2023年9月21日、警察庁が「令和5年上半期におけるサイバー空間をめぐる脅威の情勢等について」を発表しました。警察庁としては、本年上半期でもサイバー攻撃の脅威は以前として発生しており注意を呼びかけています。
本記事では警察庁が発表したサイバー空間における脅威の現状をわかりやすくお伝えします。
目次
サイバーインシデントごとの発生件数と事例について
サイバー攻撃による被害
大手システム事業者や電子部品関連企業などが不正アクセスや標的型メール攻撃の対象になるケースがみられ、またDDoS攻撃によりウェブサイトの閲覧障害が発生していることが報告されている。警察庁と内閣サイバーセキュリティセンターは重要インフラ事業者へのDDoS攻撃防止策を呼び掛けている。
フィッシング等による被害
令和5年上半期のフィッシングの報告件数は前年同期比17.9%増で、特にクレジットカード事業者を装ったものが増えている。一般社団法人日本クレジット協会によると、クレジットカードの不正利用被害額は令和4年に436.7億円と過去最悪で、令和5年第1四半期も前年同期比で21.3%増の121.4億円だった。さらに、インターネットバンキングに関する不正送金事犯も令和5年上半期に2,322件(前年比104.4%増)発生し、被害総額も約29.96億円(前年比97.2%増)で過去最多に迫っている。
ランサムウェアによる被害
令和5年上半期のランサムウェア被害は103件で、前年同期比9.6%減少したが、依然として高水準を保持している。多い手口はデータ暗号化と窃取、そして「対価を払わなければデータを公開する」という二重恐喝を行う手口が急増している。
脆弱性探索行為(不正アクセスをするための事前調査)の状況
警察庁によると、潜在的なサイバー攻撃の兆候である、脆弱性探索行為とみられるアクセス件数が1日・1IPアドレス当たり8,219.0件と前年同期比で5.4%増加し、上昇傾向にある。特に海外からのアクセスが大半を占めており、これらの行為が情報システムの脆弱性を突いた攻撃へと繋がる危険性を持つ事から、その脅威は増大している。
サイバーインシデント毎の対策の情勢
DDoS攻撃への対策
警察庁はDDoS攻撃への対策として、海外IPアドレスからの通信遮断、アクセス制限等のサーバ設定見直し、システムの選別・分離、対応マニュアルの策定など、セキュリティ対策の実施を薦めている。
フィッシング等の対策と情勢
警察庁は、クレジットカード番号の漏洩防止と対応強化のため、令和5年3月に個人情報保護委員会と、6月には経済産業省と覚書を締結した。また、インターネットバンキングの不正送金増加を受けて、SIMスワップ対策として総務省と協力し、携帯電話事業者に対し本人確認強化を要請。大手携帯電話事業者は令和5年2月までに対応を完了し、その結果、同年上半期のSIMスワップによる不正送金被害が大幅に減少した。
ランサムウェア被害の対策の情勢
警察庁はサイバー事案の「被害の潜在化」防止を目指し、有識者による検討会を開催し報告書を公表した。また、医療機関との連携を強化し、ランサムウェアなどの被害防止と警察への迅速な通報・相談促進を目指して、公益社団法人日本医師会と覚書を結び、連携強化を各国公私立大学病院にも依頼した。
脆弱性探索行為に対する対策
脆弱性探索行為の対策はJPCERT/CCは以下のように発表している。
また、上記以外にも、以下のような内容が有効ですので参考にしてください。
1.バックアップ
データの定期的なバックアップを行うことで、情報を復元することが可能になる。
2. アクセス制限
不必要なサービスやポートを無効化し、不正アクセスを防ぐ。
3.フィッシング対策
メールやウェブサイトを通じた詐欺攻撃(フィッシング)に対する教育を行う。
4.脆弱性診断の実施
WEBアプリケーションや各端末に脆弱性が無いか診断して対策を実施する。
まとめ
警察庁が発表した最新のサイバー攻撃の情勢は未だ厳しいものであり、決して他人事ではない内容です。今まで被害にあわなかったからといっても明日も被害に合わない可能性はどこにもありません。2023年に広島でG7サミットが行われた際は、広島の重要施設はもとより無関係なホテルや飲食店までサイバー攻撃の被害にあうということが発生した事例もありました。
secuasはサイバーセキュリティ対策の一つWEBサイトの脆弱性診断を無料で提供しています。URLを登録するだけで、下記のようにサイトに潜むリスク件数を確認することができます。
突然の被害にあわないためにも、ぜひこの機会に自社のサイトを診断してみてください。
【この記事と関連する記事はコチラ】