セキュリティ10大脅威2022がIPAより発表されています。

毎年IPAから発表されるセキュリティ10大脅威。2022年版も発表されました。

https://www.ipa.go.jp/security/vuln/10threats2022.html

個人としてのセキュリティと組織としてのセキュリティに分けて発表してくれるのがいいですね。ただ、最近はあまり大きな順位の変動はないですね。

個人として気をつけるべきセキュリティ

個人のランキングは、順位の変動はあったものの、10個の項目昨年と比べて全て一緒でした。

2021年はキャッシュレスの進展によって、スマホ決済の不正利用が1位にきていましたが、キャッシュレスもだいぶ浸透してきたので、少し落ち着いてきて、順位を下げました。

そうするとやはり、フィッシングによる個人情報の搾取が1位に返り咲きです。

毎日のようにきますね。以下のメールも、PITという私の運営している研究会名でメールがきて、URLを踏んで保留中のメッセージを回復してください、ときています。 さすがにこんな雑なフィッシングメールにはひっかかりません。さらに以下画像のようメールフィルターに引っかかって、警告が表示されているので、問題なく防げています。

しかし、近年では、本物と見分けがつかないような偽物メールもよくきています。

やはり金融関連がとても多いですね。銀行や、暗号資産。

「アカウントがロックされたので以下URLからログインして回復してください

などと、契約している銀行を騙ったメールが来ると、つい開いてしまう危険はありありです。

金融系は、アカウント情報盗まれてしまいますと、被害に直結するので重々気をつけねばなりませんね。特に通常の金融機関より、暗号資産を盗まれちゃうと、そのあと取り戻せる可能性は、限りなく低そうです。

特にスマホでメールを見ているときは、騙されないように気をつけたいですね。

メール本文中にあるURLは全て偽物だ!と思うくらいの用心しておきたいです。

組織の対策

身代金目的に、ランサムウェアが近年はずっと上位にいますね。ある日会社の顧客データがロックされてしまい、返して欲しくば、金を払え!ってやつです。もちろんお金を払ってもデータが戻ってくる可能性は限りなく小さいでしょう。

ランサムウェアにやられた事例も事欠きません。最近は病院がやられた事例が多いですよね。カルテとか患者の情報が全てロックされたため、紙のカルテに戻して、精算も手作業で行うという地獄のような事態が発生しています。病院もデジタル化が徐々に進んできている中で、こういう攻撃が増えると、デジタル化の進展が遅れそうで辛いですね。

https://www.asahi.com/articles/ASQ2D6TRTQ28ULZU013.html

ただ、悪いのはもちろん攻撃した犯人ですが、企業側もセキュリティの対策が不足していたことは否めないでしょう。なぜ狙われたのか? セキュリティに穴があって、金になりそうだと思われたからですね。

セキュリティの対策としては防御力を高めて、入り口でディフェンスするのが一番ですが、最近は攻撃も巧妙になってきているので、どんな企業であっても絶対に防ぎ切れるか!?といわれると悩ましいところです。

そうすると被害に遭った時にすぐに復旧できる体制が整っているか?というところでは差がつきそうですね。

ランサムウェアでは、データのバックアップは必須だと言えるでしょう。ロックされても、別にデータがあれば復旧までの時間は短くなります。ただ、バックアップをとっていればいいというものでもなく、データがロックされたら、バックアップデータもロックされたということでは意味がありません。

バックアップをオンラインでとっているケースがほとんどだと思いますが、一緒にやられてしまわないためには、別ネットワークやローカルで保存するバックアップも残しておくことが必要になりそうです。

そんなところで

PR

PVアクセスランキング にほんブログ村

セキュリティ,デジタル

Posted by tomoyamurakami