ニュース

IPA、「情報セキュリティ10大脅威 2024」発表。個人対象の脅威には順位を付けず

「順位に関わらず、自身に関係のある脅威に対策を」

 独立行政法人情報処理推進機構(IPA)は1月24日、2023年に発生し、社会的に影響の大きかったセキュリティ脅威をまとめた「情報セキュリティ10大脅威 2024」を公開した。

 同機構が毎年公開しているもので、2023年に発生した情報セキュリティが懸念される事案から脅威候補を選出し、セキュリティ分野の研究者、企業の実務担当者などの約200名のメンバーからなる「10大脅威選考会」による審議を経て、投票により決定される。

 これまでは個人対象と組織対象で、それぞれ10の脅威を順位付けして発表していた。しかし、今年の発表では、個人対象の脅威には順位が付けられていない。

 これは、順位が高い脅威から優先的に対応し、下位の脅威への対策が疎かになることを懸念してのことだという。その代わり、今年の発表では「初選出年」と、2016年以降の10大脅威での取り扱い状況が付記されている。2016年初選出で、9年連続9回目となる「インターネット上のサービスへの不正ログイン」などは、2016年以降毎年選出されていたことになる。

 同機構では、順位に関わらず、自身に関係のある脅威に対して対策を行ってほしいとしている。

個人対象の項目は昨年と同じでも、それぞれの手口は新しくなっている

 個人を対象とした10大脅威の内容は、2023年と全く同じものとなった。しかし、種類が同じでも、脅威を取り巻く環境は前年と同じではないという。

 例えば、「フィッシングによる個人情報の詐取」では、電力・ガス・食料品などの価格高騰に対する緊急支援給付金を案内するとして不審なメールを送付し、マイナポータルをかたった偽サイトへ誘導する手口が見られたなどの例を挙げ、社会的に注目されているニュースや、生成AIなどの新しい技術を駆使して攻撃を仕掛けてくるため、常日頃から脅威に関する最新情報に注意を払い、手口を知っておくことが重要だとしている。

個人における情報セキュリティ10大脅威
脅威(50音順。カッコ内は初選出年と2016年以降の取り扱い)
インターネット上のサービスからの個人情報の窃取(2016/5年連続8回目)
インターネット上のサービスへの不正ログイン(2016/9年連続9回目)
クレジットカード情報の不正利用(2016/9年連続9回目)
スマホ決済の不正利用(2020/5年連続5回目)
偽警告によるインターネット詐欺(2020/5年連続5回目)
ネット上の誹謗・中傷・デマ(2016/9年連続9回目)
フィッシングによる個人情報等の詐取(2019/6年連続6回目)
不正アプリによるスマートフォン利用者への被害(2016/9年連続9回目)
メールやSMS等を使った脅迫・詐欺の手口による金銭要求(2019/6年連続6回目)
ワンクリック請求等の不当請求による金銭被害(2016/2年連続4回目)

組織では、「人」が原因となる脅威が順位を上げる

 組織を対象した脅威は、ランキング形式で発表された。ただし、10の脅威は同じで、順位の変動のみがある。昨年1位の「ランサムウェアによる被害」と2位の「サプライチェーンの弱点を悪用した攻撃」変わらず、3位の「内部不正による情報漏えい等の被害」や、6位は「不注意による情報漏えい等の被害」は、前年から順位を上げた。

 これらは、組織内の「人」が原因となる脅威であると、同機構ではコメントしている。同機構では2022年に「内部不正防止ガイドライン」を改訂し、働き方の変化や新技術への対応の必要性を解説しており、外部からの攻撃に関する対策だけでなく、内部不正や人的ミスといった対策も重要だとしている。

組織における情報セキュリティ10大脅威
順位脅威(カッコ内は前回順位)
1位ランサムウェアによる被害(1位)
2位サプライチェーンの弱点を悪用した攻撃(2位)
3位内部不正による情報漏えい等の被害(4位)
4位標的型攻撃による機密情報の窃取(3位)
5位修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃)(6位)
6位不注意による情報漏えい等の被害(9位)
7位脆弱性対策情報の公開に伴う悪用増加(8位)
8位ビジネスメール詐欺による金銭被害(7位)
9位テレワーク等のニューノーマルな働き方を狙った攻撃(5位)
10位犯罪のビジネス化(アンダーグラウンドサービス)(10位)