今週のセキュリティニュースへようこそ!
ここでは、国内・国外で過去数日間に起こったサイバーセキュリティ関連のニュースやレポートなど、知っておくべきことをお伝えします。
ぜひご覧ください。
国内
経産省、IoT機器サイバー対策の認定制度を発表
経済産業省は、家具などのネットに繋がる「IoT」機器のサイバー対策を認定する新たな制度を定めることを発表しました。
通信機器のルーター、監視カメラ、スマート家電や産業用ロボットを対象に、セキュリティ能力を4段階に評価して、情報処理推進機構(IPA)が認定を与えるとのことです。レベル1の認定は2024年度中に始め、レベル2以降は2025年度からの開始を目指しています。
政府の情報システムなどの公共調達は認証を受けたIoTのみを対象にする方針で、将来的には地方公共団体や鉄道、ダムなどの事業でも、認定機器を使うよう求める予定です。
参照:経済産業省「第7回 産業サイバーセキュリティ研究会 ワーキンググループ3 IoT製品に対するセキュリティ適合性評価制度構築に向けた検討会」
警察庁、令和5年不正アクセス行為の発生状況を公表
警察庁は、令和5年に都道府県警察から警察庁に報告がなされた不正アクセス行為の認知・検挙状況をまとめた資料を公表しました。
これによると、令和5年における不正アクセス行為の認知件数は6,312件で、前年と比べて約186.9%の大幅な増加をしています。また、不正アクセス行為の手口別検挙数では、「利用権者のパスワードの設定・管理の甘さにつけ込んで入手」が最多で、全体の42.7%を占めています。
警察庁は、複数のウェブサイトやアプリ等で同じID・パスワードを使い回さないよう注意を呼びかけるとともに、管理方法や情報の保管場所についても注意を呼びかけています。
参照:警察庁「不正アクセス行為の発生状況及びアクセス制御機能に関する技術の研究開発の状況」
国外
中小企業が直面するサイバー脅威に関するレポート - Sophos調査
Sophosが発表した新しいレポートによると、Sophosのインシデントレスポンスサービスが対応した顧客の事例の75%以上が中小企業向けだったことがわかりました。ランサムウェアは引き続き中小企業に最も大きな影響を及ぼしています。しかし、その他の脅威も中小企業にとって重大なリスクとなっています。
中小企業を標的とするマルウェアの大半はデータ盗難が中心で、パスワード窃盗、キーボードロガー、その他のスパイウェアなどが検出件数の50%近くを占めていることを明らかにしています。
中小企業やあらゆる規模の組織が直面するサイバーセキュリティ上の最大の課題は、データ保護です。同社の顧客から報告された攻撃の90%以上が何らかの形でデータまたはクレデンシャルの盗難に関与しているとのことです。
参照:Sophos「The 2024 Sophos Threat Report: Cybercrime on Main Street」
CISA、クラウドベースに移行する際のID管理に関するガイダンスを発表
米サイバーセキュリティ・インフラセキュリティ庁(CISA)は、企業がオンプレミスのネットワークからクラウドベースのソリューションに移行する際のID管理機能に関して「セキュアクラウドビジネスアプリケーション(SCuBA)」と題するガイダンスを発表しました。
このガイダンスは、読者がアイデンティティ管理機能と実装オプションのトレードオフをよりよく理解できるようにするために作成されました。
CISAは、「最近話題になったいくつかのサイバーセキュリティ事件で、ID管理の脆弱性が重要な要因となっています。このため、業界関係者、ベンダー、およびその他の重要なパートナーは、オンプレミスからクラウドベースのIDソリューションへの移行や、フィッシングに強い多要素認証 (MFA)への導入を引き続き奨励しています」と述べています。
