McAfee Enterpriseが発表した2021年の10大セキュリティ事件ランキングから、2021年のサイバー攻撃の傾向を読み解き、今後必要な対策を解説する。
McAfee Enterpriseは、2021年の10大セキュリティ事件ランキングを発表した。これは、同社が国内の経営層や情報システム部門のビジネスパーソンを対象に実施した調査(調査対象:2020年12月〜2021年11月に報道された事件)を基に、セキュリティ事件に対する認知度を順位付けしたものだ。
2021年はクラウドに機密情報を有する事業者にとって、システム全体の監査とセキュリティ脅威に関する継続的な情報収集及び対策の重要性について、改めて考えるきっかけになる事件が多い。いま一度事件を振り返り、2022年以降のセキュリティ対策の参考にしたい。以下が、2021年セキュリティ事件ランキングトップ10だ。
以降で2021年セキュリティ事件のトレンドや、それに対するMcAfee Enterpriseの見解を解説する。
調査対象期間を代表する事件として第1位に登場したのは、電子決済サービス提供する企業が管理するサーバが不正アクセスの被害に遭い、2000万件以上の加盟店の情報が流出した事件だ。電子決済サービスの利用者が増加する中、加盟店の情報へのアクセス権限設定不備を狙われて発生したこの事件は世間に大きな話題となった。
第4位にランクインした米国の重要インフラ事業者を狙った攻撃や、第9位の精密化学メーカーを狙った攻撃、またこの中にはないが医療機関が攻撃された事件などもあり、ランサムウェアによる攻撃が大きなインパクトを残した。攻撃手法が日々進化し巧妙化する中、組織は後手に回らない対策が求められる。
警察庁から2021年9月に発表された2021年上半期の脅威情勢(注1)によると、ランサムウェアの報告件数は2020年下半期から約3倍になり、それに伴い企業や団体の被害件数も増加した。
2021年は2020年に引き続きクラウドサービスの利用が増えた。さまざまなサービスがオンラインで提供されることで利便性は高まるが、安全に利用できるよう、サービスの運営事業者は包括的な対策を採る必要がある。1位の事件以外にもクラウドサービス利用時の設定不備を突いた不正アクセスが幾つか見られ、企業の信頼性を維持するためにも、セキュリティ観点でのガバナンスの確立、自社の脆弱(ぜいじゃく)な点を監査する組織や仕組みの導入などの重要性が高まると考えられる。
2021年は国内の大企業や米国の重要インフラ事業者を狙ったランサムウェア攻撃にも注目が集まった。データの暗号化に加えて事前に重要データを手元に収め、暗号化データの復号のための身代金交渉がうまくいかない場合に重要データを漏えいさせると脅す2重脅迫型が主流だった。RaaS(Ransomware as a service)のプラットフォームを使用し、データの暗号化や情報搾取のための手法が洗練されたことも特徴だ。ランサムウェア攻撃の目的やパターンも変わる中で、企業や組織は有効とされていたデータのバックアップだけでなく、攻撃者の侵入や横展開、重要データの搾取という一連のフェーズを多層で防御する対策に加え、万が一攻撃が成功してしまっても、迅速に検知し対応する対策の実施が求められる。
今回は電子決済サービスにおける情報流出や、国内大手企業や米国の重要インフラ事業者を狙ったランサムウェア攻撃といった収益化を狙う脅威に注目が集まった。しかし、全体的に認知度は低い結果となり、世間を大きく賑わせた大型のセキュリティ事件は例年と比較すると少ない印象だ。
出典:McAfee Enterprise「2021 年のセキュリティ事件に関する意識調査」(2021年12月14日)
(注1)警察庁広報資料「令和3年上半期におけるサイバー空間をめぐる脅威の情勢等について」
Copyright © ITmedia, Inc. All Rights Reserved.
製品カタログや技術資料、導入事例など、IT導入の課題解決に役立つ資料を簡単に入手できます。