【2023年版】IPAが「情報セキュリティ10大脅威」を発表。ランキングから見る脆弱性対策の必要性

情報セキュリティ10大脅威とは、その年に発生した社会的影響力が大きかった情報セキュリティ事案より、脅威候補を選出して専門家や研究者、企業の実務担当者など約200名のメンバーからなる「10大脅威選考会」で審議・投票を行い、決定した脅威ランキングです。

個人と組織の２部門ごとにランキング形式で紹介されており、セキュリティ被害状況の把握や今後のセキュリティ対策を検討する目安となります。

今回は発表された2023年度版の脅威ランキングの概要とランキングから見る脆弱性対策の重要性について紹介します。

「情報セキュリティ10大脅威2023」ランキング一覧

　2023年度版のTOP3は、3年連続で「ランサムウェアによる被害」が1位、続いて「サプライチェーンの弱点を悪用した攻撃」、「標的型攻撃による機密情報の窃取」がランクインし昨年同様の顔ぶれとなりました。そして2022度版では9位にランクインしていた「予期せぬIT基盤の障害に伴う業務停止」が圏外となり、10位に「犯罪のビジネス化（アンダーグラウンドサービス）」が6年ぶりにランクインしました。

2022年も「脆弱性」を悪用した事例が多発

これら脅威TOP10の中でも以下6部門は「脆弱性」による被害で発生した脅威です。

● ランサムウェアによる被害
● サプライチェーンの弱点を悪用した攻撃
● 標的型攻撃による機密情報の窃取
● テレワークなどのニューノーマルな働き方を狙った攻撃
● 修正プログラムの公開前を狙う攻撃
● 脆弱性対策情報の公開に伴う悪用増加

2022年も「脆弱性」を悪用した事例やリモートデスクトップ経由での不正アクセスによる事例が発生していました。最も影響力の大きかった攻撃事案として、恐喝型ランサムウェアで悪名高い犯罪グループ「LAPSUS$（ラプサス）」によるサムスン電子やMicrosoft、Okta、Uberなど業界最大手のデータを盗まれた事案が記憶にあるかと思います。情報の暗号化だけでなく、窃取した情報を公開すると脅す「二重脅迫」に加え、DDoS攻撃を仕掛ける、被害者の顧客や利害関係者へ連絡するとさらに脅す「 四重脅迫 」が新たな手口として2023年度版でも挙げられています。

このような被害にあうと、ビジネスに影響が出るだけではなく、顧客や取引先からの信頼関係にも影響を及ぼす可能性があり、重要な課題として対応する必要があるでしょう。

「犯罪のビジネス化」が新たにランクイン

また6年ぶりに「犯罪のビジネス化（アンダーグラウンドサービス）」がランクインしました。サイバー攻撃が増加している要因の一つとしてプログラミングスキルがない人でも気軽にサイバー攻撃が実行できてしまうことの他にも、近年はサイバー攻撃を請け負う犯罪グループが現れ、ダークウェブ※1上で行われている不正プログラムの売買、それを支援する犯罪者同士のコミュニティ・サービスが登場し経済圏が成立するようになっています。このような状況を「アンダーグラウンドサービス」や「アンダーグラウンドビジネス」といい、サイバー攻撃がビジネス（経済行為）としてなりつつあります。

これらは情報セキュリティ領域だけでなく、大きな社会問題の1つとしてこれから注意をすべき脅威とも言えるでしょう。

※1ダークウェブとは

かつては軍事用に活用されていた匿名性のあるウェブのことで、近年は違法物品や不正に手に入れた個人情報の取引などさまざまなサイバー犯罪に利用されています。

自社の脆弱性対策は適切ですか？

上記で記載した通り、サイバー攻撃の手口や手法は巧妙化する中で、脆弱性対策を確実に適用し、攻撃を受けることを想定した事前準備が重要で単に脆弱性診断サービスやツールを導入さえすれば安全というわけではありません。

Syhuntは、他社にはない検出率の高さと包括的なスキャン機能、非セキュリティ部門でも扱いやすいGUI画面が特長の脆弱性診断ツールです。最新の脅威やサイバー攻撃のトレンドまでも把握できる他、デフォルトで「CVSS」「CWE」「CVE」など国際規格に準拠し、さまざまな脆弱性に合わせた解決方法を提案いたします。

他にも、ダークウェブ上にある企業情報の漏えいを特定する「BREACH機能」と、万一セキュリティ事故が起きた際の攻撃手法を調査する「FORENSIC機能」など、従来の脆弱性診断ツールにはないSyhunt独自の機能があります。Syhuntは脆弱性を検知するだけでなく、情報漏えいの原因調査や再発防止などセキュリティ対策の改善 にもご活用いただけるツールです。