「組織」向け脅威、第1位「ランサムウェアによる被害」
- 対策方法
独立行政法人情報処理推進機構(以下IPA)の「情報セキュリティ10大脅威」が2023年も発表されました。
IPAでは、前年に発生した情報セキュリティ事故や攻撃の状況などから脅威を選出し、情報セキュリティ分野の研究者、企業の実務担当者など約200名のメンバーで構成する「10大脅威選考会」の投票を経て決定した上位10位を2016年から公表しています。
さて、2023年「組織」向け脅威の投票結果は以下のとおりです。
第1位 ランサムウェアによる被害(前年第1位)
第2位 サプライチェーンの弱点を悪用した攻撃(前年第3位)
第3位 標的型攻撃による機密情報の窃取(前年第2位)
第4位 内部不正による情報漏えい(前年第5位)
第5位 テレワーク等のニューノーマルな働き方を狙った攻撃(前年第4位)
第6位 修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃)(前年第7位)
第7位 ビジネスメール詐欺による金銭被害(前年第8位)
第8位 脆弱性対策情報の公開に伴う悪用増加(前年第6位)
第9位 不注意による情報漏えい等の被害(前年第10位)
第10位 犯罪のビジネス化(アンダーグラウンドサービス)(前年圏外)
(出典:IPA セキュリティセンター『プレス発表 「情報セキュリティ10大脅威 2023」を決定』https://www.ipa.go.jp/about/press/20230125.html)
ランサムウェアによる被害は拡大傾向
2021年から3年連続で、ランサムウェアによる被害が1位となりました。
ランサムウェアは、悪意を持った人物がコンピューターシステムやデータに対して攻撃する手法の一つです。この攻撃では、通常の手段ではアクセスできないようにファイルを暗号化し、解除するためには身代金(ランサム)を支払うようにと脅迫されます。身代金を支払わない場合、被害者のデータは永久に失われる可能性はもちろん、たとえ支払っていても相手によっては、復号コードを渡してこないケースもあって事態は深刻です。さらに、最近は情報を公開すると脅す「二重脅迫」に加え、被害者の顧客や利害関係者へ連絡するとさらに脅す「四重脅迫」が新たな手口として出てきています。
昨年、大阪の基幹病院が被害を受けたニュースは記憶に新しいですが、このケースでは、電子カルテをはじめ病院全体のシステムが利用できず、救急外来や手術などの診療ができない状態に陥り、復旧はできたものの、被害総額は約10億円といわれています。
ランサムウェアの被害は日本だけでなく世界中で日々多発し、事業規模を問わず中小企業もターゲットになっています。
3年連続第一位であることからも、ランサムウェアによる被害は今後も続くでしょう。
企業は、ネットセキュリティの選任者の採用や専門家への相談・依頼するなどウイルス対策、不正アクセス対策、脆弱性対策などの基本的な対策はもちろん、復旧計画を策定したり、関係機関が発信している情報をチェックするなど、何も起きていない今こそ、ランサムウェア対策・事前の準備が重要だといえます。
ここだけは必ず確認を!!
ランサムウェア対策として、「バックアップを取れ」というのは良く聞く話ですね。
ただし、一言で「バックアップ」といっても、目的によって取り方が違います。例えば、同じデータのコピーを取り合うバックアップ方法ではランサムウェアの被害は防げません。
なぜなら、これはハードディスクの破損に備えるためのバックアップだからです。
ランサムウェアに被害があった時に、同じデータをコピーを取り合うことは、ただ問題が発生した状態のデータを問題があるままコピーをしただけなので、肝心かなめの「データ復旧」はできません。
「うちはバックアップとってるから大丈夫」なんていう確認の仕方では、ランサムウェアの餌食になってしまいます。
では、どうすればいいのでしょう。
<ポイント!> 貴社は、「世代管理のできるバックアップ方法をとっていますか?」
万が一、ランサムウェアによって暗号化され、ファイルを開けなくなったとしても、「暗号化される前の状態まで遡る」ことができれば、被害は最小限に抑えられる、というわけです。これがあるかないかで、損害額が天と地ほども違います。
ぜひこの機会に、大事なデータを預けている外注会社や、自社の情報システム部に確認してください。「バックアップって、ちゃんと世代管理してるよね?」と。
見過ごせない「内部不正による情報漏えい」第4位!
ランサムウェアの脅威だけでなく、今回第4位だった「内部不正による情報漏えい」も前回第5位からランクアップしているのも見過ごせません。
社内の管理体制はもちろんですが、採用時に不正行為などをしない人材を見極めることも大切です。
ソルナの『ネットの履歴書』は、採用候補者のネット上のログを多方面から収集し、履歴書や面接だけでは見えてこない素の一面を浮かび上がらせる 「人物健全度調査」サービスです。
人のマイナス面 (潜在するリスク)だけでなく、プラス面 (潜在する可能性)にも光をあて、企業のみなさまの人材採用に新たな判断軸をご提供します。
ちなみに、ネットの履歴書は個人情報をお預かりするサービスとして、今回取り上げたランサムウェア対策も万全です。
ぜひ、お気軽にお問合せください。
参考サイト
独立行政法人情報処理推進機構(IPA)「ランサムウェア対策特設ページ」(外部サイト)
一般財団法人日本サイバー犯罪対策センター(JC3)「ランサムウェア対策について」(外部サイト)
般社団法人JPCERTコーディネーションセンター「ランサムウエア対策特設サイト」(外部サイト)
警察庁「ランサムウェア被害防止対策」(外部サイト)