2024年4月21日(日)に応用情報技術者試験が実施されます。応用情報技術者試験は午前と午後に分かれていて、午後の問題は11のテーマから必須一問、選択四問の計五問回答しなければなりません。
そして、必須一問の出題分野は「情報セキュリティ」です。「情報セキュリティ」は誰もが解かなければいけないので、試験直前対策として役立つ情報をこの記事で提供できればと思います。
具体的にいうと、「情報セキュリティ」ではIPAが毎年発表する「情報セキュリティ10大脅威」に関するテーマが出題されるので、「情報セキュリティ10大脅威」の内容と脅威への対策を応用情報技術者試験前におさらいしておこう、という内容です。
はじめに
応用情報技術者試験の午後には必須の問題が一つあり、その問題の出題分野として「情報セキュリティ」が決まっています。直近5回分の情報セキュリティ問題のテーマを見てみると、
| 実施時期 | テーマ | 情報セキュリティ10大脅威の該当脅威 |
|---|---|---|
| 令和5年秋期 | 電子メールのセキュリティ対策 | 不注意による情報漏えい等 |
| 令和5年春期 | マルウェア対策 | ランサムウェアによる被害 |
| 令和4年秋期 | マルウェアへの対応策 | ランサムウェアによる被害 |
| 令和4年春期 | 通信販売サイトのセキュリティインシデント対応 | 修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃) |
| 令和3年秋期 | オフィスのセキュリティ対策 | 内部不正による情報漏えい等の被害 |
IPAから発表される「情報セキュリティ10大脅威 2024」を確認し、脅威の内容・攻撃方法、そして、脅威への対策について学んでおくことで、応用情報技術者試験午後の情報セキュリティに関する問題への対策となるはずです。また、「情報セキュリティ10大脅威 2024」を知っておくことは、ITエンジニアとして仕事をする上で有用かと思います。
■情報セキュリティ10大脅威 2024の概要
2024年1月24日にIPAから「情報セキュリティ10大脅威 2024」が発表されました。
「情報セキュリティ10大脅威 2024」は、2023年に発生した社会的に影響が大きかったと考えられる情報セキュリティにおける事案から、IPAが脅威候補を選出し、情報セキュリティ分野の研究者、企業の実務担当者など約200名のメンバーからなる「10大脅威選考会」が脅威候補に対して審議・投票を行い、決定したものです。
「情報セキュリティ10大脅威 2024」は個人向けの脅威と、組織向けの脅威に分けられています。以前までは個人・組織両方において、ランキング形式で発表されていましたが、2024年からは個人向けに関してはランキング形式での掲載を取りやめています。公式webサイトを見てみると、「順位が高い脅威から優先的に対応し、下位の脅威への対策が疎かになることを懸念してのことです。順位に関わらず自身に関係のある脅威に対して対策を行うことを期待しています。」とのことです。
情報セキュリティ10大脅威 2024 [個人]
- インターネット上のサービスからの個人情報の窃取
- インターネット上のサービスへの不正ログイン
- クレジットカード情報の不正利用
- スマホ決済の不正利用
- 偽警告によるインターネット詐欺
- ネット上の誹謗・中傷・デマ
- フィッシングによる個人情報等の詐取
- 不正アプリによるスマートフォン利用者への被害
- メールやSMS等を使った脅迫・詐欺の手口による金銭要求
- ワンクリック請求等の不当請求による金銭被害
情報セキュリティ10大脅威 2024 [組織]
- ランサムウェアによる被害
- サプライチェーンの弱点を悪用した攻撃
- 内部不正による情報漏えい等の被害
- 標的型攻撃による機密情報の窃取
- 修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃)
- 不注意による情報漏えい等の被害
- 脆弱性対策情報の公開に伴う悪用増加
- ビジネスメール詐欺による金銭被害
- テレワーク等のニューノーマルな働き方を狙った攻撃
- 犯罪のビジネス化(アンダーグラウンドサービス)
■各脅威の詳細解説
「情報セキュリティ10大脅威 2024 [組織]」に関して、各脅威の内容と対策を上位3つ紹介していきます。下記の内容はIPAの「「情報セキュリティ10大脅威 2024」解説書」から抜粋しています。
1. ランサムウェアによる被害
ランサムウェアとは、Ransom と Software を組み合わせた造語であり、ウイルスの一種である。攻撃者はPCやサーバーをランサムウェアに感染させ、様々な脅迫により金銭を要求する。さらに、攻撃者は複数の脅迫を組み合わせることで、攻撃を受けた組織がシステムを復旧するために金銭を支払うことを検討せざるを得ない状況を作り出そうとする。攻撃者は組織の規模や業種に関係なく攻撃を行う点にも注意が必要である。(引用 情報セキュリティ10大脅威 2024 P42)
【脅威の内容】
攻撃者はPCやサーバーをランサムウェアに感染させた後、以下のような脅迫を行う。
- PCやサーバーのデータを暗号化し、業務の継続を困難にする。その後、データを復元することと引き換えに、金銭要求の脅迫をする。
- 重要情報を窃取し、金銭を支払わなければ窃取した情報を公開すると脅迫する。
- 金銭を支払わなければ、ランサムウェアに感染したことを被害者の利害関係者等に連絡すると脅迫する。
- 金銭を支払わなければDDoS攻撃(DistributedDenialofServiceAttack:分散型サービス妨害攻撃)を仕掛けると脅迫する。また、これらを組み合わせた「二重脅迫」や「四重脅迫」も確認されている。
ランサムウェアに感染すると、データの暗号化や重要情報の窃取等の被害に遭い、さらにその調査や復旧に多くの費用と時間が掛かる。また、業務やサービス提供の停止による損失や取引先からの信頼失墜の被害につながるおそれもある。広く利用されているサービスがランサムウェアに感染すると、社会に大きな影響を与えることになる。
【脅威の攻撃手口】
-
脆弱性を悪用しネットワークから感染させる
OSやアプリケーション等のソフトウェアの脆弱性対策をしないままインターネットに接続されている機器に対して、VPN 等の脆弱性を悪用し、インターネット経由で PC やサーバーをランサムウェアに感染させる。 -
公開サーバーに不正アクセスして感染させる
意図せず外部公開されているポート(リモートデスクトップポート等)に不正アクセスしてランサムウェアに感染させる。 -
メールから感染させる
メールの添付ファイルや、本文中のリンクを開かせることでランサムウェアに感染させる。 -
Web サイトから感染させる
Web サイトの脆弱性等を悪用して、ランサムウェアをダウンロードさせるように改ざんした Web サイトや攻撃者が用意した Web サイトを閲覧させることでランサムウェアに感染させる。
【脅威の事例】
-
ランサムウェア感染による業務停止
2023 年 7 月、名古屋港統一ターミナルシステムにランサムウェア感染による障害が発生した。システム専用のプリンターから脅迫文書が印刷された。サーバー再起動で復旧できないことを確認ののち、愛知県警察本部サイバー攻撃対策隊に通報した。
その後、物理サーバー基盤および全仮想サーバーが暗号化されていることが判明した。これはリモート接続機器の脆弱性を悪用した不正アクセスが原因でランサムウェアに感染したと考えられ、約 2 日半ターミナルでの作業の停止を余儀なくされた。 -
ランサムウェア感染によるサービス提供停止
2023 年 6 月、システム開発およびクラウドサービス事業者であるエムケイシステムが、データセンターのサーバーに不正アクセスされ、ランサムウェアに感染したことを公表した。この感染により、データが暗号化され、社会保険労務士向けクラウドサービス「社労夢」をサービス提供できなくなった。約 3,400 人のユーザーに影響があり、オンプレミスで動作するパッケージ版を代替として提供した。
また、インフラ設備の再構築費用やセキュリティ対策費用のコスト増、影響があったユーザーへの6 月の請求を停止するといった対応により、業績予想を修正することとなった。 -
VPN 経由で侵入、ランサムウェアを横展開
2023 年 1 月、ならコープが 2022 年 10 月にランサムウェアによる攻撃を受けていたことを公表した。攻撃者はネットワーク機器の脆弱性を悪用してVPN 経由で侵入し、内部情報を収集していた。
この結果、攻撃者にランサムウェアを横展開され、サーバー11 台でほとんどのデータが暗号化されていた。暗号化されたデータには約49万人の個人情報が含まれるものの、外部への流出は確認されていないとのこと。また、データは復元できなかったが、バックアップを取っていたデータベースは感染を逃れていたため、復元することができた。
【脅威への対策】
■組織(経営者層)
●組織としての体制の確立
インシデント対応体制を整備し対応する
■組織(システム管理者、従業員)
●被害の予防
- インシデント対応体制を整備し対応する
- 表 1.4「情報セキュリティ対策の基本」を実施
- メールの添付ファイル開封や、メールや SMSのリンク、URL のクリックを安易にしない
- 多要素認証の設定を有効にする
- 提供元が不明なソフトウェアを実行しない
- サーバーやクライアント、ネットワークに適切なセキュリティ対策を行う
- 共有サーバー等へのアクセス権の最小化と管理の強化
- 公開サーバーへの不正アクセス対策
- 適切なバックアップ運用を行う
●被害を受けた後の対応
- 適切な報告/連絡/相談を行う
- 適切なバックアップ運用を行う
- 復号ツールの活用
- インシデント対応体制を整備し対応する
2. サプライチェーンの弱点を悪用した攻撃
商品の企画、開発から、調達、製造、在庫管理、物流、販売までの一連のプロセス、およびこの商流に関わる組織群をサプライチェーンと呼ぶ。このような「ビジネス上の繋がり」を悪用した攻撃は、自組織の対策のみでは防ぐことが難しいため、関係組織も含めたセキュリティ対策が必要な脅威と言える。また、ソフトウェア開発のライフサイクルに関与する全てのモノ(ライブラリ、各種ツール等)や人の繋がりをソフトウェアサプライチェーンと呼ぶ。このような「ソフトウェアの繋がり」を悪用した攻撃もまた脅威であり、対策が必要である。(引用 情報セキュリティ10大脅威 2024 P44)
【脅威の内容】
組織には、サプライチェーンとの関係性が何らかの形で存在する。例えば、取引先や委託先、ソフトウェアやサービスの提供元、提供先と多岐に渡る。強固なセキュリティ対策が行われていて、直接攻撃が困難な標的組織に対し、そのサプライチェーンの脆弱な部分を攻撃者が攻撃する。その脆弱な部分を経由して間接的および段階的に標的組織を狙う。
外部に対しては強固なセキュリティ対策を行っていても、サプライチェーン上の取引先や導入しているソフトウェア、サービス等を足掛かりとされることで、攻撃者の侵入を許してしまうおそれがある。攻撃を受けた場合、機密情報の漏えいや信用の失墜等、様々な被害が発生する。また、自組織が攻撃を受け、足掛かりとされることで取引相手に損害を与えてしまい、取引相手を失ったり、損害賠償を求められたりするおそれがある。
【脅威の攻撃手口】
-
取引先や委託先が保有する機密情報を狙う
標的組織よりもセキュリティが脆弱な取引先や委託先、国内外の子会社等を攻撃し、その組織が保有する標的組織の機密情報等を窃取する。 -
ソフトウェア開発元や MSP(マネージドサービスプロバイダー)等を攻撃し、標的組織を攻撃するための足掛かりとする
ソフトウェアサプライチェーンを悪用した攻撃を行う。例えば、購入したソフトウェアやサービス、またはソフトウェアの開発元やサービスの提供元に対して、脆弱性等を悪用して不正アクセスを行い、当該ソフトウェアやサービスを改ざんしてウイルスを仕込む。標的組織が調達したソフトウェアやサービスの利用開始時や顧客への提供開始時またはバージョンアップ時にウイルスに感染させる。
他にも、企業システムの運用、監視等を請け負う事業者(MSP)が利用する資産管理ソフトウェア等にウイルスを仕込み、MSP を利用する複数の顧客にウイルスを感染させる手口もある。
【脅威の事例】
- 業務委託先業者からの顧客情報漏えい
2023 年 1 月、複数の保険会社が、業務委託先から顧客の個人情報が流出したことを公表した。原因は業務委託先の、適切なセキュリティ対策がされていないサーバーへの不正アクセスであった。流出した個人情報が海外のWebサイトに掲載されていたことで被害が発覚した。
流出の規模は保険会社により異なるが、多いところでは約130万人分に及んでおり、調査や対処に追われた。
- 委託先のシステムを介して不正アクセス、顧客情報漏えい
2023 年 11 月、LINE ヤフーは、同社の保有する顧客情報が漏えいしたことを公表した。漏えいした顧客情報は、ユーザーに関する情報が約 30 万件、取引先等に関する情報が約9万件、従業員等に関する情報が約 5 万件としている。
情報漏えいの原因は第三者による社内システムへの不正アクセスであった。これは委託先企業である NAVER Cloud社のさらに委託先の企業で従業員の PC がウイルス感染したことを発端として、同社のシステムを介して行われていた。
- 提携先企業に不正アクセス、顧客情報漏えい
2023 年 11 月、メッシュ Wi-Fi を提供する JCOMが顧客情報を漏えいしたことを公表した。当該サービスは米国 Plume Design 社が提供元であり、同社の提携先のモバイルアプリのアクセスログサーバーが不正アクセスされたことが原因であった。
これにより約 23 万件の顧客の氏名と約 5 千件の顧客のメールアドレスが漏えいした。
【脅威への対策】
■組織(経営者層)
●被害の予防
- インシデント対応体制を整備し対応する
■組織(自組織で実施)
●被害の予防
- 情報管理規則の徹底
調達先や業務委託先等、契約時に取引先の規則を確認する。 - セキュリティ評価サービス(SRS)を用いた自組織のセキュリティ対策状況の把握
- 信頼できる委託先、取引先、サービスの選定
商流に関わる組織、サービスの信頼性評価(ISMAP など)、品質基準を検討し、複数候補を検討する。 - 契約内容の確認
組織間の取引や委託契約における情報セキュリティ上の責任範囲を明確化し、合意を得る。また、賠償に関する契約条項を盛り込む。 - 委託先組織の管理
委託元組織が委託先組織のセキュリティ対策状況と情報資産の管理の実態を定期的に確認できる契約とすることが重要である。また、業務委託自体が適切であるかも検討する。 - 納品物の検証
納品物に組み込まれているソフトウェアの把握と脆弱性対策を実施する。ソフトウェアの把握や管理においては SBOM の導入を検討する。
●被害を受けた後の対応
- インシデント対応体制を整備し対応する
- 被害への補償
■組織(自組織に関わる組織と共に実施)
●被害の予防
- 取引先や委託先との連絡プロセスの確立
- 取引先や委託先の情報セキュリティ対応の確認、監査
- 情報セキュリティの認証取得
ISMS、P マーク、SOC2 等を取得し、定期的に見直して必要な運用を維持する。 - 公的機関等が公開している資料の活用
●被害を受けた後の対応
- 適切な報告/連絡/相談を行う
3. 内部不正による情報漏えい等の被害
従業員や元従業員等の組織関係者による機密情報の持ち出しや社内情報の削除等の不正行為が発生している。また、組織内の情報管理の規則を守らずに情報を持ち出し、紛失や情報漏えいにつながるケースもある。組織関係者による不正行為は、組織の社会的信用の失墜や、損害賠償や業務停滞等による経済的損失を招く。また、不正に取得された情報を使用した組織や個人も責任を問われる場合がある。(引用 情報セキュリティ10大脅威 2024 P46)
【脅威の内容】
悪意を持った組織関係者が、金銭受領や転職先での悪用、組織への私怨等を動機として、組織が保有する技術情報や顧客情報等の重要情報の持ち出しや第三者への提供、行為を行うことがある。
また、自宅等の社外で作業外部へ持ち出し、情報漏えいするケースもある。よっては、組織の社会的信用の失墜や、顧客等への損害賠償や損失補填、復旧作業等による経済的損失が発生し、組織の競争力の大幅な低下につながる。
その結果、組織経営の根幹を揺るがすおそれがある。また、自組織に持ち込まれた情報が不正に取得されたものであることを知りつつ使用した場合、刑事罰の対象になることもある。
【脅威の攻撃手口】
-
アクセス権限の悪用
付与された権限を悪用し、組織の重要情報に対して窃取や不正操作を行う。必要以上に高いアクセス権限が付与されている場合、より重要度の高い情報が狙われ、被害が大きくなるおそれがある。また、複数人で端末を共用している場合、他人のアカウントで不正アクセスされることもある。 -
在職中に割り当てられたアカウントの悪用
離職者が在職中に使用していたアカウントが削除されていない場合、それを使用して組織の情報にアクセスする。 -
内部情報の不正な持ち出し
組織の情報を、USB メモリーや HDD 等の外部記憶媒体、メール、クラウドストレージ、スマホカメラ、紙媒体等を利用し、外部に不正に持ち出す。
【脅威の事例】
-
顧客情報を持ち出し、名簿業者に販売
2023 年 10 月、NTT ビジネスソリューションズは、同社に勤務していた元派遣社員が顧客情報の不正な持ち出しを行っていたことを公表した。
同派遣社員は 2013 年 7 月から 2023 年 1 月の間に、自身が運用に関わっていたコールセンターのシステムに、管理者アカウントを悪用して不正アクセスし、少なくとも 69 組織の顧客情報 928 万件を USB メモリーにコピーして持ち出していた。持ち出した顧客情報を名簿業者に販売し、1,000 万円以上を対価として受け取っていたとみられ、逮捕された。 -
前職場が保有する名刺情報を転職先に提供
2023 年 9 月、ワールドコーポレーションの元従業員が、個人情報保護法違反(不正提供)等の疑いで警視庁に逮捕された。本従業員は同業他社に転職する直前に、転職元の名刺情報管理システムにログインするための ID とパスワードを転職先の従業員に共有していた。
不正に取得された名刺情報は転職先の営業活動に使用され、成約事例もあったという。 -
元勤務先に不正アクセスし、社内情報を削除
2023 年 1 月、共立電気計器の元従業員が電子計算機損壊等業務妨害罪等の疑いで警視庁に逮捕された。本従業員は退職後に元同僚や元上司の ID やパスワードを悪用し、社内ネットワークやクラウドに不正アクセスして、人事や技術、顧客に関する情報を削除していた。
人間関係を理由に退職しており、嫌がらせが目的だったとみられている。データ復旧には約 660 万円を要した。
【脅威への対策】
■組織(システム管理者)
●被害の予防
-
基本方針の策定
「不正のトライアングル 8」を意識して基本方針を策定し、情報取扱ポリシーの作成、内部不正者に対する懲戒処分等を規定した就業規則等の整備をする。9 なお、組織内での対策推進は、経営層の積極的な関与が重要である。内部不正対策の責任は経営者にあり、最高責任者である経営者が総括責任者の任命並びに管理体制および実施策の承認を行い、組織横断的な管理体制を構築する必要がある。 -
資産の把握、対応体制の整備
情報資産を把握し、その重要度をランク付けした上で重要情報の管理者を定める。 -
重要情報の管理、保護
重要情報の利用者 ID およびアクセス権の登録・変更・削除に関する手順を定めて運用する。従業員の異動や離職に伴う不要な利用者 ID 等は直ちに削除する。また、それらの適切な管理、定期的な監査を実施する。さらに、利用者 ID の共用禁止等の処置を検討する。DLP(情報漏えい対策)等のツールの導入を検討する。 -
物理的管理の実施
重要情報の格納場所や重要情報を扱う執務室への入退室を管理する。USB メモリー、スマートフォン、プリンター等の外部媒体は利用制限を行い、持ち出しや持ち込みの管理をする。また、記録媒体の廃棄を行う際には、適切なデータ消去の運用を実施する。消去できない場合は媒体の物理的な破壊も検討する。また、リース品は初期化してから返却する。 -
情報リテラシー、モラルを向上させる
-
人的管理およびコンプライアンス教育の徹底
従業員には秘密保持義務を課す誓約書に署名させ、定期的に教育を実施する。
●被害の早期検知
- システム操作履歴の監視
重要情報へのアクセス履歴や利用者の操作履歴等のログ、証跡を記録し、監視する事で早期検知に努める。また、監視していることを従業員に周知することで不正を予防する。
●被害を受けた後の対応
- 適切な報告/連絡/相談を行う
- インシデント対応体制を整備し対応する
- 内部不正者に対する適切な処罰の実施
まとめ
応用情報技術者試験の午後問題"情報セキュリティ"対策として、IPAから発表された「情報セキュリティ10大脅威 2024」のうち3つ紹介しました。
応用情報技術者試験は年2回しか実施されません。2023年春の午後試験の得点分布を見ると、
| 点数 | 得点分布(名) | 割合 |
|---|---|---|
| 90-100 | 48 | 0.33% |
| 80-89 | 683 | 4.73% |
| 70-79 | 2992 | 20.70% |
| 60-69 | 5082 | 35.17% |
| 50-59 | 3913 | 27.08% |
| 40-49 | 1408 | 9.74% |
| 30-39 | 273 | 1.89% |
| 20-29 | 38 | 0.26% |
| 10-19 | 13 | 0.09% |
| 0-9 | 1 | 0.01% |
合格基準の60点付近に多くの人がいることがわかります。あと1、2点取っていれば、合格できた方もいたでしょう。しかし、落ちてしまうと、また半年後です。一問でも多く正解できるように、あきらめずに学習を続けましょう。今回の記事がその手助けになればうれしいです。
参考リンク:情報セキュリティ10大脅威 2024