューノーマルな働き方を狙った攻撃」とされています。

情報セキュリティ10大脅威2021「個人および「組織」向けの脅威の順位」
<参考資料 IPA(情報処理推進機構) 情報セキュリティ10大脅威 2021 [組織編] P6
https://www.ipa.go.jp/files/000088835.pdf
(最終閲覧日 2021年8月19日)>

※ランサムウェア:ランサムウェアとはウイルスの一種で、PC やサーバー、スマートフォンがこのウイルスに感染すると、保存されているデータが暗号化されて利用できなくなったり、画面がロックされて端末が利用できなくなったりする。そしてそれを復旧することと引き換えに金銭を要求される等の被害が発生する。また、データの暴露を行うと脅迫され、金銭の支払い有無にかかわらず、データが暴露されてしまったケースが近年発生している。*2

1位から3位までの脅威と主な手口ついては以下のように記述されています。

ランサムウェアによる手口3

ランサムウェアによる手口
<参考資料 IPA(情報処理推進機構) 情報セキュリティ10大脅威 2021 P36
https://www.ipa.go.jp/files/000088835.pdf
(最終閲覧日 2021年8月19日)>
  • メールを利用した手口
    不正な添付ファイルを開かせる
  • ウェブサイトを利用した手口
    ランサムウェアをダウンロードさせるようにウェブサイトを改ざん
    当該サイトを閲覧するようにメール等で誘導
  • 脆弱性を悪用した手口
    OSの脆弱性を悪用しウイルスを実行(感染させる)
    攻撃ツール等を利用してネットワーク越しに次々と感染させる
  • 不正アクセスによる手口
    管理用のRDP(リモートデスクトップ)等でサーバーに不正アクセス
    サーバー上で攻撃者がウイルスを実行(感染させる)

標的型攻撃の手口*4

標的型攻撃の手口
<参考資料 IPA(情報処理推進機構) 情報セキュリティ10大脅威 2021 P38
https://www.ipa.go.jp/files/000088835.pdf
(最終閲覧日 2021年8月19日)>
  • メールを利用した手口(標的型攻撃メール)
    不正な添付ファイルを開かせる
    不正なウェブサイトへのリンクをクリックさせる
  • ウェブサイトを利用した手口
    標的組織が頻繁に利用するウェブサイトを調査し、当該サイトを閲覧するとウイルスに感染するように改ざん(水飲み場型攻撃)
  • 不正アクセスによる手口
    組織が利用するクラウドサービスやウェブサーバーの脆弱性を悪用して不正アクセスし、認証情報等を窃取
    窃取した認証情報等を悪用して正規の経路で社内システムへ侵入し、PCやサーバーをウイルスに感染させる
    テレワーク等のニューノーマルな働き方を狙った攻撃の手口・発生要因*5
社内システムへの攻撃
<参考資料 IPA(情報処理推進機構) 情報セキュリティ10大脅威 2021 P40
https://www.ipa.go.jp/files/000088835.pdf
(最終閲覧日 2021年8月19日)>
  • テレワーク環境や管理体制の不備
    テレワーク用ソフトの脆弱性を悪用した不正アクセス
    急なテレワーク移行による管理体制の不備
    私物PCや自宅ネットワークの利用※私物PCからの情報漏えいのおそれ

1位から3位までの脅威と主な手口を見ていただいたところで、これらの脅威に対してどのように対策をすればよいのでしょうか?

まず、手口を見ていただくと、ウイルスやマルウェアへ感染させる手口として、メールを開かせる、ウェブサイトへ誘導するといった、使用者を誘導して感染させる、という方法が多いことにお気づきいただけると思います。そのため、個人でとることのできるこれらの脅威への対策としては以下のようなことが有効になると考えられます。

  • OSやセキュリティソフトを常に最新のものにする・不要なウェブサイトの閲覧を職場で行わない
  • 怪しいメールやウェブサイトは開かず、校内の情報セキュリティ担当者に知らせる
  • メールの添付ファイルやリンクを安易に開かない
  • 情報セキュリティ、インシデント研修に参加し、情報セキュリティのリテラシーを高める

また、万が一感染した場合に所定の連絡先へ迅速に連絡できるようにしておくということもとても大切です。

3位の「テレワーク等のニューノーマルな働き方を狙った攻撃」は、GIGAスクール構想によって新しく導入されるソフトウェアやクラウド、端末や情報の管理・運用体制、自宅への端末持ち帰り等、GIGAスクール構想と重なる部分が多く、新たに注意したい脅威となります。この脅威は組織の管理体制の不備を突くものが多いため、対策としては、

  • 常に最新の更新プログラムを適用しておく
  • 定められた組織のテレワークルールをきちんと全員がそれを守るようにすること
  • 自治体の情報セキュリティポリシーをきちんと守ること
  • 私物PCと組織支給PCの違いを考慮し、定められた運用ルールを守る

といった、定められたルールの順守することが対策として考えられます。

今後、一人一台端末が実現し、校務の多くの部分をPC端末が担うになるにつれて、児童生徒の個人情報や先生の人事情報、個人情報等の重要な情報がこれまで以上に多くの悪意ある第三者から狙われるようになることが予想されます。それに備え、上記のような対策をとることができるよう、これまで以上に情報セキュリティの意識を高めていただければと思います。

ここまで読んでいただき、ありがとうございました。

次回も引き続き、セキュリティ上の脅威についてより詳しくご説明させていただきたいと思います。

<参考文献>

*1 IPA(情報処理推進機構) 情報セキュリティ10大脅威 2021 (最終閲覧日20201年8月19日)

*2 IPA(情報処理推進機構) 情報セキュリティ10大脅威 2021 P36 (最終閲覧日20201年8月19日)

*3 IPA(情報処理推進機構) 情報セキュリティ10大脅威 2021 [組織編] P9、P13 (最終閲覧日20201年8月19日)

*4 IPA(情報処理推進機構) 情報セキュリティ10大脅威 2021 [組織編] P16、P17、P23 (最終閲覧日20201年8月19日)

*5 IPA(情報処理推進機構) 情報セキュリティ10大脅威 2021 [組織編] P25、P28、P29 (最終閲覧日20201年8月19日)