情報セキュリティ10大脅威 2022
2022年3月10日、IPA (情報処理推進機構)より「情報セキュリティ10大脅威2022」および関連資料が公開されました。順位は、2021年に発生した情報セキュリティにおける事案から IPA が脅威候補を選出し、研究者や企業の実務担当者などの審議・投票で決定したものです。今回はその中で、今年新たにランクインした「修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃)」について一部抜粋してご紹介します。
情報セキュリティ10 大脅威 2022 「組織」向けの脅威の順位
順位 | 「組織」向け脅威 | 昨年順位 |
---|---|---|
1位 | ランサムウェアによる被害 | 1位 |
2位 | 標的型攻撃による機密情報の窃取 | 2位 |
3位 | サプライチェーンの弱点を悪用した攻撃 | 4位 |
4位 | テレワーク等のニューノーマルな働き方を狙った攻撃 | 3位 |
5位 | 内部不正による情報漏えい | 6位 |
6位 | 脆弱性対策情報の公開に伴う悪用増加 | 10位 |
7位 | 修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃) | NEW |
8位 | ビジネスメール詐欺による金銭被害 | 5位 |
9位 | 予期せぬIT基盤の障害に伴う業務停止 | 7位 |
10位 | 不注意による情報漏えい等の被害 | 9位 |
7位 修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃)
ソフトウェアの脆弱性が発見され、脆弱性の修正プログラム(パッチ)や回避策が公開される前に脆弱性を悪用したサイバー攻撃が行われることがある。これをゼロデイ攻撃と呼ぶ。多くのシステムで利用されているソフトウェアに対してゼロデイ攻撃が行われると、社会が混乱に陥るおそれがある。
攻撃手口
- ソフトウェアの脆弱性を悪用
- 開発ベンダー等が修正プログラムを公開する前に、攻撃者がソフトウェアの脆弱性を悪用して攻撃する。脆弱性の内容により、攻撃方法は様々であり、その被害も情報漏えいや改ざん、ウイルス感染等、様々である。
情報セキュリティ対策の基本
攻撃の糸口 | 情報セキュリティ対策の基本 | 目的 |
---|---|---|
ソフトウェアの脆弱性 | ソフトウェアの更新 | 脆弱性を解消し攻撃によるリスクを低減する |
ウイルス感染 | セキュリティソフトの利用 | 攻撃をブロックする |
パスワード窃取 | パスワードの管理・認証の強化 | パスワード窃取によるリスクを低減する |
設定不備 | 設定の見直し | 誤った設定を攻撃に利用されないようにする |
誘導(罠にはめる) | 脅威・手口を知る | 手口から重要視するべき対策を理解する |
対策/対応
- 被害の予防
-
- 「情報セキュリティ対策の基本」を実施
- 資産の把握、対応体制の整備
- ネットワークの監視および攻撃通信の遮断
- EDR 等を用いたエンドポイントの監視、防御
- セキュリティのサポートが充実しているソフトウェアやバージョンを使用
- 利用するソフトウェアの脆弱性情報の収集と周知
- 攻撃の予兆/被害の早期検知
-
- UTM、IDS/IPS、WAF、仮想パッチ等の導入
- 修正プログラムリリース前の対応
-
- 回避策や緩和策の適用
- 当該ソフトウェアの一時的な使用停止
- 修正プログラムリリース後の対応
-
- 修正プログラムの適用
- 被害を受けた後の対応
-
- 組織の方針に従い各所へ報告、相談
- 影響調査および原因の追究、対策の強化
事例76
基幹ワークフローの電子帳簿保存法対応事例
改正電子帳簿保存法に対応!電子署名システムの機能を活用し
ボタン1つでワークフローの承認から保管までを実現!
クライアント企業プロフィール
- 事業内容
- 酒類・食品関連消費財の卸売業
- 従業員数
- 約5,000名(連結)
背景
- ワークフローシステムを導入していたが、電子署名の仕組みは未導入だった
- 電子帳簿保存法改正のため、書類の電子保存をしなければならないが、対応できていなかった
- 個別の電子化ツールはあるが、それぞれを連携させる仕組みがなかった
<支援前>
ワークフローで承認後、手作業で署名し印刷した紙をPDFで保存
<支援後>
ワークフローで承認後、電子署名とクラウドストレージへの保存が完全自動化
- 関係部署の要望をヒアリングし、データ連携の流れを設計
- 連携アプリを構築し、データ連携に必要な機能を開発
<データ連携 概要図>
成果
- 契約書起票から保管までの工程が全て電子化したことにより、工数の大幅削減が実現。
- 書類を電子保存することにより、電子帳簿保存法改正対応が可能に。