2023年上半期サイバーセキュリティレポート ~Emotetダウンローダーの新傾向や生成AIの安全な利活用のポイントを解説~

この記事をシェア
全72ページのレポート(PDF)無料ダウンロードはこちら

2023年1月から6月(以下上半期)に発生したサイバーセキュリティの脅威動向や、日本国内および全世界で検出されたマルウェアなどについて解説した、2023年上半期サイバーセキュリティレポートです。
本レポートでは、Microsoft OneNote(以下OneNote)のファイル形式を悪用したダウンローダー、ChatGPTなど生成AIの利用におけるリスクなど、2023年上半期に発生したサイバーセキュリティの脅威動向について、サイバーセキュリティラボ独自の視点で分析、考察し、対策を紹介しており、セキュリティ対策に役立つ情報をまとめています。

2023年上半期サイバーセキュリティレポート~Emotetダウンローダーの新傾向や生成AIの安全な利活用のポイントを解説~

トピック

  • 第1章:2023年上半期マルウェア検出統計

2023年上半期の日本国内における検出数は2022年下半期から引き続き減少し、2020年上半期以降で最も低い値となり、新型コロナ以前の2019年の値に近づきました。マルウェア検出数のTOP10では、悪意のある広告を表示させるアドウェアやフィッシングでログイン情報を窃取するマルウェアなどの検出数が前年から引き続き高い水準で検出されました。本章では、2023年上半期にESET製品が国内外で検出したマルウェアの検出数に関する分析結果を解説します。

  • 第2章:Emotetも悪用?OneNote形式のダウンローダーについて

2022年12月頃からOneNoteのファイル形式「.one」を悪用したダウンローダーが確認されており、2023年3月には、活動再開したEmotetのダウンローダーとしても悪用されています。この背景として、インターネット上から入手したOfficeファイルのマクロをブロックする機能を追加するMicrosoft社のアップデートを回避する狙いや、OneNoteの仕様が挙げられます。
OneNoteの仕様や、ESET製品におけるOneNote形式のダウンローダー検出状況およびダウンローダー感染までの流れを解説し、悪用されたOneNote形式のダウンローダーへの対策を紹介します。

  • 第3章:次世代Web3.0技術のセキュリティ IPFSを悪用したフィッシング詐欺について

インターネットの新たなステージとして、ブロックチェーンやP2Pなどの技術によって実現する次世代の分散型インターネット「Web3.0」が注目されています。Web3.0はプライバシーやセキュリティなどのさまざまな問題を解決するために構想された概念です。また、2015年に開発された分散型ファイル共有システムIPFS(InterPlanetary File System)は、Web3.0のインフラとなり得る技術として注目が集まっています。
IPFSがどのような技術であるのかと、IPFSを悪用したフィッシング詐欺事例について解説し、インターネット利用者ができる対策とIPFSを安全に使うための心掛けを紹介します。

  • 第4章:ChatGPTをはじめとする生成AIの悪用シナリオと、安全に使うために気を付けるべきこと

2023年5月に開催された先進7カ国首脳会議(G7広島サミット)で主要議題に挙げられるなど、生成AIは昨今大きな注目を集めています。一方で市場規模が拡大するにつれてサイバー攻撃者による生成AIの悪用と生成AIを使用するシステムへの攻撃などの機会も増加しています。
OpenAI社によるAIサービスChatGPTを例に、攻撃者による悪用事例と、ChatGPTを使用するシステムへの攻撃事例を解説します。また生成AIを安全に利用するポイントやガイドラインの活用方法などについても紹介します。

  • 第5章:医療機器の脆弱性 ~ その攻撃可能性と対策

2016年に発生したボットネットMiraiの攻撃以来、IoTの脆弱性が注目されていますが、医療機器にも脆弱性によるセキュリティリスクが度々報告されています。米国サイバーセキュリティ・社会基盤安全保障庁が公開している脆弱性情報の中で医療機器に関係するものは、2018年に27件のピークを迎え、その後年間20件前後で推移しています。これらのリスクは患者の生命の危機に直結することから、対策が急務となっています。
医療機器の脆弱性が問題になった事例や、脆弱性の特徴および対策を説明します。また日本国内での、医療機器のライフサイクル全体を通じたセキュリティ確保に関する動向について紹介します。

  • 第6章:実践!シフトレフト ~ 今から始めるソフトウェア開発者のセキュリティ対策

DXに代表されるように、従来に比べソフトウェアはクラウドやIoT、AIなど、さまざまな要素が絡み合い、セキュリティを含む品質担保がより難しくなっています。ソフトウェア開発において脆弱性の見逃しや手戻りを減らすためには、上流工程からセキュリティ対策を組み込むシフトレフトという考え方が重要です。 シフトレフトという言葉について改めて確認するとともに、ソフトウェア開発者が着目すべき7つのポイントを交えながら実践方法について紹介します。

解説動画公開中!

「2023年上半期サイバーセキュリティレポート紹介動画」
各章の内容を要約して解説いたしました。

詳細レポートは、下記よりダウンロードしていただきご覧ください。

全72ページのレポート(PDF)無料ダウンロードはこちら
この記事をシェア

サイバー攻撃対策に

サイバーセキュリティ
情報局の最新情報を
チェック!