独立行政法人情報処理推進機構（IPA）は2022年1月27日、国内におけるセキュリティ脅威をとりまとめた「情報セキュリティ10大脅威2022」を公表しました。

同資料は1年間で確認されたサイバー攻撃の種類や被害傾向などを分析し、ランキング形式で格付けしたものです。ランキングは個人と法人の2部門に分割され、それぞれ有識者150名が投票することにより順位付けが行われています。

 

↑画像は、IPAプレス発表 「情報セキュリティ10大脅威 2022」を決定（https://www.ipa.go.jp/files/000095773.pdf）より引用

 

組織の順位では、10 の脅威のうち 9 個が昨年と同じでした。

昨年 8 位だった「インターネット上のサービスへの不正ログイン」に替わって、「修正プログラムの公開前を狙う攻撃（ゼロデイ攻撃）」が初登場で 7 位となりました。ゼロデイ攻撃は、修正プログラムが提供される前の脆弱性を悪用した攻撃です。

2021 年 12 月には Java 用のログ出力ライブラリである「Apache Log4j」の脆弱性対策情報が、すでに攻撃が観測されているとの情報と同時に公開されました。

「Apache Log4j」は、ウェブサイトのバックエンドにあるウェブサーバーなどで行われた操作を記録する機能をもつプログラムの部品のようなもので、世界中のプログラムで広く使われているため、大きな話題となりました。

ゼロデイ攻撃の場合、修正プログラムが提供された時点ですでに攻撃が行われているため、脆弱性対策に加え、外部からの侵入を検知/防御する機器を導入するなどの備えが重要です。

 

組織の 1 位は、昨年に引き続き「ランサムウェアによる被害」でした。2021 年も国内の企業や病院などのランサムウェア被害が報道され、大きな話題となりました。

近年のランサムウェア攻撃は、標的型攻撃と同様の手法で企業・組織のネットワークに侵入したり、データを暗号化するだけでなく窃取して公開すると脅したりして、身代金を支払わざるを得ないような状況を作り出します。

標的型攻撃と同等の技術が駆使されるため、この攻撃への対策は、例えば、ウイルス対策、不正アクセス対策、脆弱性対策など、基本的な対策を、確実かつ多層的に適用することが重要です。

また、どの組織でも被害に遭う可能性があることを念頭において、バックアップの取得や復旧計画を策定するなど、事前の準備が重要です。

 

 

FISソリューションズでは年々巧妙化するサイバー攻撃から企業を守るため、様々な解決策をご提案が可能です。

ご興味をお持ちのお客様はお気軽にアイコン担当にご相談下さい。