情報処理推進機構(IPA)が発表した「情報セキュリティ10大脅威 2025」は以下です。
| 順位 | 組織の脅威 |
1 |
ランサムウェアによる被害 |
2 |
サプライチェーンや委託先を狙った攻撃 |
3 |
システムの脆弱性を突いた攻撃 |
4 |
内部不正による情報漏えい等 |
5 |
機密情報等を狙った標的型攻撃 |
6 |
リモートワーク等の環境や仕組みを狙った攻撃 |
7 |
地政学的リスクに起因するサイバー攻撃 |
8 |
分散型サービス妨害攻撃(DDoS攻撃) |
9 |
ビジネスメール詐欺 |
10 |
不注意による情報漏えい等 |
政治的に対立する周辺国に対して、社会的な混乱を引き起こすことを目的としたサイバー攻撃を行う国家が存在する。そのような国家は、外交・安全保障上の対立をきっかけとして、嫌がらせや報復のためにサイバー攻撃を行うことがある。また、自国の産業の競争優位性を確保するために周辺国の機密情報等の窃取を目的とした攻撃や、自国の政治体制維持のために外貨獲得を目的とした攻撃に手を染める国家もある。このような国家からの攻撃に備えて、組織として常にサイバー攻撃への対策を強化していく必要がある。
~「地政学的リスクに起因するサイバー攻撃(IPA独立行政法人情報処理推進機構)」より
わたしのなかでは、この類の脅威は出るだろうなと予想はしてました。
というのは、2024年12月26日という一年でもっとも慌ただしい最中、警察庁が、北朝鮮のサイバー攻撃グループ「TraderTraitor」による暗号資産の流出事件を明らかにしたからです。事件の発端は、2024年5月に起きた、暗号資産交換業者のひとつ「DMMビットコイン」から、約482億円相当の暗号資産の流出事件が発生ことです。
TraderTraitorは、DMMビットコインが委託する会社の従業員に対して、転職でよく利用されるSNSサービスの「LinkedIn」を通じて、リクルーターを装ったメッセージを送信しました。採用試験と称した悪意あるプログラムへのリンクを従業員に提供し、従業員の端末をウイルス感染させました。
攻撃の手口は、攻撃者がリクルーターに扮して、転職希望者を騙し、ウイルスを送り込むという、特定の個人を狙った典型的なスピア・フィッシングです。従業員の信頼を利用して、内部システムへのアクセスを得る行為は、ソーシャルエンジニアリングの手法を使ってます。
スピア・フィッシングは、その名のとおり、フィッシング詐欺のひとつですが、ターゲット選定が異なります。普通のフィッシングは無差別に大量配信をする攻撃です。多くのエサをまけば、誰かしらがひっかかるという発想です。スピア・フィッシングは、違います。特定のターゲットを定めます。よく使われるのは、ビジネスメール詐欺です。攻撃者は、同じ会社の同僚や取引先を装うことで、ターゲットの心の隙をつきます。
フィッシング攻撃のなかでも、スピア・フィッシングは対策が難しい攻撃とされます。攻撃者は同じ会社の同僚や取引先を装うので、怪しい人だとは思いにくいのです。共通の知り合いや、自分の所属部署などを話しに持ち出されたら、なかなか疑いを持つのは難しいでしょう。技術的な対策に頼るより、「なぜ自分がビジネスメールを受け取ったのか?」を冷静になって考えることが重要です。一歩引くことで、心に余裕も出てくるでしょう。
年末近くにこの事件が明るみになったので、今年の「情報セキュリティ10大脅威」を選出する専門家のアタマのなかも、大きな影響を与えたと思います。
よく会社の人事評価のエラーで紹介されるもので「期末誤差」というのがあります。期末誤差とは、評価算定期間の終盤の評価が全体の評価に影響してしまうことです。いつも失敗ばかりしている従業員が評価期間の終わりに、よい成果を発揮すると、評価者はその印象が強く残り、好評価を与えてしまうのが典型例です。
「地政学的リスクに起因するサイバー攻撃」は、もちろん重大な脅威であることに変わりありません。今年に初選出となったのは、脅威を選定する間際になって、情報セキュリティ事故の原因が明確になったことが影響したと思いました。
