ENISA テレコム・セキュリティ・インシデント 2022
こんにちは、丸山満彦です。
匿名化に時間がかかりましたかね...
2022年に発生した主要な通信業界のセキュリティ・インシデントについて、匿名化、集計した情報をまとめたもの...
サイバー攻撃は新しいので気になりますが、やはり、システム障害がまずは重要ですかね...
● ENISA
・2024.03.14 Telecom Security Incidents 2022
・[PDF]
目次...
1. INTRODUCTION | 1. 序文 |
2. BACKGROUND AND CONTEXT | 2. 背景と文脈 |
2.1 POLICY CONTEXT | 2.1 政策の背景 |
2.2 INCIDENT REPORTING FRAMEWORK | 2.2 インシデント報告の枠組み |
2.3 INCIDENT REPORTING TOOL | 2.3 インシデント報告ツール |
3. ANALYSIS OF INCIDENTS | 3. インシデントの分析 |
3.1 CATEGORIES OF ROOT CAUSES OF INCIDENTS | 3.1 インシデントの根本原因のカテゴリー |
3.2 USER HOURS LOST IN EACH CATEGORY OF ROOT CAUSES | 3.2 根本原因のカテゴリーごとに失われたユーザー時間 |
3.3 DETAILED ROOT CAUSES AND USER HOURS LOST | 3.3 詳細な根本原因と失われたユーザー時間 |
3.3.1 Breakdown of root causes | 3.3.1 根本原因の内訳 |
3.3.2 Breakdown of system failures | 3.3.2 システム障害の内訳 |
3.3.3 Breakdown of human errors | 3.3.3 ヒューマンエラーの内訳 |
3.3.4 Breakdown of natural phenomena | 3.3.4 自然現象の内訳 |
3.3.5 Breakdown of malicious actions | 3.3.5 悪意ある行為の内訳 |
3.4 SERVICES AFFECTED | 3.4 影響を受けるサービス |
3.5 TECHNICAL ASSETS AFFECTED | 3.5 影響を受ける技術資産 |
4. DEEP-DIVE ANALYSIS OF THE TECHNICAL CAUSES OF INCIDENTS | 4. インシデントの技術的原因を深く掘り下げた分析 |
4.1 HARDWARE FAILURES | 4.1 ハードウェアの故障 |
4.2 SOFTWARE BUGS | 4.2 ソフトウェアのバグ |
4.3 FAULTY SOFTWARE CHANGES/UPDATES | 4.3 ソフトウェアの不具合による変更/更新 |
5. MULTIANNUAL TRENDS | 5. 複数年の傾向 |
5.1 MULTIANNUAL TRENDS – CATEGORIES OF ROOT CAUSES | 5.1 複数年の傾向 - 根本原因のカテゴリー |
5.2 MULTIANNUAL TRENDS – IMPACT ON EACH SERVICE | 5.2 複数年の傾向 - 各サービスへの影響 |
5.3 MULTIANNUAL TRENDS – USER HOURS FOR EACH ROOT CAUSE | 5.3 複数年の傾向 - 根本原因ごとの利用時間 |
5.4 MULTIANNUAL TRENDS FOR SEVERITY OF IMPACT OF INCIDENTS | 5.4 インシデントによる影響の重大度に関する複数年の傾向 |
5.5 MULTIANNUAL TRENDS FOR THE NUMBER OF INCIDENTS AND USER HOURS LOST | 5.5 インシデントの発生件数と失われた利用時間に関する複数年の傾向 |
6. CONCLUSIONS | 6. 結論 |
エグゼクティブサマリー...
EXECUTIVE SUMMARY | エグゼクティブサマリー |
The present report provides anonymised and aggregated information about major telecom security incidents that happened in 2022. Security incident reporting is a hallmark of EU cybersecurity legislation. It is an important enabler of cybersecurity supervision and a support tool for policymaking at the national and EU levels. | 本報告書は、2022年に発生した主要な通信事業者のセキュリティインシデントに関する匿名化された集約情報を提供するものである。セキュリティインシデント報告は、EUサイバーセキュリティ法の特徴である。これはサイバーセキュリティの監督を可能にする重要な事業者であり、国やEUレベルでの政策立案を支援するツールでもある。 |
In the European Union, telecom operators notify significant security incidents to their national authorities. At the start of every calendar year, the national authorities send a summary of these reports to ENISA. The European Electronic Communications Code (EECC 2018/1972) reinforces the provisions ([1]) for reporting incidents, clarifying what incidents fall within its scope ([2]), as well as the technical guidelines ([3]) and the notification criteria. ENISA offers an online visual tool for analysing incidents, which can be used to generate custom graphs, available on [web]. | EUでは、通信事業者は重要なセキュリティ・インシデントを各国の認定機関に通知する。暦年の初めに、各国当局はこれらの報告の概要をENISAに送付する。欧州電子コミュニケーションコード(EECC 2018/1972)は、インシデントの報告に関する規定([1])を強化し、どのようなインシデントがその範囲([2])に含まれるかを明確にするとともに、技術的ガイドライン([3])や通知基準も定めている。ENISAは、インシデントを分析するためのオンラインビジュアルツールを提供しており、これを使用してカスタムグラフを生成することができる[web] 。 |
Key findings in 2022 summary report | 2022年総括報告書の主な調査結果 |
The 2022 annual summary contains reports of 155 incidents submitted by national authorities from 26 EU Member States and two European Free Trade Association countries. | 2022年の年次サマリーには、26のEU加盟国と欧州自由貿易連合2カ国の各国当局から提出された155件のインシデントの報告が含まれている。 |
In 2022, 11 209 million user hours ([4]) were lost in total, compared to 5 106 million in 2021. This is clearly a much higher number compared to previous years, as we can see in Figure 1. The reason for this is the important increase of incident reports related to Over-The-Top (OTT) services, a recent metric taken on board in the cybersecurity incident-reporting and analysis system since 2021. | 2021年には5億100万時間であったのに対し、2022年には11億900万時間([4])が失われた。これは、図1を見ればわかるように、明らかに以前と比べてはるかに多い数字である。この背景には、OTT(Over-The-Top)サービスに関連するインシデント報告の重要な増加があり、これは2021年以降、サイバーセキュリティのインシデント報告・分析システムに最近取り入れられた指標である。 |
Figure 1: Number of incidents submitted by countries and user hours lost each year (2012–2022) | 図1:国別のインシデント報告数と毎年失われるユーザー時間(2012年~2022年) |
![]() |
|
Key takeaways from incidents in 2022 | 2022年のインシデントから得られた主な事項 |
Incident reporting confirms the following. | インシデント報告から以下のことが確認された。 |
• Mobile telephony and mobile internet were the most impacted sectors, with respectively 52 % and 40 % of incidents. | ・携帯電話とモバイルインターネットが最も影響を受けたセクターであり、インシデントの割合はそれぞれ52%と40%であった。 |
• Over-The-Top services (OTT) accounted for 26 % of incidents. | ・OTT(Over-The-Top services)はインシデントの26%を占めた。 |
• Traditional fixed telephony, fixed internet and broadcasting services continued to drop in terms of incident reports. | ・従来の固定電話、固定インターネット、放送サービスは引き続きインシデント報告件数が減少した。 |
• System failures continued to largely dominate in terms of impact, reaching 72 % in 2022. They globally accounted for 10 481 million user hours lost (against 10 025 million for OTT) compared to 363 million user hours in 2021 and 419 million in 2020. In 2022, 36 incidents (23 % of total system failures) were marked as hardware failures. They resulted in 797 million user hours lost compared to 53 million in 2021. All of them were reported as system failures. | ・2022年には72%に達した。2021年には3億6,300万ユーザー時間、2020年には4億1,900万ユーザー時間であったのに対し、世界全体で1億4,800万ユーザー時間(OTTは1億2、500万ユーザー時間)の損失となった。2022年には、36件のインシデント(システム障害全体の23%)がハードウェア障害とされた。その結果、2021年の5,300万ユーザー時間に対し、7億9,700万ユーザー時間が失われた。これらはすべてシステム障害として報告された。 |
• Human error incidents have steadily decreased since 2020, from 26 % in 2020 to 23 % 2021 and 15 % in 2022. Human error accounted for 135 million user hours lost in 2022. | ・ヒューマンエラーのインシデントは、2020年の26%から、2021年には23%、2022年には15%と、2020年以降着実に減少している。2022年には1億3,500万ユーザー時間がヒューマンエラーによって失われた。 |
• Malicious actions accounted for 435 million of user hours lost in 2022, 6 % of that year’s total incidents, compared to 70 million (8% of that year’s total) in 2021 and 13 million (4% of that year’s total) in 2020. | ・悪意ある行為によるユーザー時間の損失は、2022年には4億3,500万時間で、その年のインシデント全体の6%を占めたが、2021年には7,000万時間(同8%)、2020年には1,300万時間(同4%)であった。 |
• Five distributed denial-of-service incidents were reported, resulting in 1 million user hours lost. | ・分散型サービス拒否インシデントが5件報告され、その結果、100万ユーザー時間が失われた。 |
• The share of incidents due to natural phenomena remained stable, at 6 %. However, the number of user hours lost increased. | ・自然現象によるインシデントの割合は6%と安定している。しかし、失われたユーザー時間数は増加した。 |
• Incidents flagged as failures by third parties represented 23 % of incidents, with a total of 35 incident reports, compared to 22 % in 2021, 29 % in 2020 and 32 % in 2019. Four of them originated from human errors, three from malicious actions and one from natural phenomena. | ・サードパーティによる障害とされたインシデントはインシデントの23%を占め、合計35件のインシデントが報告された(2021年は22%、2020年は29%、2019年は32%)。そのうち4件は人為的ミス、3件は悪意ある行為、1件は自然現象に起因するものであった。 |
• Five incidents concerning confidentiality and authenticity ([5]) were reported, compared to three in 2021. | ・機密性と本人認証([5])に関するインシデントが5件報告された(2021年は3件)。 |
• One incident concerning impact on redundancy was reported for the first time. | ・冗長性への影響に関するインシデントが初めて1件報告された。 |
• One incident concerning a near-miss incident was reported for the first time. | ・ニアミスに関するインシデントが初めて1件報告された。 |
Figure 2: Root cause category (2022) | 図2:根本原因のカテゴリー(2022年) |
![]() |
|
Share of user hours lost for each root cause category, 2022 | 根本原因カテゴリーごとのユーザー損失時間のシェア(2022年 |
![]() |
|
Multiannual trends over the period 2012–2022 | 2012年から2022年までの複数年にわたる傾向 |
Over the years, EU Member States reported 1 586 telecom security incidents, stored in the ENISA cybersecurity incident reporting and analysis system (CIRAS); the statistics ([6]) are accessible online. | 数年の間に、EU加盟国は1、586件の通信セキュリティ・インシデントを報告し、ENISAのサイバーセキュリティ・インシデント報告・分析システム(CIRAS)に保存された; 統計([6])はオンラインでアクセスできる。 |
Figure 3: Root cause categories for telecom security incidents in the EU reported over the 2012–2022 period | 図 3:2012~2022 年の間に報告された EU の通信セキュリティインシデントの根本原因のカテゴリー |
![]() |
|
Over the years, the European Commission has extensively supervised Member States’ reporting of incidents with determined outages. Comparing incident reporting results over the years, it is fair to conclude that the European telecommunication networks have shown robustness and resilience. | 欧州委員会は長年にわたり、加盟国による停電を伴うインシデントの報告を幅広く監督してきた。長年にわたるインシデント報告結果を比較すると、欧州の通信ネットワークは堅牢性とレジリエンスを示してきたと結論づけるのが妥当であろう。 |
The following trends, in particular, have emerged. | 特に次のような傾向が見られる。 |
• The number of incidents is stabilising, between 150 and 170 annually over the 2017–2022 period. | ・インシデントの件数は安定しつつあり、2017年から2022年にかけて毎年150件から170件の間である。 |
• Human errors continue to decrease in terms user hours lost. | ・ヒューマンエラーは、ユーザーの損失時間という点では減少し続けている。 |
• Malicious actions continue to constitute a minority of incidents: over the reporting period, the frequency of malicious actions was stable, accounting for approximately 5 % of incidents per year on average. | ・悪意ある行為は引き続きインシデントの少数派である:報告期間中、悪意ある行為の頻度は安定しており、年平均でインシデントの約5%を占めている。 |
National authorities for telecom security continue to focus on the transposition and the implementation of the EECC, which brings the following changes. | 各国の通信セキュリティ認可当局は、EECCの移管と実施に引き続き注力している。 |
• The incident-reporting requirements in Article 40 of the EECC have a broader scope, explicitly including, for example, breaches of confidentiality. | ・EECC第40条のインシデント報告要件はより広い範囲に及び、例えば機密保持違反も明確に含まれるようになった。 |
• In addition, the arrival of the network and information security directive (NIS2) in 2022 has consolidated the reporting of breaches of integrity, availability… across multiple sectors including – but not limited to the EECC – as of 17.10.2024. | ・さらに、2022年のネットワーク・情報セキュリティ指令(NIS2)の登場により、2024年10月17日付で、EECCに限らず、完全性、可用性...の侵害の報告が複数のセクターにわたって統合された。 |
ENISA will continue to work with national authorities through the European competent authorities for secure electronic communications ([7]) working group and the NIS Cooperation group to find and exploit synergies between various pieces of EU legislation, particularly when it comes to incident reporting and cross-border. | ENISAは、安全な電子コミュニケーションに関する欧州所轄官庁([7])作業部会およびNIS協力部会を通じて各国認可当局と協力し、特にインシデント報告や国境を越えたインシデントに関して、さまざまなEU法制間の相乗効果を見出し、活用していく。 |
[1] The reporting of security incidents has been part of the EU’s regulatory framework for telecoms since the 2009 reform of the telecoms package, in line with Article 13a of the framework directive (2009/140/EC) that came into force in 2011. | [1] セキュリティ・インシデントの報告は、2011年に発効した枠組み指令(2009/140/EC)の第13a条に従い、2009年の電気通信パッケージ改革以来、EUの電気通信規制の枠組みの一部となっている。 |
[2] It is worth noting that since 2016 security incident reporting is also mandatory for trust service providers in the EU under Article 19 of the eiDAS regulation. In 2018, under the NIS directive, security incident reporting became mandatory for operators of essential services in the EU and for digital service providers, under Article 14 and Article 16 of the NIS directive. | [2] 2016年以降、eiDAS規制第19条に基づき、EUのトラストサービス・プロバイダにもセキュリティインシデント報告が義務付けられていることは注目に値する。2018年には、NIS指令に基づき、NIS指令第14条と第16条に基づき、セキュリティインシデント報告がEUの必須サービス事業者とデジタルサービスプロバイダに義務化された。 |
[3] ENISA technical guidelines on incident reporting under the EECC, including on thresholds and calculation of hours lost. | [3] EECCに基づくインシデント報告に関するENISAの技術ガイドライン(閾値や損失時間の計算を含む)。 |
[4] Derived by multiplying for each incident the number of users by the number of hours. | [4] 各インシデントについて、ユーザー数に時間数を乗じて算出される。 |
[5] The reporting of type B incidents was a new provision of the EECC in 2021. | [5] タイプBのインシデントの報告は、2021年にEECCの新しい規定となった。 |
[6] Note that conclusions about trends and comparisons with previous years have to be made with caution, as national reporting thresholds change over the years. Indeed, reporting thresholds have been lowered in most countries in recent years, and reporting only covers the most significant incidents (not smaller incidents that may well be more frequent). | [6] 国の報告基準値は年々変化しているため、傾向や前年との比較に関する結論は慎重に出さなければならない。実際、報告基準値は近年ほとんどの国で引き下げられており、報告は最も重大なインシデントのみを対象としている(より頻繁に発生する可能性のある小規模なインシデントは対象外)。 |
[7] Also called ‘ECASEC’. [web] [web] | [7] ESASEC [web] [web] |
参考
● まるちゃんの情報セキュリティ気まぐれ日記
・2023.05.31 ENISA 海底ケーブルから低軌道衛星通信までのセキュリティの確保 (2023.05.24)
・2022.03.17 ENISA テレコム業界における利用者へのサイバー脅威の支援活動 (2022.03.10)
・2020.06.12 ENISA サイバーセキュリティインシデントの原因を視覚的にわかりやすく表示するツールの公開
« 経済産業省 IoT製品に対するセキュリティ適合性評価制度構築に向けた検討会の最終とりまとめを公表し、制度構築方針案に対する意見公募を開始 | Main | 総務省・経済産業省のAI事業者ガイドライン第1.0版はほぼきまりましたかね... »
Comments