サイバー攻撃は年々巧妙化・悪質化してきている。引き続き勢いを増すランサムウェア攻撃や、広がるサプライチェーンリスクに加え、内部脅威によるセキュリティーインシデントも後を絶たない。また、世界情勢に起因した地政学的リスクなど、多くの脅威が存在する。情報処理推進機構(IPA)が1月に発表した「情報セキュリティ10大脅威 2025」を参考に、脅威の傾向や対策を分析する。
(取材・文/大向琴音)
拡大するランサムウェア被害
情報セキュリティ10大脅威は、セキュリティー分野の研究者や企業の実務担当者などの有識者約200人で構成される選考会が、最新のセキュリティー脅威について審議・投票し、決定する。組織編と個人編を発表しているが、個人編については「個人ユーザーが順位を“危険度”と誤って認識してしまうと、下位の脅威への注意がおろそかになることを懸念した」(IPA)ため、24年から順位付けを廃止した。組織編についても、順位にかかわらず組織が置かれている立場や環境を考慮し、各項目の優先度を検討し対応していく必要があるとしているほか、ランクインした脅威が全てではなく、継続した対策が重要だとしている。
篠塚耕一 主幹
25年版組織編について、IPAのセキュリティセンター対処調整部脆弱性対策グループの篠塚耕一・主幹は「基本的には例年とほぼ変わらない脅威が並んでいるが、以前と比べて手口が巧妙化・悪質化してきているという特徴がある」と総括する。
1位は「ランサム攻撃による被害」、2位が「サプライチェーンや委託先を狙った攻撃」となり、昨年と同じ並びだった。ランサムウェア攻撃は、PCやサーバーのデータを暗号化し、復旧のための鍵と引き換えに金銭を要求する攻撃手法だが、篠塚主幹は、「最近は“ノーウェアランサム”といって、暗号化をせずに、盗み出した情報を公開すると脅し、金銭を要求する攻撃がはやってきている」と傾向を説明。また、ランサムウェア攻撃に必要な機能などを包括的にサービスとして提供するRaaS(Ransomware as a Service)の利用や、DDoS攻撃を仕掛けると脅迫する「ランサムDDoS攻撃」の増加などが確認されているとする。
24年6月、大手出版社のKADOKAWAグループは、ランサムウェアを含む大規模なサイバー攻撃を受けたことで、個人情報などが流出し、ダークウェブ上で公開された。ほかにも、規模問わずさまざまな企業や機関などから被害が報告されており、ランサムウェア攻撃は社会に大きな影響を与えている。
サプライチェーン攻撃は、セキュリティーが強固な企業を直接攻撃するのではなく、関連会社や取引先などの外部組織を通じて侵入し情報を窃取するケースと、ソフトウェアサプライチェーンと呼ばれるソフトウェア開発・提供の工程の中で、ライブラリーやアップデートプログラムなどの中にマルウェアを混入させるケースの二つがある。
企業間のサプライチェーンでは、24年5月、情報処理サービスなどを手掛けるイセトーがVPN機器を侵入経路にされ、端末やサーバーがランサムウェアに感染。同社に業務委託していた企業が保有する個人情報などが流出した。企業間のサプライチェーンのセキュリティー強化に向けては、親会社などエコシステムの中核企業がかじを取りルールを明確化したり、業界団体が発行するガイドラインを参考にリスク管理を徹底したりするのが有効だ。
ソフトウェアサプライチェーンについては、オープンソースソフトウェア(OSS)の開発者が不正プログラムを仕込み、利用者が被害を受けるなどのケースがみられることから、利用する製品やサービスの提供業者自体に問題がないかなどをきちんと確認するなどの対策がより重要になってくる。
5位の「機密情報等を狙った標的型攻撃」は、長年登場する外部脅威だ。IPAは解説書で、標的型攻撃とは「特定の組織(民間企業、官公庁、団体など)を狙う攻撃のことであり、機密情報などの窃取や業務妨害を目的としている」と説明。組織が利用するクラウドサービスやWebサーバー、VPNといった製品の脆弱性を突いて認証情報を搾取し、その認証情報を利用して攻撃する不正アクセス、メールの添付ファイルやメール本文に記載したリンクにマルウェアを仕込むといったメールを使った攻撃などを代表的な攻撃手口として紹介している。
24年12月下旬から25年1月上旬にかけて、金融機関や航空会社などがDDoS攻撃を受けサービスの提供ができない状況に陥り、社会に大きな打撃を与えたことなどを理由に、「分散型サービス妨害攻撃(DDoS攻撃)」が5年ぶりに選出され8位となった。
近年は、ランサムウェア攻撃、サプライチェーン攻撃、標的型攻撃、DDoS攻撃が単体ではなく、それらを組み合わせた攻撃が主流のため、さまざまな局面に対応できる環境を構築する必要性が高まっている。
後を絶たない内部からの情報漏えい
4位に「内部不正による情報漏えい等」、10位に「不注意による情報漏えい等」がランクインしたことからは、依然として内部脅威によるセキュリティーインシデントのリスクが高いことがうかがえる。内部不正による情報漏えいには、従業員や元従業員などの関係者が意図的に機密情報を持ち出したり、社内データを削除したりするほかにも、情報管理のルールを守らずに情報を持ち出した結果、紛失や情報漏えいを起こしてしまうケースもある。24年11月、アクシスコンサルティングは、元従業員が在職中に社内情報を持ち出したことによる情報漏えいが起こったと発表。顧客と取引先の1306人分の個人情報が漏えいした。
不注意による情報漏えいの要因については、機密情報を取り扱う担当者の情報リテラシーが低い、取り扱いのプロセスに不備がある場合などが挙げられる。これらを防止するには、自動化やシステム化によって不注意などによるヒューマンエラーを回避することや、メールの誤送信対策などが有効だとしている。
地政学的リスクが初登場
多くのサイバー攻撃は機器やシステムの脆弱性を悪用していることから、3位には「システムの脆弱性を突いた攻撃」が入った。24年は7位だったが、24年5位の「修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃)」を統合した影響があるとしており、篠塚主幹は「元々は統合されていた項目だったが、22年のタイミングでゼロデイ攻撃をより一般に認知させようとの意図で分割した。認知が広まったため、また元に戻した」と説明する。パッチや回避策が公開されてからユーザーが対策するまでの期間の脆弱性を悪用する「Nデイ攻撃」も存在するため、パッチや回避策の提供が迅速な製品を利用することなどが大切となるという。
25年版では、新たに「地政学的リスクに起因するサイバー攻撃」が7位となった。解説書では、外交・安全保障上の対立をきっかけとした嫌がらせ・報復や、周辺国の機密情報などを盗み出すといった目的のために攻撃に手を染める国が存在するとしている。手口としては、DDoS攻撃やランサム攻撃、フィッシング、電話やメールでのなりすまし、SNSを利用した接触などによって機密情報の窃取やフィッシングサイトの拡散を狙うソーシャルエンジニアリング、などが挙げられている。国際情勢が不安定な昨今、他国家からの攻撃に対して組織は、地政学的リスクに関する情報収集をはじめとして、事業への地政学的リスクの影響調査やインシデント対応の体制の整備といった備えをすることが重要だとする。
テレワーク、ハイブリッドワークが一般化したことにより、6位には「リモートワーク等の環境や仕組みを狙った攻撃」が選ばれた。攻撃手口としては、VPN機器などリモートワーク用の製品やデバイスの脆弱性や設定ミスを突く攻撃や、過去に漏えいしたアカウント情報を不正に利用し社内システムに侵入して不正アクセスを行う、会社から支給されたPCを標的にマルウェアを仕込んだメールなどを送り業務や認証に関する情報を盗み出す、などが挙げられている。
9位には8年連続で「ビジネスメール詐欺」が入った。海外ではなりすましメールを通じて、映像や音声にディープフェイクを用いたビデオ会議に誘導し大きな金銭被害が出た事件が発生するなど、技術の進化に伴って手口が巧妙化しているため、より一層の注意が必要だ。
篠塚主幹は「手口は進化していくが、基本的に対策はあまり変わらない」と見解を示す。解説書には、▽認証を適切に運用する▽情報リテラシー、モラルを向上させる▽添付ファイルの開封やリンク・URLのクリックを安易にしない▽適切な報告/連絡/相談を行う▽インシデント対応体制を整備し対応する▽サーバーやPC、ネットワークに適切なセキュリティー対策を行う▽適切なバックアップ運用を行う―の七つの「共通対策」を掲載。セキュリティー対策の参考にすることを推奨する。
生成AI利用におけるセキュリティー対策
コラムとして「生成AIの使い方、大丈夫そ?」が掲載された。「世間での(生成AIの)認知度が高まってきており、注意喚起をするなら今だと考えコラムに入れている」(篠塚主幹)とする。コラムでは、生成AIに関連するセキュリティー事案や生成AIを活用した攻撃の手口を示しながら、適切な使い方を学んでおくことが重要と訴えている。生成AIを起因としたセキュリティー事件は海外での事例が多く、日本では目立った事件はほとんど起きていないものの、業務における生成AIの利用が拡大する中では、セキュリティー対策の整備が不可欠だ。
