ニュース

IPA、「情報セキュリティ10大脅威 2023」発表。「ランサムウェア攻撃」が3年連続で組織の脅威1位に

 独立行政法人情報処理推進機構(IPA)は1月25日、2022年に発生し、社会的に影響の大きかったセキュリティ脅威をまとめた「情報セキュリティ10大脅威 2023」を公開した。

 あらかじめ同機構が脅威候補を選定し、「10大脅威選考会」の投票を経て、個人と組織における10大脅威をそれぞれ決定したもの。10大脅威選考会は、情報セキュリティ分野の研究者、企業の実務担当者など約200人のメンバーで構成される。

 個人、組織とも上位に大きな変動はなかったが、10位にはそれぞれ「ワンクリック請求等の不当請求による金銭被害」「犯罪のビジネス化(アンダーグラウンドサービス)」と、昨年圏外だったものが入った。

個人では、昨年に引き続き「フィッシングによる個人情報等の詐取」が1位に

 個人のランキングでは「フィッシングによる個人情報等の詐取」が1位になった。そのほか、「ネット上の誹謗・中傷・デマ」が2位、「メールやSMS等を使った脅迫・詐欺の手口による金銭要求」が3位と続き、8位までは全て昨年と同じ順位となっている。

 フィッシング詐欺は、実在の公的機関や企業などをかたったメールやショートメッセージサービス(SMS)を送信し、正規のウェブサイトを模倣したフィッシングサイトへ誘導することにより、個人情報や認証情報などを入力させる詐欺のこと。2022年の報告件数は約97万件と、2021年の約53万件から大幅に増加したという。

 詐取された認証情報による不正ログインを防ぐために、多要素認証を有効にする、被害を早期に発見するために利用サービスのログイン履歴やクレジットカードなどの利用明細を日常的に確認する、といった取り組みが大切だとコメントしている。

個人における情報セキュリティ10大脅威(カッコ内は前回順位)
1位:フィッシングによる個人情報等の詐取(1位)
2位:ネット上の誹謗・中傷・デマ(2位)
3位:メールやSMS等を使った脅迫・詐欺の手口による金銭要求(3位)
4位:クレジットカード情報の不正利用(4位)
5位:スマホ決済の不正利用(5位)
6位:不正アプリによるスマートフォン利用者への被害(7位)
7位:偽警告によるインターネット詐欺(6位)
8位:インターネット上のサービスからの個人情報の窃取(8位)
9位:インターネット上のサービスへの不正ログイン(10位)
10位:ワンクリック請求等の不当請求による金銭被害(圏外)

組織の1位は「ランサムウェアによる被害」

 組織のランキングでは「ランサムウェアによる被害」が3年連続で1位、「サプライチェーンの弱点を悪用した攻撃」が2位、「標的型攻撃による機密情報の窃取」が3位と続いた。

 ランサムウェアによる被害については、2022年も脆弱性を悪用した事例や、リモートデスクトップ経由での不正アクセスによる事例が発生したという。また、新たな手口として、窃取した情報を公開すると脅す「二重脅迫」に加え、DDoS攻撃を仕掛ける、被害者の顧客や利害関係者へ連絡するとさらに脅す「四重脅迫」が確認されているとしている。

 ランサムウェアの感染経路は多岐にわたるため、ウイルス対策、不正アクセス対策、脆弱性対策などの基本的な対策を確実かつ多層的に適用することに加え、バックアップの取得や復旧計画を策定するといった、攻撃を受けることを想定した事前の準備も重要であるとコメントしている。

組織における情報セキュリティ10大脅威(カッコ内は前回順位)
1位:ランサムウェアによる被害(1位)
2位:サプライチェーンの弱点を悪用した攻撃(3位)
3位:標的型攻撃による機密情報の窃取(2位)
4位:内部不正による情報漏えい(5位)
5位:テレワーク等のニューノーマルな働き方を狙った攻撃(4位)
6位:修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃)(7位)
7位:ビジネスメール詐欺による金銭被害(8位)
8位:脆弱性対策情報の公開に伴う悪用増加(6位)
9位:不注意による情報漏えい等の被害(10位)
10位:犯罪のビジネス化(アンダーグラウンドサービス)(圏外)

 同機構では、今回発表した10大脅威に関する詳しい解説を2月下旬にウェブサイトで公開する予定。