IPA「情報セキュリティ10大脅威 2021」 テレワークの脅威が初登場
~2021年1月の気になるセキュリティニュース~ セキュリティニュース

2021年2月8日

セキュリティニュース一覧

1月のトピックスを紹介します。

IPAは、情報セキュリティにおける脅威のうち、2020年に社会的影響が大きかったトピックをまとめた「情報セキュリティ10大脅威 2021」を公開しました[1]。
組織のランキングでは、昨年5位の「ランサムウェアによる被害」が1位となり、「標的型攻撃による機密情報の窃取」、「テレワーク等のニューノーマルな働き方を狙った攻撃」が続く結果となりました。「テレワーク等のニューノーマルな働き方を狙った攻撃」は、初登場で第3位にランクインする結果となっています。

・IPA「情報セキュリティ10大脅威 2021」 テレワークの脅威が初登場
IPAの「情報セキュリティ10大脅威 2021」では「テレワーク等のニューノーマルな働き方を狙った攻撃」が、初登場で第3位にランクインする結果となりました。
2020年はコロナ禍の影響でテレワークが急増しましたが、VPN経由で社内システムにアクセスしたり、Web会議サービスを利用したりする機会が増え、私物PCや自宅ネットワークの利用、初めて使うソフトウェアの導入など、業務環境の急激な変化を狙った攻撃が増加したものとみられています。
今後もこうした攻撃は継続するものとみられ、テレワークを実施する企業では、基本的な対策のほか、テレワークの規定や運用ルールの整備、セキュリティ教育の実施などのセキュリティ対策が求められるとしています。

1月の主なマルウェア・不正アクセス関連の記事を紹介します。

・ソフトバンク元社員、転職先に技術情報持ち出しか
ソフトバンク株式会社は、退職した元社員が不正競争防止法違反の容疑で逮捕されたことを発表しました[2]。元社員は、同社営業秘密に該当するネットワーク技術に関わる情報を不正に持ち出し、転職先の楽天モバイル社で利用したとの報道がなされています。一方、楽天モバイル側では、同社の技術情報が業務利用された事実はないとの発表を行っています[3]。

・イオンでも不正アクセス、Salesforce社のクラウドサービス利用
イオン株式会社にて、Salesforce社のクラウドサービスの設定不備が原因で不正アクセスを受けていたとの報道がありました。既に楽天やPayPayでも同様の問題が明らかになっており、これらは氷山の一角で、問題の存在に気づいていない企業も多いのではないかとの指摘もなされています[4]。

・福岡県、クラウドのアクセス権を誤り新型コロナ感染者情報が公開状態に
福岡県は、新型コロナ感染者9500人分の個人情報がクラウドサービス上で外部から閲覧できる状態だったと発表しました[5]。同県の医療関係者が、個人情報を含むファイルへアクセス権限を付与するメールを外部に誤送信、このメールを受信した方から連絡があり、発覚しました。県は即時にフォルダへのアクセス権限を削除しましたが、個別ファイルへのアクセス制限はなされておらず、URLに直接アクセスすれば誰でもアクセスできる状態が継続していたとしています[6]。

1月の主要なOS、ミドルウェアにおけるインシデントを紹介します。

該当する製品を利用されている場合は、システムへの影響などに鑑み、対策などを速やかに実施することが推奨されています。

・Dnsmasqに脆弱性「DNSpooq」、迅速にアップデートを
JPCERT/CCは、DNSやDHCPの機能を提供するオープンソース・ソフトウェア「Dnsmasq」に複数の脆弱性が存在するとの情報を公開しました[7]。これらの脆弱性を悪用されると、遠隔からのコード実行や情報窃取、悪意あるサーバへの誘導などを実施される危険性があるとし、注意を呼びかけています。

その他、政府・業界動向などに関連する記事を紹介します。

・2020年第4四半期(10~12月)インシデント報告対応レポート
JPCERT/CCは、2020年第4四半期のインシデント報告対応レポートを公開しました[8]。同センターへの報告の全体件数は1万3066件と、前四半期の1万3831件からは僅かに減少しているものの、ウェブサイトの改ざんやマルウェアサイトは倍増しているとしています[9]。

・2020年は2515万人分の個人情報が流出(東京商工リサーチ調査)
東京商工リサーチは、2020年の「上場企業の個人情報漏えい・紛失事故」調査結果を発表しました[10]。事故件数は103件、流出した個人情報は2515万47人分、事故原因で最も多かったのは「ウイルス感染・不正アクセス」としています。サイバー攻撃による事故は、2年連続で増加し過去最多となっており「コロナ禍で広がった働き方の変化により、これまで以上のセキュリティ対策や情報管理の体制づくりが重要」と、サイバー犯罪に対するセキュリティ対策の重要性を改めて問いかけています[11]。

出典

最後に

本記事は、2021年1月に報道されたセキュリティニュースを基に、特に注目するセキュリティ情報を掲載しています。
注目するセキュリティニュースをまとめて掲載することで、読者の皆さまがよりセキュリティに興味を持ち、日々の対策にご活用いただくきっかけとなれば幸いです。


京セラコミュニケーションシステム株式会社
セキュリティニュースチーム

掲載されている情報は、発表日現在の情報です。最新の情報と異なる場合がありますのでご了承ください。

ページトップへ