信息安全白皮书

「情報セキュリティ白書2022」の刊行にあたって 2021年も新型コロナウイルス変異株による感染拡大が継続しました。米欧では対策緩和の方針がとられましたが、ワクチン接種やそれに基づく移動許可等の可否について多くの議論を呼びました。日本は、厳しい規制の中で東京2020オリンピック・パラリンピック競技大会を無観客で開催、成功させましたが、その後も規制はゆるまず、テレワーク等の新しい業務形態が定着していきました。 この間、重要な組織やインフラを狙った攻撃も続きました。特に目立ったのがランサムウェア被害です。米国では2021年5月にエネルギー事業者が攻撃を受け、米国東部の石油供給が一時ストップしました。国内では7月に食品事業者がバックアップデータまで暗号化され、事業再開が遅れました。10月には病院が攻撃を受けて診療に支障が出ました。2022年2月には製造事業者が攻撃を受け、納入先の事業者の生産に影響が出ました。昨年の巻頭言で申し上げたとおり、こうした攻撃は巧妙化しており、システムの脆弱性やサプライチェーンを介して侵入し、情報を盗んで二重の脅迫を行う等、深刻な脅威となっています。一方脆弱性については、テレワークで活用が進んだVPN等の対策がまだ十分でなく、12月には広範囲のWebシステムに影響を及ぼすLog4jの脆弱性が報告されました。こうした懸念もあり、2022年の10大脅威では修正プログラムの公開前を狙う攻撃（ゼロデイ攻撃）が初めてランクインしました。テレワークやDX推進等によって生活や業務の各場面でデジタル化が進む中、安全で信頼できると思っていた機器やシステムに脆弱性が見つかり、ゼロデイ攻撃され、生活の一部が突然立ち行かなくなるかもしれない、そういう時代を私達は迎えつつあります。 更に2021年後半以降のウクライナ危機は、「まさかこのような事態が起こるとは」を私達に痛切に感じさせました。ロシアとウクライナの紛争は、情報セキュリティの視点からは、三つの点が特に注目されます。一つ目は、紛争が武力とサイバー空間上の攻防が組み合わされたハイブリッドな戦いであること。二つ目は、ネット等で配信される紛争関連情報が急増し、その信頼性の見極めが難しいこと。最後は、サイバー空間の攻防において、民間組織や個人が簡単に当事者になってしまうこと。私達は国家間の分断や物的な流通分断のリスクに加え、虚偽の情報に誘導される、サイバー攻撃の対象になる、等のリスクに直面することとなりました。 半年前まで想定できなかったこうした状況に私達はどう対応すればよいでしょうか。申し上げてきたことの繰り返しになりますが、リスク対応の基本が大切であると思います。情報セキュリティに関しては、機器やシステムの脆弱性をなくすこと、このサービスが止まったときにどうするか、の想像力を持つことは大変重要です。また虚偽の情報に惑わされないために、様々なソースの情報を参照し、視野を広く持つことも大切になるでしょう。本白書が、多くの方々に広く利用され、新しい生活や働き方のリスクに対する意識を高め、備えを実践するための一助となることを祈念します。 2022年7月 独立行政法人情報処理推進機構（IPA）理事長 目次 序章2021年度の情報セキュリティの概況・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・6 第1章情報セキュリティインシデント・脆弱性の現状と対策・・・・・・・・・・・・・・8 1.12021年度に観測されたインシデント状況・・・・・・・・・・・・・・・・・・・・・・・・・・・・8 1.1.1世界における情報セキュリティインシデント状況・・・・・・・・・・・・・・・・・・・・・・・・・・・・・8 1.1.2国内における情報セキュリティインシデント状況・・・・・・・・・・・・・・・・・・・・・・・・・・・・・11 1.2情報セキュリティインシデント別の手口と対策・・・・・・・・・・・・・・・・・・・・・・・・16 1.2.1標的型攻撃・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・16 1.2.2ランサムウェア攻撃・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・21 1.2.3ビジネスメール詐欺（BEC）・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・26 1.2.4DDoS攻撃・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・31 1.2.5ソフトウェアの脆弱性を悪用した攻撃・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・33 1.2.6ばらまき型メールによる攻撃・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・36 1.2.7個人をターゲットにした騙しの手口・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・39 1.2.8情報漏えいによる被害・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・49 1.3情報システムの脆弱性の動向・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・55 1.3.1JVNiPediaの登録情報から見る脆弱性の傾向・・・・・・・・・・・・・・・・・・・・・・・・・・・55 1.3.2早期警戒パートナーシップの届出状況から見る脆弱性の動向・・・・・・・・・・・・・・・・59 第2章情報セキュリティを支える基盤の動向・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・70 2.1国内の情報セキュリティ政策の状況・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・70 2.1.1政府全体の政策動向・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・70 2.1.2経済産業省の政策・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・74 2.1.3総務省の政策・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・81 2.1.4警察によるサイバー犯罪対策・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・87 2.1.5CRYPTRECの動向・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・91 2.2国外の情報セキュリティ政策の状況・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・94 2.2.1国際社会と連携した取り組み・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・94 2.2.2アジア太平洋地域でのCSIRTの動向・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・98 2.3情報セキュリティ人材の現状と育成・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・101 2.3.1情報セキュリティ人材の状況・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・101 2.3.2産業サイバーセキュリティセンター・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・105 2.3.3情報セキュリティ人材育成のための国家試験、国家資格制度・・・・・・・・・・・・・・・107 2.3.4情報セキュリティ人材育成のための活動・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・108 2.4組織・個人における情報セキュリティの取り組み・・・・・・・・・・・・・・・・・・・・112 2.4.1企業等における対策状況・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・112 2.4.2中小企業に向けた情報セキュリティ支援策・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・115 2.4.3教育機関・政府及び地方公共団体等法人における対策状況・・・・・・・・・・・・・・・120 2.4.4一般利用者における対策状況・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・123 2.5情報セキュリティの普及啓発活動・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・127 2.5.1ネットリテラシーの重要性・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・127 2.5.2恒常的な啓発活動・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・129 2.5.3インターネットがもたらす未来・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・131 2.6国際標準化活動・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・133 2.6.1様々な標準化団体の活動・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・133 2.6.2情報セキュリティ、サイバーセキュリティ、プライバシー保護関係の規格の標準化 （ISO/IECJTC1/SC27）・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・134 2.7安全な政府調達に向けて・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・143 2.7.1ITセキュリティ評価及び認証制度・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・143 2.7.2暗号モジュール試験及び認証制度・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・146 2.7.3政府情報システムのためのセキュリティ評価制度（ISMAP）・・・・・・・・・・・・・・・・・148 2.8その他の情報セキュリティ動向・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・150 2.8.1個人情報保護法改正・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・150 2.8.2内部不正防止対策の動向・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・152 2.8.3暗号技術の動向・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・155 第3章個別テーマ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・164 3.1制御システムの情報セキュリティ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・164 3.1.1インシデントの発生状況と動向・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・164 3.1.2脆弱性及び脅威の動向・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・167 3.1.3海外の制御システムのセキュリティ強化の取り組み・・・・・・・・・・・・・・・・・・・・・・・・169 3.1.4国内の制御システムのセキュリティ強化の取り組み・・・・・・・・・・・・・・・・・・・・・・・・171 3.2IoTの情報セキュリティ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・