公務機関の2025年サイバーセキュリティ通報は726件、デジタル発展部が5大脅威を警告

中央通信社（台北24日）デジタル発展部資安署は、2025年の公務機関におけるサイバーセキュリティ通報件数が合計726件であったと発表した。そのうち不正侵入が全体の68.60%を占め、最も多い。同署は、偽造通信ソフトのインストールやネットワーク境界機器の脆弱性、設定リスクなど、5つの主要な脅威に対して各機関が検証を行うよう警告した。

各機関は「情報通信安全事件通報応変及び演練弁法」に基づき、情報の機密性、完全性、可用性への影響度に応じて、通報される事件のレベルを軽度から重度まで1級から4級に分類している。

資安署によると、2025年の公務機関による通報件数（実地演習を除く）は726件で、2024年と比較して29件減少した。内訳は、1級事件が87.33%で最多、2級が9.78%、3級が2.89%となり、4級の発生はなかった。

事件の種類としては、不正侵入が68.60%で最多。次いで設備の問題が15.43%、サービス拒否攻撃（DoS）が4.96%、ウェブ攻撃が2.48%などとなっている。

資安署は、脅威情勢と2025年の通報事例に基づき、ハッカーの常用手法を分析し、5つの主要な脅威と防御策を提示した。第一に、デバイスの入れ替え時に非公式ウェブサイトから偽造通信ソフトをダウンロードし、バックドアが仕込まれるケース。機関はソフトウェアのインストール管理を徹底すべきである。

第二に、ドライバを悪用して検知を回避するランサムウェア攻撃。機関は定期的な脆弱性スキャンとウェブアプリケーションファイアウォールの導入が必要である。

第三に、サプライチェーンの管理不備。保守業者がウェブサーバーにリモートデスクトップソフトをインストールし、パスワードが突破されるケース。機関はサプライヤーの安全管理規範を策定すべきである。

第四に、ネットワーク境界機器の脆弱性や設定ミス。ホワイトリスト戦略の採用とファームウェアの更新が推奨される。

第五に、ソーシャルエンジニアリングとクラウドサービスの悪用。電子メールフィルタリングやクラウド共有権限の制限が求められる。

資安署は、各機関に対し、データのバックアップと復旧機能の確保、および事業継続計画（BCP）演習の徹底を求めている。また、重要システムの暗号化と分散バックアップを推進し、サイバーレジリエンスを向上させる方針だ。