独立行政法人情報処理推進機構(IPA)から、「情報セキュリティ10大脅威 2024」が発表された。
各項目はIPAが開催した「10大脅威選考会」において選定されており、2023年に発生した情報セキュリティ事故や攻撃、社会的影響が大きかった事案を基にされている。
当該選考会では、情報セキュリティ分野の専門家や企業実務者など約200名のメンバーによる審議および投票が行われており、「個人」と「組織」の部門でそれぞれ事案をまとめられている。
なお、「個人」向けの公表においては項目が五十音順で掲載されており、順位は表示されていない。
これは、順位に関わらず各脅威に対処するためであり、特に下位の脅威に対する対策が怠られることを懸念しての措置となる。
以下が「個人」向け脅威の一覧となる(初選出年も記載)
| インターネット上のサービスからの個人情報の窃取(2016年) |
| インターネット上のサービスへの不正ログイン(2016年) |
| クレジットカード情報の不正利用(2016年) |
| スマホ決済の不正利用(2020年) |
| 偽警告によるインターネット詐欺(2020年) |
| ネット上の誹謗・中傷・デマ(2016年) |
| フィッシングによる個人情報等の詐取(2019年) |
| 不正アプリによるスマートフォン利用者への被害(2016年) |
| メールやSMS等を使った脅迫・詐欺の手口による金銭要求(2019年) |
| ワンクリック請求等の不当請求による金銭被害(2016年) |
一方の「組織」向け脅威も五十音順で掲載され、前年の順位も併記されている
| ランサムウェアによる被害(2016年) – 前年1位 |
| サプライチェーンの弱点を悪用した攻撃(2019年) – 前年2位 |
| 内部不正による情報漏えい等の被害(2016年) – 前年4位 |
| 標的型攻撃による機密情報の窃取(2016年) – 前年3位 |
| 修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃)(2022年) – 前年6位 |
| 不注意による情報漏えい等の被害(2016年) – 前年9位 |
| 脆弱性対策情報の公開に伴う悪用増加(2016年) – 前年8位 |
| ビジネスメール詐欺による金銭被害(2018年) – 前年7位 |
| テレワーク等のニューノーマルな働き方を狙った攻撃(2021年) – 前年5位 |
| 犯罪のビジネス化(アンダーグラウンドサービス)(2017年) – 前年10位 |
IPAの総括として「個人」向け脅威と「組織」向け脅威のそれぞれに分け総括している。
まず「個人」向け脅威においては、攻撃者は古典的な手口を用いつつも社会的注目や新技術の動向を利用して被害者を騙す手法を常に更新しているという。
例として、フィッシングによる個人情報詐取では、緊急支援給付金を装ったメールを送信しており、マイナポータルを騙った偽サイトへ誘導する手口が確認されている。
「組織」向け脅威では、挙がった項目は前年と同だが1位の「ランサムウェアによる被害」と2位の「サプライチェーンの弱点を悪用した攻撃」が依然としてトップを維持する結果となっている。
また、組織内の「人」が原因となる脅威も増加しており、「内部不正による情報漏えい等の被害」と「不注意による情報漏えい等の被害」が順位を上げている状況にも注目されている。
IPAは2022年に「内部不正防止ガイドライン」を改訂し、組織内での働き方の変化や新技術への対応に焦点を当て、ITに関する外部からの攻撃だけでなく、内部の不正やミスに対する対策の重要性を強調している。
なお、詳細な解説はIPAのウェブサイトで2月下旬に公開される予定。
【参考記事】
情報セキュリティ10大脅威 2024
https://www.ipa.go.jp/security/index.html