2023/01/31 i-FILTER,m-FILTER,サイバー攻撃
[2023年1月公開]過去3年分の国内セキュリティインシデント集計
2020年から2022年の国内組織における情報漏えい等にかかるセキュリティインシデントを、対象組織による公開報告書およびマスメディアによる報道資料をもとに独自に集計しました【図1】。
※公開済みの記事(※1、※2)と比較すると分類項目によっては数値の増減があります。これは記事作成にあたって、新たに見つかったインシデントの追加や既存インシデントの更新情報の反映/分類の見直し、等を行ったことによります。あらかじめご承知おきくださいますようよろしくお願いいたします。
(※1)2022年上半期国内セキュリティインシデント集計
(※2)[2022年2月公開]過去3年分の国内セキュリティインシデント集計
| 紛失・盗難 | パソコンやUSBメモリといった記録媒体や紙文書の紛失や盗難など |
| 不正アクセス | 脆弱性を突かれるなどして侵入され、情報窃取やWebサイトの改ざん、スパムメールの踏み台にされてしまったなど |
| 誤操作、設定不備 | FAXや書類の誤送付、システムの不具合や人為的な設定不備により意図せず公開されてしまったなど(電子メールでの誤送信は含まない) |
| 業務外利用・不正持出 | 機密情報の無断閲覧や、不正に持ち出した情報を外部の者に譲渡など |
| メール誤送信 | 電子メールで宛先を誤って送信してしまったなど |
| マルウェア感染 | Emotetのようなマルウェア感染やその他ランサムウェアへの感染など |
2022年はインシデント総数が1031件となりました。
目を引くのはやはり昨年比で約10倍となった「マルウェア感染」インシデントでしょう。
「マルウェア感染」インシデント
下図は「マルウェア感染」に分類したインシデントをさらに細かく分類し、それぞれの推移を表したグラフです。
※2023/02/20 追記
Emotetは、「Emotetに感染」という旨の報告があったインシデントを集計対象としています。
ニュースメディア等でもしばしば混同することがある「なりすましメールへの注意喚起」は集計の対象としていません(自組織がEmotetに感染していなくても、取引先が感染してメール情報が窃取されたなどにより、なりすましメールが送信されてしまうことがあります。二次被害の防止のため、なりすましメールへの注意喚起を行っている場合があります)。
Emotetの活動と休止
2022年はEmotet感染報告が急増しました。急増した要因については以前のレポートで触れておりますのでそちらをご参照ください。
2022年上半期国内セキュリティインシデント集計
ただし、感染報告数は下半期以後に少なくなりました。理由は、2022年下半期に入ってすぐの7月中旬からEmotetがメールでの配信活動を休止したためです。その後、一時的に(11月2日から12日頃までの約10日間)活動を観測したものの再び休止。以後、2023年1月末時点までメールでの配信活動を観測しておりません。
年々増加するランサムウェア被害
ランサムウェアによる被害報告も急増しています。Emotetでの数値が大きすぎるため【図2】では少々インパクトが弱く見えてしまいますが、ランサムウェアは昨年比で2倍、一昨年と比較すると6倍の数値となっています。
◇ランサムウェアの感染経路
ランサムウェアはどこから侵入されてしまうのでしょうか。本集計では一般に公開されたインシデント報告を確認しており、侵入経路に関する情報はあまり多く公開されていません。
しかし、警察庁が公開しているデータでは感染経路等の数値を確認することが可能です。警察庁のデータ(※3)によると、(被害組織名などは公開されていませんが)企業・団体等におけるランサムウェア被害報告が2022年上半期だけで114件もあったとのことです。このうち警察庁が感染経路について質問した際の有効回答数は47件あり、結果は【図3】のようになっています。
(※3)出典:「令和4年上半期におけるサイバー空間をめぐる脅威の情勢等について」(警察庁)
回答結果では「VPN機器からの侵入」がトップで68%、次いで「リモートデスクトップからの侵入」が15%と、リモートアクセス経由での侵入が8割以上となっていました。また、「不審メールやその添付ファイル」が9%となっていることも見逃せません。
「その他」は警察庁のデータからは読み取れませんが、ランサムウェアの感染経路として考えられるものは他にもあります。例えば、事前に感染させたEmotetのようなマルウェアが後からランサムウェアを呼び込み感染させるといったパターン。他にも、ネットワーク的に信頼関係にある他の組織が侵害されそこを足がかりに自組織にも侵入・感染といったパターン、といったものも考えられるでしょう。
被害組織
セキュリティインシデントはテレビニュースになっているような有名企業だけで発生しているわけではありません。【図4】は2022年の「マルウェア感染」に分類したものだけになりますが、インシデントの報告があった組織の所在地をマーキングした地図です(※4)。
(※4)本社等の報告組織の代表となっている所在地をマーキング。そのため、例えば地方の支店でインシデントが発生しても、本社がある都市部にマーキングしているものがあります。
自治体や公立学校や医療機関など様々な組織で、規模の大小も関係なく、北海道から沖縄まで日本全国において「マルウェア感染」インシデントが発生しました。
委託先からの情報漏えい、サプライチェーンの弱点を悪用した攻撃の増加
昨今では自組織を起因としたものではなく、委託先組織が起因となった情報漏えいインシデントが相次いで発生しています。他にも海外子会社や関係組織が不正アクセスを受け、そこから国内の本社や生産拠点へも侵入されて影響を受けるといった事例も発生しています。
IPAが選出する情報セキュリティ10大脅威 2023(IPA)では「サプライチェーンの弱点を悪用した攻撃」が組織編で2位となるなど深刻な脅威となっていることがうかがえます。
2022年にも多く発生しましたが、一例として下記のようなインシデントが挙げられます。
まとめ
昨年2022年が始まって早い時期の3月1日には、7省庁から(経済産業省、金融庁、総務省、厚生労働省、国土交通省、警察庁、内閣官房内閣サイバーセキュリティセンター)連名で注意喚起が出されました(※5)。
(※5)出典:「サイバーセキュリティ対策の強化について(注意喚起)」(総務省)
しかしながら、その後もセキュリティインシデントは発生し続けています。上記の注意喚起において掲げられていた対策を下に引用します。こちらを参考にいま一度セキュリティを見直し、対策を強化しましょう。
- リスク低減のための措置
- ○パスワードが単純でないかの確認、アクセス権限の確認・多要素認証の利用・不要なアカウントの削除等により、本人認証を強化する。
- ○IoT 機器を含む情報資産の保有状況を把握する。特にVPN装置やゲートウェイ等、インターネットとの接続を制御する装置の脆弱性は、攻撃に悪用されることが多いことから、セキュリティパッチ(最新のファームウェアや更新プログラム等)を迅速に適用する。
- ○メールの添付ファイルを不用意に開かない、URLを不用意にクリックしない、連絡・相談を迅速に行うこと等について、組織内に周知する。
- インシデントの早期検知
- ○サーバ等における各種ログを確認する。
- ○通信の監視・分析やアクセスコントロールを再点検する。
- インシデント発生時の適切な対処・回復
- ○データ消失等に備えて、データのバックアップの実施及び復旧手順を確認する。
- ○インシデント発生時に備えて、インシデントを認知した際の対処手順を確認し、対外応答や社内連絡体制等を準備する。
2023年もランサムウェアの脅威は続くでしょうし、活動休止中のEmotetはまたいつ再開するとも限りません。引き続き警戒が必要です。
セキュリティインシデントはどこでも起こり得るものです。どんな小さな組織であっても、都市部から離れた地域にあったとしても、他人事ではなくすぐ近くにあるものとして認識し、セキュリティ対策をおろそかにしないようにしてください。
また自組織だけでなく、自組織を起因として他の組織へ被害を与えてしまったり、逆に他の組織が起因となって被害を受ける可能性も考えられます。自組織が実施するセキュリティ対策はもちろん、取引先や委託先側の情報セキュリティ対策の確認や監査といったことも検討し、サプライチェーン全体を視野に入れ被害が発生しにくい環境を目指すべきでしょう。