IPA(情報処理推進機構)が毎年1月に発表している「情報セキュリティ10大脅威」。2024年版の「組織」向け脅威では、1位の「ランサムウェアによる被害」が9年連続9回目の選出となるなど、ここ数年は同じような項目が並ぶ(表1)。2024年版でも新たに選出されたものはなく、企業・組織を脅かしているインシデントが以前と変わらないことが分かる。同時に、企業・組織の対策がなかなか進んでいないこともうかがい知れる。
その組織向け脅威の「2位 サプライチェーンの弱点を悪用した攻撃」「4位 標的型攻撃による機密情報の窃取」「6位 不注意による情報漏えい等の被害」「9位 テレワーク等のニューノーマルな働き方を狙った攻撃」のいずれにもかかわっていると思われるインシデントが、2023年に発生していたことをご存じだろうか。2023年9~10月に発生した米Okta(オクタ)に対する不正アクセスと、同年10月および11月に発生した米Cloudflare(クラウドフレア)に対する不正アクセスである。
これらは海外の事例であり少し時間もたっているが、国内の組織にとっても多くの教訓が得られるものだ。今回はこれらの事例を各社の報告書をベースに紹介し、その原因をひもとくとともにそこから得られる教訓や対策を解説する。
