このページでは、「情報セキュリティ10大脅威 2024」の特徴や脅威のランキング、サイバー攻撃の傾向などを解説します。
情報セキュリティ10大脅威は、独立行政法人の情報処理推進機構(IPA)が毎年公開しているセキュリティに関する報告書です。前年度に発生した脅威の中から、特に社会的に大きな影響を及ぼした10個をピックアップして公表しています。2024年版は、2023年に起こった脅威を元にまとめられています。
情報セキュリティ10大脅威は個人版と組織版に分かれており、組織版は企業向けの内容となっています。各脅威の詳しい内容が記述されているため、脅威の種類を知るのはもちろん、社員のセキュリティ教育や自社のセキュリティ対策などにも活用できます。
2023年10月、NTTビジネスソリューションズの元派遣社員が顧客情報を不正に持ち出し、名簿業者に販売していたことが発覚しました。この社員は2013年から2023年の間に、管理者アカウントを悪用してコールセンターシステムに不正アクセスし、69組織の顧客情報928万件をUSBメモリーにコピーして持ち出しました。この情報を名簿業者に売却し、1,000万円以上を受け取っていたとされています。この事例は、内部不正による情報漏えいの深刻さを示しています。
参照元:東京都産業労働局( https://follow-up.metro.tokyo.lg.jp/basics/kisokaramanabu10/ )
2020年12月、米国企業がシステムに不正侵入用のバックドアが含まれていると発表しました。ターゲットにされたのは、IT管理ソフトウェアやリモート監視ツールの開発を行っている企業です。この攻撃により、米国連邦政府機関を含む8カ国の40以上の組織、計1万8,000以上の顧客が影響を受けました。攻撃者はITサービス提供企業を攻略した後、そのユーザーを標的にしたため、被害が広範囲に及びました。この事例は、サプライチェーン全体のセキュリティ対策の重要性を浮き彫りにしています。
参照元:株式会社日立ソリューションズ( https://www.hitachi-solutions.co.jp/security/sp/column/iot/06.html)
2023年5月、ファイル転送ソフトウェアの脆弱性を利用した大規模なサイバー攻撃が発生しました。Cl0pグループが関与しており、被害に遭ったのは世界中の企業です。攻撃者はファイル転送ソフトウェアの脆弱性を悪用してシステムに侵入。機密データや個人情報を窃取しました。盗んだデータを公開すると脅迫して身代金を要求する典型的なサプライチェーン攻撃です。米国の給与計算代行サービス企業、英国の大手航空会社、英国の公共放送事業体などが被害を受け、顧客データや従業員情報が漏洩した可能性があります。
参照元:株式会社日立ソリューションズ( https://www.hitachi-solutions.co.jp/security/sp/column/iot/06.html)
2019年12月25日、アメリカのニューヨーク州にあるオールバニー空港がGandCrabランサムウェアの被害に遭いました。管理文書が暗号化され、空港の保険会社は身代金を支払ったとされています。攻撃者は空港が利用していたマネージドサービスプロバイダーからネットワークに侵入し、ランサムウェアに感染させたと考えられています。空港のオペレーション自体への影響はなかったものの、管理システムにシステム障害が発生しました。
参照元:サーバーセキュリティ.com( https://cybersecurity-jp.com/contents/data-security/1612/ )
2020年8月5日、キヤノンUSAはMazeランサムウェアによるサイバー攻撃を受けました。約10テラバイトのデータが盗まれ、身代金が要求されました。影響は広範囲に及んでいます。Microsoft TeamsやEメールなどの社内アプリケーションが停止。業務に大きな支障をきたしました。また、従業員や元従業員の個人情報も含まれていたとされています。Mazeグループはランサムウェア攻撃で知られる犯罪組織で、支払いがない場合には盗んだデータを公開する手口を使用します。大企業でもランサムウェアの脅威に対して脆弱であることを示す典型例です。
参照元:サーバーセキュリティ.com( https://cybersecurity-jp.com/contents/data-security/1612/ )
2020年9月28日、米国の医療サービス最大手ユニバーサル・ヘルス・サービス(UHS)がRyukランサムウェアによる攻撃を受けました。この攻撃により、全米のUHS施設のコンピューターと電話システムが停止し、医療サービスに深刻な影響が及びました。患者の輸送や予約、検査に遅延が生じ、緊急患者の対応にも支障をきたしました。復旧には数週間を要し、その間、患者のカルテ閲覧が不可能になるなど、業務に多大な混乱が生じました。医療機関を標的とするランサムウェア攻撃が人命に関わる深刻な脅威であることを浮き彫りにした事例です。
参照元:サーバーセキュリティ.com( https://cybersecurity-jp.com/contents/data-security/1612/ )
2025年2月5日、長野県技術専門校で民間講師の個人情報漏洩が発生しました。職員が受講生の要望に応じ、講師の携帯電話番号、自宅電話番号、自宅住所を無許可で口頭伝達したことが原因です。この漏洩は講師本人から学校への連絡を通じて判明しました。教育機関における個人情報管理の不備を示す事例です。情報漏洩防止のための内部規定や職員教育の重要性が浮き彫りになりました。
参照元:Security NEXT( https://www.security-next.com/166801 )
2025年1月23日、山形県大石田町は20代男性職員による不正アクセス事案を公表しました。この職員は2023年4月から2024年3月までの約1年間、人事異動前に取得した管理者権限のアカウントを使用し、93日にわたり共有フォルダに不正アクセスしていました。興味本位で人事情報や職員情報など、通常アクセスできない情報を閲覧していたことが判明しています。町は1月15日付けで当該職員を停職2カ月の懲戒処分としました。また、関係部署の管理者にも処分を行い、セキュリティ対策の強化とコンプライアンスの徹底を図ることを表明しました。
参照元:Security NEXT(https://www.security-next.com/166424)
2025年1月22日、三重県厚生事業団が運営する障害者施設「三重県いなば園」で、職員による個人情報の無断持ち出しが発覚しました。2022年8月と2024年5月の2回にわたり、職員が施設のサーバーから利用者、保護者、役員、職員、外部関係者など計1,384人分の個人情報を無断で複製し、持ち出していたものです。職員は「興味本位だった」と説明しています。データは全て回収され、外部流出は確認されていません。この事件により、施設のアクセス管理の不備や監視体制の欠如が明らかになり、個人情報保護の重要性が再認識されました。
参照元:Security NEXT( https://www.security-next.com/166283 )
2025年1月16日、日本郵便は石川県金沢市の七尾郵便局で配達員による顧客情報の不正持ち出しを公表しました。配達員は2023年7月と9月頃、誤配を防ぐ目的であると釈明しています。担当地域の約490世帯の氏名と住所が記載された配達用資料を私物のスマートフォンで撮影し、外部に持ち出していました。2024年6月に別の従業員が発見し、管理者に報告され、同月19日にスマートフォン内に保存されている配達資料データを確認しました。日本郵便は謝罪し、対象世帯に書面で通知すると発表しています。
参照元:Security NEXT( https://www.security-next.com/166154 )
高度化・複雑化しているサイバー攻撃ですが、その中でも特に多いのがランサムウェアによる被害です。
ランサムウェアは感染させたコンピュータのデータを乗っ取り、画面上に金銭(身代金)を支払うよう表示するマルウェア(不正プログラム)をいいます。情報セキュリティ10大脅威では、2016年から毎年ランクインしており、大手企業が被害に遭うケースもあります。
ランサムウェアは社会インフラにも影響を及ぼす脅威で、2023年には名古屋港のシステムがランサムウェアの被害を受けて停止しました。突如狙われる可能性もあるため、決して油断できない脅威の一つです。
情報セキュリティ10大脅威 2024では、情報漏えいも上位にランクインしています。中でも目立つのは内部不正による情報漏えいで、現役社員や退職者、業務委託先などが不正な手段で情報を持ち出す事案は多く見られます。
また、標的型攻撃(APT攻撃)による機密情報の窃取・漏えいも多く、内部不正に次ぐ脅威となっています。このほか、不注意による情報漏えいも上位にランクインしていますが、ヒューマンエラーを減らすことでリスクを低減可能です。
ニューノーマルにポイントを絞った攻撃も見られます。2023年と比べてリスクは低下傾向にあるものの、未だ脅威であることに変わりはありません。
テレワーク・リモートワークを導入している企業は多数ありますが、VPNや自宅回線を通じて社内ネットワークへ不正侵入されるリスクが存在します。安全なリモート環境を整えるには、社員へのセキュリティ教育の徹底はもちろん、インシデントレスポンスの整備や脆弱性診断も検討するべきでしょう。
情報セキュリティ10大脅威2024を見ると、企業版ではランサムウェアによる被害や情報漏えいが上位にランクインしています。また、脆弱性を悪用した攻撃などもあるため、不安がある方は一度セキュリティ環境を見直してみるのもよいでしょう。
当サイトは、サイバーセキュリティ研修を受ける対象者別におすすめの研修会社をまとめた専門サイトです。技術者向け、マネジメント層向け、経営層向けに会社をピックアップしているのでぜひ参考にしてください。
経産省の資料では、サイバーセキュリティに関する組織体制において、IT、デジタル部門の開発、運営者・事業部門などの「実務者・技術者層」、セキュリティ部門・監査部門などの「戦略マネジメント層」、取締役・執行役員などの「経営層」、の3つに分類され、必要なスキルや具体的にやるべきこと(タスク)が定義されています。
該当の対象者に向けた研修を展開しているおすすめの会社を合わせて見られるようにしているので、検討している受講者の欄からご覧ください。
CompTIA CASP+やCySA+など上位資格を学べる研修ラインナップ。CompTIAプラチナパートナーとして上位資格を一気通貫で学べる国内数少ない会社です。
実務や技術者が仮想空間で手を動かしながら実践的にスキルを習得できる点が特徴です。
CompTIA(Pentest+、CASP+、CySA+他)、EC-Council(CEH、CCT他)、ICT(OT)、SecuriST、インシデント対応、ペネトレーションテスト、フォレンジック など
セキュリティ事故などインシデント対応者に必要な知識を学べる専用プログラムが特徴。
基礎的な知識から、デジタルフォレンジックやマルウェア解析など専門技術を内製できる企業向けにもコースを展開しています。
インシデントレスポンス、マルウェア解析、セキュリティオペレーション、デジタルフォレンジック、脆弱性ハンドリング、情報セキュリティ事故対応 など
企業のリスクマネジメントを支援するコンサルティング業務を主軸としており、企業経営の推進力を高めるリスクマネジメント力が身に着く研修を提供しています。
経営層向けだけで3段階のコースを展開し、着実なステップアップができます。
経営層向けサイバーセキュリティ対応能力向上、CSIRT構築、情報セキュリティ入門、組織サイバーレジリエンス力向上 など
