|
2023年5月30日,日本信息处理推进机构(IPA)就1月底公布的2023年版“信息安全10大威胁”,追加公布了分析资料。现对该威胁内容、分析资料等进行简介,以供读者参考。 
1. IPA隶属及业务内容简介 2. 2023年版信息安全10大威胁简析 3. IPA最新一期年度工作总结 日本独立行政法人信息处理推进机构(Information-technology Promotion Agency, IPA),是日本为了从技术和人才两个方面落实IT国家战略而设立的,隶属于经济产业省,于1970年设立,2004年改组为现机构。IPA官网称其致力于研究IT界技术动向、强化信息安全对策、培养优秀IT人才,追求实现安全且便利的“可依赖的IT社会”。其下设有产业网络安全中心(ICSCoE)、安全中心(ISEC)、社会基础中心、IT人才培养中心等。在人才培养领域,IPA负责实施的国家考试——“信息处理技术人员考试”尤为知名,其他业务还包括以发掘天才程序员为目标的“探索性软件创造业务”、以学生为对象的安全教育集训“安全训练营”等。在信息安全方面,IPA的产业网络安全中心等部门,负责开展安全知识的普及活动、与日本计算机应急小组协调中心(JPCERT/CC)共同运营软件漏洞数据库“JVN”(Japan Vulnerability Notes)、主办网络信息共享倡议(J-CSIP),运营IT安全评价及认证制度(JISEC)等。为了普及信息安全对策,IPA从2006年开始,从前一年发生的信息安全事故和攻击状况中选取不同的威胁手段进行排名,并公布前10名。2023年1月25日,IPA公布了“信息安全10大威胁2023”,此次公布的10大威胁是经IPA先行选择,再由信息安全领域的研究人员、企业的实务负责人等约200名成员组成的选拔会投票决定的。其中,“勒索软件攻击”连续3年成为“组织”方面威胁的第一名。 
图1 2023版“信息安全10大威胁” 钓鱼骗取个人信息;网上的诽谤、中伤、谣言;利用邮件、SMS等进行威胁、欺诈手段的金钱要求;非法使用信用卡信息;非法使用手机支付;非法应用程序侵害手机用户权益;伪装成虚假警告的网络欺诈;网络服务窃取个人信息;非法登录互联网服务;一键欺诈等造成的金钱损失(属于新增内容。一键欺诈指只要点击一次网站或电子邮件中的URL,就被单方面宣布加入服务,被要求支付巨额费用的欺诈)。勒索软件攻击;滥用供应链弱点的攻击;被标靶型攻击窃取机密信息;内部非法泄露信息;针对远程办公等新型办公方式的攻击;瞄准修正程序公开前的攻击(零日攻击);商业邮件诈骗;脆弱性对策信息公开导致的滥用;由于不慎导致的信息泄露;犯罪的商业化(地下服务)(新增内容)。在“个人”方面排名中,“钓鱼骗取个人信息”连续2年排名第一。钓鱼欺诈是指伪装实际存在的官方机构、著名企业,发送邮件和短信(SMS),诱导受害者进入模仿正规网站的钓鱼网站输入认证信息和个人信息,进行诈骗的手法。据钓鱼对策协议会(Council of Anti-Phishing Japan)数据,2022年的报告件数约为97万件,比2021年的约53万件大幅增加。IPA称,为了预防通过被诈骗的认证信息进行非法登录,须推行多要素认证;同时,日常也需要检查所使用服务的登录履历和信用卡明细等,以尽早发现受害。在“组织”方面的排名中,“勒索软件造成的损失”连续3年排名第一。2022年,恶意利用漏洞的事例和通过远程桌面非法访问的事例屡有发生。另,新的手段凸显,包括把窃取信息加密、威胁要公开窃取信息的“双重威胁”,再加上发动DDoS攻击、与受害者的客户和相关人员联系,共形成了“四重威胁”。IPA称,因为勒索软件的感染路径涉及多个方面,所以需要采取可靠且多层级的应用病毒对策、非法访问对策、漏洞对策等基本措施。另外,还需要进行预防攻击的事前准备,例如制定备份和恢复计划等。今年,“个人”方面、“组织”方面排名第10的威胁都是新增内容。IPA称,正如后者排名第10的“犯罪商业化(地下服务)”,需要采取适当的新举措。IPA着重强调共通的应对举措有以下几项:正确使用密码;提高信息素养;不要轻易打开邮件的附件或者点击链接、URL等;及时进行报告/联络/咨询;建立事故体制,以进行应对;服务器、客户端和网络须采取正确的安全措施;执行备份操作。IPA在其已公布的最新一期年度业务总结、即2021财年(2021年4月1日至2022年3月31日)事业报告书中称,2021财年部分重点工作如下。3.1 安全对策的强化,针对新型威胁迅速采取相应措施主要措施1:针对供应链风险的增大,实施“SECURITY ACTION”(中小企业自行采取信息安全对策的制度,提升日本全境的中小企业安全对策效果) 。主要措施2:针对攻击的多样化和巧妙化,实施“网络信息共享倡议”(J-CSIP)(以官方机构IPA为信息中枢,旗下各机构之间实行信息共享,并采取高级的网络攻击对策。该倡议涉及重要产业、重要基础设施等15个行业、292家机构,支持企业之间的信息共享)。主要措施3:社会基础产业面临网络攻击风险,可能会引起实际损害。针对这种情况,实施“核心人才培养程序”(指对连接企业管理层和一线人员的核心人才,进行为期1年的培训)。
图2 网络信息共享倡议 3.2 对具备高级能力的IT人才进行发掘、培养,形成网络,扩大IT人才队伍主要措施1:推进革新性下一代IT社会实践:实施探索性目标业务(2021年度培养量子计算技术人才13名,以促进量子计算技术发展及社会应用)。主要措施2:针对学校教育中推进数字教育、数理及人工智能人才的需求高涨,实施IT许可证(IT passport)考试(考试人数达24.4万人,为往年最高,连续4年突破10万人)。主要措施1:强化实现society5.0的框架设计功能,例如IPA于2020年5月设立DADC(Digital Architecture Design Center),以期实现社会的数据合作和共享。主要措施2:企业推进数字经营改革:设立“DX SQUARE”(一元化信息发布网站,以期推进企业数字化转型(Digital Transformation,首字虽是DT,日本简称DX),提供相关信息供社会进行学习和实践);发布“DX白皮书2021”,综合概括推进数字化转型的信息。
图3 “DX SQUARE”网站 主要措施3:数字人才管理政策改善的促进,例如设立“manabi dx”网站,主张所有人员都必须具备数字技能。在强化迅速应对新威胁的安全对策方面,IPA提到包括以下几项内容:对以所有设备、系统、媒体为对象的网络攻击相关信息进行收集、分析、提供和共享;增强日本重要基础设施和产业基础对网络攻击的防御能力;基于非技术因素的调查、分析;安全对策的普及、信息提供;切实实施IT产品等的安全评价、认证等;密码技术的调查、评价;对日本独立行政法人等的非法通信进行监视、监查等。 (全文完) 参考链接:
|
