サイバー攻撃対策

「情報セキュリティ10大脅威 2021」からみる
トレンドと対策

法人のお客さまに起こりがちな状況

今年もIPA(情報処理推進機構)から「情報セキュリティ10大脅威 2021」が公開されました。毎年発表されるこのランキングは情報セキュリティのトレンドを 把握するうえで非常に重要な役割を果たしています。

とは言え、発表されるたびに注目はするもののそれを受けて自社の対応に活用するかと言われるとあまり意識はしないケースが多いのではないでしょうか?

しかし実態としてトレンドを把握して自社のセキュリティ体制を柔軟にコントロールしていくことは情報セキュリティの観点から非常に重要なポイントです。

今回はこの資料の中で注目すべきポイントを解説し、そしてどのように対応していくべきかについてお伝えします。

「情報セキュリティ10大脅威 2021」とは

情報セキュリティ10大脅威 2021」とは、情報セキュリティ分野において2020年に発生した社会的に影響が大きい事案について約160名のメンバーからなる「10大脅威選考会」が脅威候補に対して審議・投票を行い、決定したものです。

家庭等でスマートフォンや PC を利用する「個人」に対する脅威と企業、政府機関、公共団体等の組織およびその組織に所属している人に向けた「組織」に対する脅威をそれぞれまとめています。

個人向け脅威の中で企業側が注目すべき脅威

個人向けの脅威の中にも、企業が意識しなければならない脅威があります。

当然すべての企業が当てはまるわけではありませんが、「個人向けだから、うちは関係ない」とするのではなく、自社の顧客に対して関連してこないかどうか、さらにはその顧客から自社に対して影響が発生しないか(サプライチェーン攻撃のように)など意識してみてみるようにしてください。

「情報セキュリティ10大脅威 2021」の中から、企業も意識すべき脅威を以下に取り上げ、詳しく解説していきます。

第2位 フィッシングによる個人情報等の詐取

実在する公的機関や有名企業を騙(かた)ったメールやSMSを送信し、正規のウェブサイトを模倣したフィッシングサイト(偽のサイト)へアクセスさせ、個人情報やID/パスワードなどを抜き取る手法です。取得された情報は悪用され、金銭的な被害が発生することもあります。

金融機関や大手モールサイトなどのフィッシングサイトが有名ですが、比較的小規模なサイトであってもフィッシングが行われるケースが出ています。フィッシングの特性上、個人情報が漏れるのは企業側の問題ではないのですが、フィッシングに気付かず情報が詐取されたユーザ側から見ると企業側から情報漏えいが発生したように見えてしまうのが実態です。

不審なメールが届いたなどの問い合わせが入ったりした場合などはすぐにサイト上にアナウンスを掲載するなどの対応を行うべきです。

また、場合によっては自社の購買処理中にフィッシング被害に遭うケースも考えられます。この状況に対応するためにはエンドポイントセキュリティでWebレピュテーション機能などを持ったソリューションを導入しておくなどの方法があります。

第4位 メールやSMS等を使った脅迫・詐欺の手口による金銭要求

個人の秘密を使って脅迫したり、身に覚えのない有料サイトの未納料金を請求したりするメールやSMSを使った詐欺による金銭被害が発生しています。公的機関を装った偽の相談窓口に誘導するといった手口も。2位と同様に自社を装ったメールを送られ不正請求や個人情報の取得を行われてしまうと特に瑕疵はないのに風評被害を受けてしまう場合があります。

同じようにきちんとアナウンスをだし、注意喚起と共に自社が関連ないことを明示しましょう。

第5位 クレジットカード情報の不正利用

コロナ禍ではネット通販の利用率が上がっており、クレジットカードを使う機会が増えています。一方、不正アクセスによる情報漏えい等によりクレジットカード情報が窃取され、攻撃者にクレジットカードを不正利用される被害は継続して発生しています。

ここだけを見ると自社の情報漏えいさえ防げていれば問題はなさそうと感じるかもしれませんが、現在さまざまなECサイトでチャージバック(注文後商品不着などを装い不正取引を訴え支払い取り消しを請求すること)を利用した詐欺も発生しています。これが行われるとモールなどによっては店舗側が泣き寝入りをせざるを得ないケースも出てきます。

この際に不正に窃取したクレジットカード情報を利用し足が着かないようにしているケースが発生しているようです。対応策としては3Dセキュアの導入やチャージバック保険への加入などになります。

第10位 インターネット上のサービスへの不正ログイン

インターネット上のサービスへ不正ログインされ、金銭や個人情報等の重要情報が窃取される被害です。多くの場合すでに作成されたID/パスワードのリストを使った不正アクセスですが侵入された場合は不正アクセス事例としてニュースなどに載りかねません。連続アクセスの上限やパスワードの入力回数上限設定などを行い攻撃遮断できる体制を作りましょう。

組織向けの脅威で注目すべきポイント

組織向けの脅威は原則該当するものすべてに注意が必要です。しかし、脅威にもトレンドがあり対策の優先度付けの参考としてランキングを参考にしていくのは重要となります。

ここではランキングのポイントと注目すべき脅威について解説します。

「標的側攻撃による機密情報の窃取」が2位に後退。代わって1位となったのは2020年に5位だった「ランサムウェアによる被害」

今まではターゲットを定めたピンポイントでの攻撃が中心だったのが無差別化、ボリューム重視となってきている傾向と捉えることができます。中小企業にとっては今までは大手ではないために狙われる確率が低かったのが無差別化によって自分たちもターゲットに入ってしまうことが想定されます。対応として、エンドポイントセキュリティでのパターンマッチングやヒューリスティック検索(検知)などによるランサムウェアの特定と対処が必要になります。

「テレワーク等のニューノーマルな働き方を狙った攻撃」が新たにランクイン

コロナ禍で進むテレワークですが、急激にテレワークが推進された影響もあり情報セキュリティの体制整備が追い付いていない企業も多くセキュリティリスクが高い状態で放置されているケースがあります。中小企業であれば予算不足や人材不足などで対応不足のケースが多いことが想定され狙われやすくなっている可能性があります。テレワークする場所と企業の情報は結びつきにくいことから無差別攻撃になりやすく、注意が必要です。

脆弱性対策情報の公開に伴う悪用増加(10位)

この脅威は特にネットワーク機器で非常にリスクが高いものになります。VPN機器の脆弱性やCMSの脆弱性の発表など不正アクセスに直結する脆弱性が今年も発表されており、コロナ禍で活発になっている領域は特に狙われやすい状態であると考えられます。

テレワーク時はコミュニケーションコストが増加し情報取得から対応策実行までの時間が長引いてしまうケースがあります。ゼロデイ攻撃に近い感覚で脆弱性が公開された瞬間こうした隙(すき)を突かれ悪用されることがあり、事前に情報取得から対応策実行までのフローをきちんと整備しておかないと大きな被害を受けてしまう可能性も発生してしまします。

ランキングに入っていない≠脅威ではない

「情報セキュリティ10大脅威 2021」の資料にも記載されていますが、ランキングに入っていない脅威は意識しなくても良いというわけではありません。

企業においては各社状況が異なり、環境に応じて優先すべき内容は違います。ランキング外でも重大な影響を及ぼす脅威は数多くあり、さらには今現時点ではランキングに載っていないものの今後流行の兆しを見せている脅威も存在しています。

例えばWEBスキミングはその一例と言えます。

フィッシングサイトは見た目上本サイトと同じにしているもののドメインなどが異なるためしっかりと意識していれば避けることも可能です。しかし、WEBスキミングの場合はフィッシングサイトと同様にフォームに入力した情報を窃取する動きはされるものの、そのフォーム自体は本サイトを利用しているのです。

結果として、利用者は何ら普段と変わりなく購入を完了している裏側で個人情報やクレジットカード情報が窃取されていることになってしまいます。

こうした新たな脅威なども含め、日々情報収集と対応策についての検討が必要であると言えるのです。

ランキングを参考にしつつ全方位的なセキュリティ対策を

「情報セキュリティ10大脅威 2021」は現時点においての脅威のトレンドを把握するための重要な資料と言えます。

トレンドにある脅威についての対策と、自社の立場や環境を考慮した脅威、両面でのセキュリティ対策を検討することが必要になっています。さまざまな脅威を意識した多層防御による全方位的なセキュリティ対策を施すことで本業に注力できる体制を整えることが情シス担当者としての責務ではないかと思います。

トレンドマイクロからのアドバイス

情報セキュリティ対策は自社の状況と言うミクロ観点の対策と同時に、トレンドと言うマクロ観点でも対応が必要です。現在の対策をトレンドに当てはめ、きちんと対応できる状態にあるかを定期的に確認しましょう。

トレンドマイクロでは最新のトレンドを踏まえたうえ未知の脅威にも対応できるさまざまなソリューションを持っています。自社の体制をご確認のうえ、不足している点がありましたらぜひご検討ください。

軽くて・強くて管理負担が少ない中小企業向けクラウドセキュリティ

ウイルスバスター™ビジネスセキュリティサービス(VBBSS)は現場から求められる「速さ」と「防御力」を両立させるとともに、管理者が求める「導入のしやすさ」や「管理のしやすさ」にもこだわったセキュリティ製品です。

従業員数の増減に合わせてPC1台から手軽に導入可能でありながら全PCのセキュリティを遠隔管理できます。

「クラウド型」のため管理サーバも不要で、管理者、ユーザ共に自宅などのテレワーク環境で作業するケースにも対応した管理サーバも不要な管理コスト軽減に貢献できるソリューションとなっています。

事前予防と事後対処を実現するエンドポイントセキュリティ

Trend Micro Apex One SaaSはセキュリティをクラウドからサービスとして提供する (Security as a Service)として、クラウド基盤を活用した新しいインシデント対応を行っています。

管理サーバのメンテナンスを不要とし、自動アップデートにより運用管理工数を大幅に削減、管理コストの最適化を図ることのできる「サービスとしてのセキュリティ (SaaS)」です。

先進技術と実績ある技術を融合したXGen(クロスジェネレーション)のセキュリティアプローチによりスクリプト、インジェクション、ランサムウェア、メモリ、ブラウザ攻撃に対する効果的な保護を実現するほかWebレピュテーション機能によって不正URLへのアクセスをブロックすることでフィッシング被害を抑制することも可能です。

パフォーマンスを損なわずにDC、クラウド、 コンテナ保護

Trend Micro Cloud One - Workload Security™(Cloud One - Workload Security)は脆弱(ぜいじゃく)性や不正プログラムおよび不正な変更などの脅威から、仮想・物理・クラウドおよびコンテナ環境のハイブリッド環境を防御できるソリューションです。

この課題を解決する製品

導入前の製品や購入に
関するお問い合わせ
ご担当者様の課題解決を電話やメールで受け付けます。
製品や購入に関するご不明点がある方はお気軽にご相談ください。

導入前の製品や購入に関する
お問い合わせ

オンライン見積り
トレンドマイクロのセキュリティ対策製品のお見積りを
オンラインでご確認いただけます。

オンライン見積り