ニュース

IPAがセキュリティの「10大脅威2020」発表、スマホ決済の不正利用や標的型攻撃による情報窃取などが上位に

 独立行政法人情報処理推進機構(IPA)は、2019年に発生した社会的に影響の多かったセキュリティ脅威をまとめた「情報セキュリティ10大脅威2020」を公開した。

 あらかじめIPAが32の脅威候補を選定し、「10大脅威選考会」の審議・投票により、個人と組織における10大脅威をそれぞれ選出。10大脅威選考会は、情報セキュリティ分野の研究者、企業の実務担当者など約140人のメンバーで構成される。

 同機構では、今回発表した10大脅威に関する詳しい解説を2月下旬にウェブサイトで公開する予定。

個人では「スマホ決済の不正利用」が初登場1位に

 個人のランキングでは「スマホ決済の不正利用」が初登場で1位になった。そのほか、「フィッシングによる個人情報詐取」が2位、「クレジットカード情報の不正利用」が3位と続く。

 一部のスマートフォン決済サービスでは、決済方法の不備により、利用者が金銭被害にあう事案が発生している。新たなサービスを利用する際は、提供されているセキュリティ機能の利用とともに、不正利用されていないか決済情報や利用明細を確認することが重要だとIPAは注意を促す。

個人における情報セキュリティ10大脅威(カッコ内は前回順位)
1位:スマホ決済の不正利用
2位:フィッシングによる個人情報の詐取(2位)
3位:クレジットカード情報の不正利用(1位)
4位:インターネットバンキングの不正利用(7位)
5位:メールやSMS等を使った脅迫・詐欺の手口による金銭要求(4位)
6位:不正アプリによるスマートフォン利用者への被害(3位)
7位:ネット上の誹謗・中傷・デマ(5位)
8位:インターネット上のサービスへの不正ログイン(8位)
9位:偽警告によるインターネット詐欺(6位)
10位:インターネット上のサービスからの個人情報の窃取(12位)

組織では「標的型攻撃による機密情報の窃取」が1位

 組織のランキングでは「標的型攻撃による機密情報の窃取」が1位、「内部不正による情報漏えい」が2位、「ビジネスメール詐欺による金銭被害」が3位と続く。

 「内部不正による情報漏えい」については、前回の5位から2位に浮上した。情報機器リユース業者において、個人情報を含むHDDが社員により不正に持ち出されてネットオークションなどで転売されていたことが発覚し、大きな社会問題となった。

 重要情報の格納に使用したHDDは物理的に破壊、または専用ソフトで適切にデータを消去した後、廃棄される必要があるが、確実な廃棄の確認方法の難しさも指摘されている。

 なお、2013年の10大脅威を最後に6年間圏外だった「予期せぬIT基盤の障害に伴う業務停止」が6位に浮上した。2019年は複数の大規模自然災害や大手クラウドベンダーの人為的ミスによる長時間のサービス停止が発生した。こうした大規模システム障害が事業に与えた影響の大きさから、BCP(事業継続計画)を見直すきっかけとなる年だったとIPAでは説明している。

組織における情報セキュリティ10大脅威(カッコ内は前回順位)
1位:標的型攻撃による機密情報の窃取(1位)
2位:内部不正による情報漏えい(5位)
3位:ビジネスメール詐欺による金銭被害(2位)
4位:サプライチェーンの弱点を悪用した攻撃(4位)
5位:ランサムウェアによる被害(3位)
6位:予期せぬIT基盤の障害に伴う業務停止(16位)
7位:不注意による情報漏えい(10位)
8位:インターネット上のサービスからの個人情報の窃取(7位)
9位:IoT機器の不正利用(8位)
10位:サービス妨害攻撃によるサービスの停止(6位)