The recent history of cyber-attacks you should know.
サイバーアタック
Table of Contents(コンテンツ目次)
「情報セキュリティ10大脅威 2025」は、2024年発生の社会的に影響が大きかったと考えられる情報セキュリティにおける事案をIPAが脅威候補を選出し、
「10大脅威選考会」で決定
| 順位 | 「組織」向け脅威 | 初選出年 | 10大脅威での取り扱い
(2016年以降) |
| 1 | ランサム攻撃による被害 | 2016年 | 10年連続10回目 |
| 2 | サプライチェーンや委託先を狙った攻撃 | 2019年 | 7年連続7回目 |
| 3 | システムの脆弱性を突いた攻撃 | 2016年 | 5年連続8回目 |
| 4 | 内部不正による情報漏えい等 | 2016年 | 10年連続10回目 |
| 5 | 機密情報等を狙った標的型攻撃 | 2016年 | 10年連続10回目 |
| 6 | リモートワーク等の環境や仕組みを狙った攻撃 | 2021年 | 5年連続5回目 |
| 7 | 地政学的リスクに起因するサイバー攻撃 | 2025年 | 初選出 |
| 8 | 分散型サービス妨害攻撃(DDoS攻撃) | 2016年 | 5年ぶり6回目 |
| 9 | ビジネスメール詐欺 | 2018年 | 8年連続8回目 |
| 10 | 不注意による情報漏えい等 | 2016年 | 7年連続8回目 |
組織の個人への脅威 |
|||
| 「個人」向け脅威(五十音順) | 初選出年 | 10大脅威での取り扱い
(2016年以降) |
|
| インターネット上のサービスからの個人情報の窃取 | 2016年 | 6年連続9回目 | |
| インターネット上のサービスへの不正ログイン | 2016年 | 10年連続10回目 | |
| クレジットカード情報の不正利用 | 2016年 | 10年連続10回目 | |
| スマホ決済の不正利用 | 2020年 | 6年連続6回目 | |
| 偽警告によるインターネット詐欺 | 2020年 | 6年連続6回目 | |
| ネット上の誹謗・中傷・デマ | 2016年 | 10年連続10回目 | |
| フィッシングによる個人情報等の詐取 | 2019年 | 7年連続7回目 | |
| 不正アプリによるスマートフォン利用者への被害 | 2016年 | 10年連続10回目 | |
| メールやSMS等を使った脅迫・詐欺の手口による金銭要求 | 2019年 | 7年連続7回目 | |
| ワンクリック請求等の不当請求による金銭被害 | 2016年 | 3年連続5回目 | |
日本企業のデジタルトランスフォーメーション(DX)の成熟度が一向に向上しない。
情報処理推進機構(IPA)が2025年5月に公表した「DX推進指標 自己診断結果 分析レポート(2024年版)」によると、
DX推進の成熟度は6段階中、1.67(平均値)だった。2022年版1.19、2023年版1.26に比べると高まっているように見えるが、経済産業省がDXレポートを発表した翌年に公表された自己診断(2019年版)の結果は1.43だった。
成熟度は横ばい状態。経産省が同レポートで指摘した、DX推進の課題を解決できていないことに大きな要因がありそうだ。
IPAの成熟度は、「未着手」のレベル0から「グローバル競争を勝ち抜ける」レベル6までの6段階ある。
1.67は、レベル1「部門単位での試行・実施」とレベル2「全社戦略に基づく一部の部門での推進」の間となり、低いレベルといえる。
「全社戦略に基づく継続的に実施する」のレベル4以上の企業は、1349件中18件にすぎない
DX推進指標の成熟度レベルとその定義(出典:IPA「DX推進指標 自己診断結果 分析レポート(2024年版)」)
DXを推進したい企業はあるが、
・経営視点からは「投資意思決定、予算配分」「評価」「人材の融合」「KPI(重要業績評価指標)」「人材育成・確保」にそれぞれの課題がある。
・IT視点からは「IT投資の評価」「競争領域の特定」「ロードマップ」「破棄」「体制」にそれぞれの課題がある。
投資の評価や人材育成・確保の課題は10年も20年も前から指摘されていた。経営者らがデジタルを駆使したビジネスモデルへ変革しようという意識に欠けるまたは、ない。
一方、多くの企業のVPNシステムが依然としてID・パスワードのみの単一要素認証を採用している。この場合、漏洩した認証情報の悪用により、VPNへの不正アクセスは驚くほど容易になることも大きな問題だ。結果この弱点を突こうとするサイバー犯罪者たちにより、闇市場でVPNの認証情報が高値で取引されている。
不可欠なのが多要素認証(MFA)の導入
ではどうすればいいのか、不可欠なのが多要素認証(MFA)の導入である。VPNへのアクセスには単なるパスワードだけでなく、定期的に更新されるクライアント証明書や、スマートフォンアプリ、ハードウェアキー、生体認証などの第2要素が必須。さらに、シングルサインオン(SSO)と組み合わせて認証プロセスを一元管理することで、利便性を損なわずにセキュリティを向上させることができる。
ランサムウェア対策としては、
VPNの保護とともに忘れてはならないのがエンドポイント、つまり接続元デバイスの保護強化である。VPN接続に使用する接続元デバイスのノートPCやタブレットなどのセキュリティを強化し、最新のEDR(Endpoint Detection and Response)ツールを導入することで、マルウェア感染のリスクを低減できる。…………(略)……………….
企業のセキュリティ役員、担当者は、VPNを絶対的な防御手段と考えるのではなく、多層防御戦略の一部として慎重に位置づけるべきである。
リモートワークと分散型ワークが社会に定着した現在、リモートアクセスのセキュリティも接続元として組織が継続的に取り組むべき重要課題である。VPNが脆弱であるいくつかの弱みを正しく理解し適切な対策を講じることが、ランサムウェアをはじめとするサイバー攻撃から組織を守る第一歩となる。
この取り組みは単なるIT部門の課題ではなく、組織の存続に関わる経営課題として捉え、適切な投資と体制づくりを進めていくこと
出典:東洋経済6/19抜粋
