uma3blog

気が向いたことを稀になんかいろいろ書きます。

情報セキュリティ10大脅威 2021

情報セキュリティ10大脅威 2021が発表されましたね。

www.ipa.go.jp


やはりというか、新型コロナ関連でランクアップや新たにランクインしているものが見受けられます。


個人3位に昨年7位の「ネット上の誹謗・中傷・デマ」がきました。

確かに、新型コロナという一般人への影響度が高いかつ不確実要素満載の物事が出てきたことにより、視野が狭く思考が浅薄かつ感情的な人が各種メディアの扇動により他者を攻撃しているというイメージがありますね。
三次情報を鵜呑みにしちゃダメということですね。特にこのような前例のないことに対しては。


組織3位に「テレワーク等のニューノーマルな働き方を狙った攻撃」が新たにランクインしています。

これまで出社前提で業務を行っていた多数の企業が突貫でテレワーク体制を整えた結果、セキュリティ面で穴だらけになってしまっているというのが多いと思います。

最近はゼロトラストの考えも取り入れられるようになってきたので、ただ話題だからといって認証・認可の環境が整わないままVPN介さずにインターネット接続できるようにした結果、マルウェア感染したとか。そんな組織あるのか知りませんが。


それ以外の顔ぶれは、組織ではランサムウェア標的型攻撃がそれぞれ1位と2位で例年通り上位に入っています。


ランサムは2020年だとEmotetが新しい攻撃手法としてパスワード付きZIPを用いるということで有名になりました。

www.ipa.go.jp


こいつはパスワード付きZIPで送られてくるので、メールフィルタとかには引っかからないということですね。
そこで、普段から他者に情報を送る際に、「資料をパスワード付きZIPにして送付し、パスワードは別メールで送ります」といういわゆるPPAPを使っている組織は流石に対応に追われることになったのか、exe形式やex_形式という謎拡張子で添付ファイルを送る、むしろPPAPより凶悪な某ソフト*1を販売していた某H社も2021年度からPPAPを廃止する方針であるとされ、話題になりました。

xtech.nikkei.com

また、2020年10月に米国土安全保障省のサイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)が「パスワード付きZIP(正確には、アンチウイルスソフトでスキャンできない添付ファイル)はブロックすべき」と言っているのも大きいんじゃないかなと思います*2。まぁそもそも某ソフトについてはPPAPが広まる5年以上前からセキュリティ界隈で批判されてたりしたんですけども。流石にexeファイルはヤバいでしょ*3


標的型攻撃については、標的型攻撃が行われる際にランサムも多く使われるので、ランサムが上位にいれば標的型攻撃も上位に来るだろうなと単純に思いました。


あと、組織の8位に「インターネット上のサービスへの不正ログイン」が昨年16位からランクアップしています。

これは、Microsoft 365などのクラウドサービスが、政府のクラウド・バイ・デフォルト原則のような考えやコスト削減策としてのオンプレ→クラウドへの移行推進、テレワークの推進などと相まって使われるようになってきたからかなと思います。私の元にもたまにMicrosoft 365に似せたフィッシングサイトのURLが貼り付けられたメールが送りつけられてきますので、こういうのに引っかかる人もいるんだろうなぁ。



この10大脅威をざっと眺めるだけでも、今はどんなセキュリティ脅威が流行っているのかを簡単に知ることが出来るので良いですね。そして、これらの脅威に自組織は対応する術はあるのか、無いならどうやって対応していくのかを考えるべきですね。

レガシーシステムや古い慣習を直していくのも大切ですが、ただトレンドの技術や考えを導入するだけじゃなく、自組織にとって何が最適なのかを見極めながら改善していくのが良いと思います。

*1:現在は販売終了しており、2022年6月にはサポート終了するようだ

*2:https://us-cert.cisa.gov/ncas/alerts/aa20-280a

*3:exeがフィルタでブロックされるようになると、某文でexe化したあとに”ex_”に拡張子を変更してメールに添付し、本文に「ex_をexeに直して実行し解凍してください」と記載された一見攻撃メールのようなものを送り付けたりしてたのは商魂たくましいというか何というか