IPA「情報セキュリティ10大脅威2021」詳細解説：ランサムウェアによる被害とテレワークを狙った攻撃

2021年2月、情報処理推進機構（以下、IPA）より「情報セキュリティ10大脅威2021」の解説書が公開されました。（注1）

「情報セキュリティ10大脅威」とは
情報セキュリティ10大脅威2021【組織編】ランクイン一覧
1位：ランサムウェアによる被害
1. ランサムウェアによる国内インシデント事例
2. ランサムウェアによる被害防止対策
3位：テレワーク等のニューノーマルな働き方を狙った攻撃
まとめ
出典

「情報セキュリティ10大脅威」とは

例年、情報セキュリティ10大脅威は、その公開の前年に発生したインシデント等の事案のうち、社会的に影響が大きかったと考えられる事案についてIPAが候補を選出します。その後、情報セキュリティ分野の研究者、企業の実務担当者などのメンバーからなる「10大脅威選考会」の審議・投票により決定されるもので、近年では毎年サイバーセキュリティ月間（2月1日〜3月中旬）にあわせてその詳細の公開が行われています。

セキュリティ従事者がセキュリティを語る上で、「敵を知り己を知れば百戦危うからず」という孫子の兵法書に出てくる有名な一節が用いられることがしばしばありますが、10大脅威はまさにサイバー脅威の社会的トレンドを知り、その対策を検討する上で有用な情報となります。

前述の孫子の兵法書の一節に照らし合わせるなら、「敵（サイバー脅威）を知り、己（自社の対策状況）を知れば百戦（業務遂行も）危うからず」というわけです。

情報セキュリティ10大脅威2021【組織編】ランクイン一覧

10大脅威は「個人」「組織」のそれぞれ異なる立場にて、それぞれの脅威が順位付けされていますが、今回は「組織」に対する脅威の中から、1位と3位にランクインした脅威の内容とその対策についてご紹介したいと思います。

1位：ランサムウェアによる被害（昨年順位5位）
2位：標的型攻撃による機密情報の窃取（昨年順位1位）
3位：テレワーク等のニューノーマルな働き方を狙った攻撃（NEW）
4位：サプライチェーンの弱点を悪用した攻撃（昨年順位4位）
5位：ビジネスメール詐欺による金銭被害（昨年順位3位）
6位：内部不正による情報漏えい（昨年順位2位）
7位：予期せぬIT基盤の障害に伴う業務停止（昨年順位6位）
8位：インターネット上のサービスへの不正ログイン（昨年順位16位）
9位：不注意による情報漏えい等の被害（昨年順位7位）
10位：脆弱性対策情報の公開に伴う悪用増加（昨年順位14位）

なお、10大脅威の順位は投票結果により重要度が高いものが上位の順位とされていますが、それ自体が各社においての対策の優先度に直結するものではありません。また、昨今のサイバー脅威を網羅的に示すものでもない点について注意が必要です。特に順位については、その高低に関わらず、自社の環境を考慮して対策の優先度を設定し、適切な対応を取る必要があります。

1位：ランサムウェアによる被害

1位には、ランサムウェアによる被害がランクインしました。昨年5位から本年1位へのランクアップで、10大脅威の中でも特に注視されている脅威であると言っても過言ではありません。

ランサムウェアとは、主にPC、サーバ、スマートフォン等に感染するウイルスの一種です。このウイルスへの感染によって、データの一部が暗号化され利用できなくなったり、画面がロックされて端末に対して特定の操作以外を受け付けなくなったりします。ランサムウェアをばらまいているサイバー犯罪者は、それらの環境を復旧するために金銭（クレジットカード番号や仮想通貨）を要求するため、ランサム（ransom：身代金）ウェアと呼ばれます。

ランサムウェアによる国内インシデント事例

近年では、サイバー犯罪者がデータを暗号化する前に窃取しておき、金銭を支払わなければ、感染端末より窃取したデータをWebサイト（リークサイト）に公開する等と脅迫をするケースが見受けられます。

具体的には、まずサイバー犯罪者はランサムウェアに感染した端末よりデータを窃取し、窃取した証拠としてデータの一部をリークサイトに公開します。そして身代金の支払い期日を設定し、期日までに金銭が支払われなければ、窃取した全データを公開する、と脅迫する手口です。

2020年の国内事例としては、大手ゲームメーカーのカプコン（注2）や、中堅ゼネコンの鉄建建設（注3）が同手口による被害に遭ったことを公表しています。

なお、本インシデントへの対応に際し、両社ともサイバー犯罪者による身代金の支払い要求には応じていません。データの公開を阻止し、かつ暗号化されたデータが復号可能になるという確証がないことや、身代金を支払うことが犯罪者集団に利益をもたらすことになり得る（そして新たな犯罪資金になり得る）ことなどを鑑みれば、身代金の支払い要求に応じないことは、妥当な意思決定ではないでしょうか。

ランサムウェアによる被害防止対策

このようなランサムウェアによる被害を防止もしくは被害発生による影響を最小化するために、IPAでは基本的対策（ソフトウェアの更新、セキュリティソフトの利用、パスワードの管理・認証の強化、設定の見直し、脅威・手口を知る）の実施や、バックアップの取得およびバックアップデータの定期的な復旧テストなど、いくつかの対応策を提示しています。※詳細については10大脅威解説書をご参考ください

なお、筆者の経験則では、定期的にバックアップを取得はしているものの、定期的な復旧テストまでは実施していない企業が未だ多いという印象です。本来、バックアップは復旧ができなければ、それを取得すること自体に意味がなくなってしまいますので、定期的な復旧テストを実施することが運用に組み込まれていない企業様では、この機会にインシデント発生時への備えとしてご検討・実施頂くことを強く推奨いたします。

3位：テレワーク等のニューノーマルな働き方を狙った攻撃

3位には、新たに「テレワーク等のニューノーマルな働き方を狙った攻撃」がランクインしました。これは新型コロナウイルス感染症の蔓延に伴い、急速に進んだテレワークなどのニューノーマルな働き方に対するサイバー脅威全般を示すテーマですが、2020年には以下のような事案が確認されています。

脆弱性の悪用によるSSL-VPN製品（Pulse Secure）のパスワード流出

2020年8月、ZDNetがハッカーにより900件を超えるSSL-VPN製品（Pulse Secure）のIPアドレスやバージョン、認証情報（ユーザ名、パスワード）等のリストが公開されていることを報じました。（注4）

本事案の起因となった脆弱性については、2019年4月には脆弱性情報がPulse Secureより公開されておりました。しかし、当該の脆弱性を修正するためのパッチを適用していない製品環境が多数残存しており、本事案が発生するに至ったものと推測されます。

在宅勤務中にウイルス感染した端末により、社内ネットワークで感染が拡大

2020年8月、三菱重工業は三菱重工グループ名古屋地区のネットワークに対し、第三者からの不正アクセスがあったことを確認したと発表しました。（注5）

本インシデントの起因は、従業員が在宅勤務のために持ち出した社有PCにありました。当該従業員は在宅勤務時、セキュリティが確保された社内ネットワークを経由せずに直接外部ネットワークに接続しSNSを利用、その際に当該PCがウイルスに感染しました。その後、当該従業員が出社し、社内ネットワークに当該PCを接続した際に社内ネットワークにウイルスが持ち込まれ、ネットワーク経由で感染拡大が引き起こされたのです。

Zoom ・TeamsなどWeb会議サービスの脆弱性

テレワークの拡大にあわせてZoomやMicrosoft TeamsなどのWeb会議サービスが利用されるケースも増えました。Zoomについては新型コロナウイルスのパンデミックと関連して利用者が急増した結果、もともと確認されていたいくつかの脆弱性が問題として取り上げられるようになり、2020年3月以降には、初期設定の変更やプログラム更新などで適宜修正されています。脆弱性対策情報を日ごろから収集し、修正プログラムがリリースされた際に速やかに適用する等の対策実施を行うことが求められます。

また、Cisco Webex Meetings・Zoom・Microsoft Teamsに関して総務省から中小企業等担当者向けテレワークセキュリティの手引き（チェックリスト）関連資料として設定解説資料が出されているので参考にしてください。（注6）

テレワーク下に必要な企業のセキュリティ対策

テレワーク等のニューノーマルな働き方によって発生した事案に対して、IPAでは「テレワーカー」「経営者層」「セキュリティ担当者、システム管理者」の観点で、それぞれが取るべきアクションとして、対応策を示しています。

特にニューノーマルな働き方に対する脅威については、テレワークという統制が難しい環境下であるという前提からも、単に技術施策を講じるだけではあまり意味がありません。基本的対策（ソフトウェアの更新、セキュリティソフトの利用、パスワードの管理・認証の強化、設定の見直し、脅威・手口を知る）の実施に加え、セキュリティポリシーの策定、規程類の整備、従業員の情報リテラシーや情報モラルの向上などの取り組みや、インシデント発生時の対応体制の整備など、その対策・対応範囲は技術・組織・人など、多岐に渡ります。

まとめ

現在、新型コロナウィルス感染症の流行により、多くの企業でテレワークの導入が急加速しています。しかしながら、突然の事態に戸惑っている経営者様も多いのではないでしょうか。テレワークは日常業務における利便性の向上のみならず、今回のような緊急事態において業務継続のため有効な手立てとなります。

一方で、十分なセキュリティ対策を行っていなければ、今回ご紹介したようなランサムウェアによる被害やマルウェア感染による情報漏えい、通信傍受といったリスクが高まります。

「敵（サイバー脅威）を知り、己（自社の対策状況）を知れば百戦（業務遂行も）危うからず」と冒頭にお伝えしたように、これらの課題を解決するにはセキュリティ状況を把握し、リスクを見える化することも重要です。

弊社では「P-SS 情報セキュリティ評価サービス」を通じて、セキュリティ対策状況を把握し、どこに弱点があるか、攻撃を受けやすい脆弱性があるかを可視化、必要な対策の優先順位をつけることを可能にします。

⇒「P-SS 情報セキュリティ評価サービス」｜PNC株式会社
https://www.pnc.jp/pss.html

ご興味がございましたら、ぜひお問い合わせください。

出典

注1：「情報セキュリティ10大脅威 2021」IPA 独立行政法人情報処理推進機構,2021年2月26日（最終確認日：2021年3月19日）
https://www.ipa.go.jp/security/vuln/10threats2021.html
注2：「不正アクセスによる情報流出に関するお知らせとお詫び」株式会社カプコン,2021年1月12日（最終確認日：2021年3月19日）
https://www.capcom.co.jp/ir/news/html/210112.html
注3：「サイバー攻撃による被害と復旧状況について（第三報）」鉄建建設株式会社,2020年11月18日（最終確認日：2021年3月19日）
https://www.tekken.co.jp/topics/assets/20201118_saibaosirase.pdf
注4：「Hacker leaks passwords for 900+ enterprise VPN servers」ZDNet,2020年8月4日（最終確認日：2021年3月19日）
https://www.zdnet.com/article/hacker-leaks-passwords-for-900-enterprise-vpn-servers/
注5：「当社グループ名古屋地区のネットワークに対する第三者からの不正アクセスに係る件」三菱重工業株式会社,2020年8月7日（最終確認日：2021年3月19日）
https://www.mhi.com/jp/notice/notice_200807.html
注6：「中小企業等担当者向けテレワークセキュリティの手引き（チェックリスト）設定解説資料（Cisco Webex Meetings）（Microsoft Teams）（Zoom）」総務省サイバーセキュリティ統括官室,2020年9月11日（最終確認日：2021年3月19日）
https://www.soumu.go.jp/main_sosiki/cybersecurity/telework/