ニュース

IPAが「情報セキュリティ10大脅威 2022」発表、組織における脅威で「ゼロデイ攻撃」が初登場

 独立行政法人情報処理推進機構(IPA)は、2021年に発生し、社会的に影響の大きかったセキュリティ脅威をまとめた「情報セキュリティ10大脅威 2022」を公開した。

 あらかじめ同機構が脅威候補を選定し、「10大脅威選考会」の投票を経て、個人と組織における10大脅威をそれぞれ決定したもの。10大脅威選考会は、情報セキュリティ分野の研究者、企業の実務担当者など約150人のメンバーで構成される。

個人では「フィッシングによる個人情報等の詐取」が1位に

 個人のランキングでは「フィッシングによる個人情報等の詐取」が1位になった。そのほか、「ネット上の誹謗・中傷・デマ」が2位、「メールやSMS等を使った脅迫・詐欺の手口による金銭要求」が3位と続き、順位の変動はあるものの、10大脅威の内容は昨年、一昨年と全て同じとなった。

 フィッシング詐欺は、大手ECサイトや金融機関などをかたったメールやショートメッセージサービス(SMS)等を送信し、正規のウェブサイトを模倣したフィッシングサイトへ誘導することにより、個人情報や認証情報等を入力させる詐欺で、同機構では安易にURLをクリック・タップしない、サービスを利用する際は自身のブックマークや公式アプリからアクセスすることが重要だと注意を促している。

個人における情報セキュリティ10大脅威(カッコ内は前回順位)
1位:フィッシングによる個人情報の詐取(2位)
2位:ネット上の誹謗・中傷・デマ(3位)
3位:メールやSMS等を使った脅迫・詐欺の手口による金銭要求(4位)
4位:クレジットカード情報の不正利用(5位)
5位:スマホ決済の不正利用(1位)
6位:偽警告によるインターネット詐欺(8位)
7位:不正アプリによるスマートフォン利用者への被害(9位)
8位:インターネット上のサービスからの個人情報の窃取(7位)
9位:インターネットバンキングの不正利用(6位)
10位:インターネット上のサービスへの不正ログイン(10位)

組織の1位は「ランサムウェアによる被害」

 組織のランキングでは「ランサムウェアによる被害」が1位、「標的型攻撃による機密情報の窃取」が2位で上位2件は昨年と同じ。続いて昨年4位だった「サプライチェーンの弱点を悪用した攻撃」が3位と続き、10の脅威のうち9個が昨年と同じとなった。

 初登場の「修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃)」が7位となった。ゼロデイ攻撃は、修正プログラムが提供される前の脆弱性を悪用した攻撃で、2021年12月にはJava用のログ出力ライブラリである「Apache Log4j」に対するゼロデイ攻撃が大きな話題となった。同機構は、脆弱性対策に加え、外部からの侵入を検知/防御する機器を導入するなどの備えが重要だとしている。

組織における情報セキュリティ10大脅威(カッコ内は前回順位)
1位:ランサムウェアによる被害(1位)
2位:標的型攻撃による機密情報の窃取(2位)
3位:サプライチェーンの弱点を悪用した攻撃(4位)
4位:テレワーク等のニューノーマルな働き方を狙った攻撃(3位)
5位:内部不正による情報漏えい(6位)
6位:脆弱性対策情報の公開に伴う悪用増加(10位)
7位:修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃)(NEW)
8位:ビジネスメール詐欺による金銭被害(5位)
9位:予期せぬIT基盤の障害に伴う業務停止(7位)
10位:不注意による情報漏えい等の被害(9位)

 同機構では、今回発表した10大脅威に関する詳しい解説を2月下旬にウェブサイトで公開する予定としている。