情報セキュリティ10大脅威 2023
2023年2月28日、IPA (情報処理推進機構)より「情報セキュリティ10大脅威2023」および関連資料が公開されました。順位は、2022年に発生した情報セキュリティにおける事案から IPA が脅威候補を選出し、研究者や企業の実務担当者などの審議・投票で決定したものです。今回はその中で、今年新たにランクインした「犯罪のビジネス化(アンダーグラウンドサービス)」について一部抜粋してご紹介します。
情報セキュリティ10大脅威 2023 「組織」向けの脅威の順位
順位 | 「組織」向け脅威 | 昨年順位 |
---|---|---|
1位 | ランサムウェアによる被害 | 1位 |
2位 | サプライチェーンの弱点を悪用した攻撃 | 3位 |
3位 | 標的型攻撃による機密情報の窃取 | 2位 |
4位 | 内部不正による情報漏えい | 5位 |
5位 | テレワーク等のニューノーマルな働き方を狙った攻撃 | 4位 |
6位 | 修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃) | 7位 |
7位 | ビジネスメール詐欺による金銭被害 | 8位 |
8位 | 脆弱性対策情報の公開に伴う悪用増加 | 6位 |
9位 | 不注意による情報漏えい等の被害 | 10位 |
10位 | 犯罪のビジネス化(アンダーグラウンドサービス) | NEW |
10位 犯罪のビジネス化(アンダーグラウンドサービス)
犯罪に使用するためのサービスやツール、IDやパスワードの情報等がアンダーグラウンド市場で取り引きされ、これらを悪用した攻撃が行われている。攻撃に対する専門知識が無い者でも、サービスやツールを利用することで容易に攻撃を行えるため、サービスやツールが公開されると被害が広がるおそれがある。
攻撃手口
- ツールやサービス、認証情報を購入し攻撃
- アンダーグラウンドで購入したサービスやツールを利用して攻撃を行う。脆弱性の悪用やボットネットの利用等、ツールやサービスの種類によって攻撃方法は異なる。また、IDやパスワード等の認証情報を利用して、ウェブサービス等に不正ログインを行う。
対策/対応
- 組織としての体制の確立
-
- インシデント体制の整備、対応
- 被害の予防
-
- DDoS 攻撃の影響を緩和する ISP(インターネットサービスプロバイダ)や CDN(コンテンツデリバリーネットワーク)等のサービスを利用
- システムの冗長化等の軽減策
- サーバーやクライアント、ネットワークに適切なセキュリティ対策
- 添付ファイルの開封、メールやSMSのリンク、URLのクリック防止
- 多要素認証等の強い認証方式の利用
- 被害の早期検知
-
- 不審なログイン履歴の確認
- ダークウェブを監視し、自組織情報流出の有無を確認
- 被害を受けた後の対応
-
- 適切な報告/連絡/相談
- 通信制御(DDoS 攻撃元をブロック等)
- ウェブサイト停止時の代替サーバーの用意と告知手段の整備
- インシデント体制の整備、対応
- 適切なバックアップ運用
情報セキュリティ対策の基本
攻撃の糸口 | 情報セキュリティ対策の基本 | 目的 |
---|---|---|
ソフトウェアの脆弱性 | ソフトウェアの更新 | 脆弱性を解消し攻撃によるリスクを低減する |
ウイルス感染 | セキュリティソフトの利用 | 攻撃をブロックする |
パスワード窃取 | パスワードの管理・認証の強化 | パスワード窃取によるリスクを低減する |
設定不備 | 設定の見直し | 誤った設定を攻撃に利用されないようにする |
誘導(罠にはめる) | 脅威・手口を知る | 手口から重要視するべき対策を理解する |
事例88
コンタクトセンター支援事例
繋がらないコンタクトセンターを脱却!
リソース不足の解消と運用整備により応答率大幅アップ
クライアント企業プロフィール
- 事業内容
- 医療機器製造・販売
- 従業員数
- 約700人
背景
- コンタクトセンターの運用整備がされておらず対応内容の専門性も高いため、熟練社員が経験を頼りに応対していた
- 問合せ数に対してオペレーター数が不足しており、電話の応答率が50%を下回るなどひっ迫していた
- 教育する時間を確保できず、教育コンテンツも不十分なため増員に着手できない状況だった
支援内容
成果
- スキル定義、およびアウトソース可能な業務範囲の明確化を行い、増員可能な体制を構築。
- スキル設定に応じたマニュアルや教育コンテンツを作成することで属人化を解消し、クライアント社員の戦略的ローテーションが可能な体制を構築。
- 6名体制から10名体制に強化したことにより人的リソース不足を解消。従来50%ほどであった応答率を80%前後まで上げることに成功。