情報セキュリティメーカーのデジタルアーツ株式会社(本社:東京都千代田区、代表取締役社長:道具 登志夫、以下 デジタルアーツ、証券コード2326)は、過去3年間の国内セキュリティインシデントを集計したセキュリティレポートを公開したことを発表します。
2020年から2022年の国内組織における情報漏えい等のセキュリティインシデントを独自に集計
デジタルアーツは、2020年から2022年の国内組織における情報漏えい等にかかるセキュリティインシデントを、対象組織による公開報告書とマスメディアによる報道資料をもとに独自に集計しました。
2022年の国内セキュリティインシデント総数は1031件と、前年の697件の約1.5倍となりました。2021年に最も多かったインシデントは「不正アクセス」でしたが、2022年は「マルウェア感染」が383件で最多となりました。次いで「誤操作、設定不備」によるインシデントが159件、「紛失・盗難」が156件、「不正アクセス」が150件と続きました。
(リンク »)
【図1】2020年~2022年 国内セキュリティインシデントの集計
「マルウェア感染」インシデントは前年比約10倍
2022年の「マルウェア感染」インシデントは383件で、前年の39件と比べると約10倍となりました。「マルウェア感染」に分類したインシデントをさらに細かく分類すると、Emotetによるインシデントが318件、ランサムウェアによるインシデントは60件であることがわかりました。
(リンク »)
【図2】「マルウェア感染」インシデントの内訳
2022年はEmotetの感染報告が急増しましたが、感染報告数は下半期以後に少なくなりました。理由は、2022年下半期に入ってすぐの7月中旬からEmotetがメールでの配信活動を休止したためです。その後、一時的に(11月2日から12日頃までの約10日間)活動を観測したものの再び休止しました。以後、2023年1月末時点までメールでの配信活動を観測しておりません。
ランサムウェアによる被害報告も急増しています。ランサムウェアは60件で、前年比で約2倍、2020年と比較すると約6倍となっています。侵入経路に関する情報はあまり多く公開されていませんが、警察庁の調査※1によるとVPN機器からの侵入が半数以上を占めることが分かっています。
組織規模や場所も関係なく起こりうるセキュリティインシデント、引き続き注意が必要
2022年に「マルウェア感染」のインシデントが発生した組織は、全国の自治体や学校、医療機関などさまざまな組織であり、組織規模の大小や場所も関係ありません。また、昨今では委託先が起因となったインシデントや海外子会社などが不正アクセスを受け、そこから国内の本社や生産拠点へも侵入されて影響を受けるといった事例も発生しています。情報処理推進機構(IPA)が選出する「情報セキュリティ10大脅威 2023」では「サプライチェーンの弱点を悪用した攻撃」が組織編で2位※2となるなど深刻な脅威となっていることがうかがえます。
2023年もランサムウェアの脅威は続くでしょうし、活動休止中のEmotetはまたいつ再開するとも限りません。どんな小さな組織であっても、都市部から離れた地域にあったとしても、セキュリティ対策をおろそかにしないことが重要です。自組織が実施するセキュリティ対策はもちろん、取引先や委託先側の情報セキュリティ対策の確認や監査といったことも検討し、サプライチェーン全体を視野に入れ被害が発生しにくい環境を目指すことが重要です。
▼詳細のセキュリティレポートはこちら
[2023年1月公開]過去3年分の国内セキュリティインシデント集計
(リンク »)
▼デジタルアーツが提案するセキュリティ対策
■「i-FILTER」Ver.10 ・「m-FILTER」Ver.5 - セキュリティ対策の新定番 ホワイト運用
受信したすべてのメールを開け、アクセスしたいWebをクリックできる。情報システム部門の運用負荷も削減できる。デジタルアーツの「ホワイト運用」がセキュアな世界を実現します。
(リンク »)
■Web関連の脅威を検知し、対処方法を通知「Dアラート発信レポートサービス」
「Dアラート発信レポートサービス」は、マルウェアの脅威検知・対処方法をお伝えするレポートです。「いつ」「どのユーザーに」「どんな脅威が発生したか」レポートを見るだけで把握が可能で、「今後どのように対処すれば良いか」の明瞭な対処方法をご提示します。
(リンク »)
※1 警察庁 「令和4年上半期におけるサイバー空間をめぐる脅威の情勢等について」
(リンク »)
※2 IPA 「情報セキュリティ10大脅威 2023」
(リンク »)
お問い合わせにつきましては発表元企業までお願いいたします。