IPA、「情報セキュリティ10大脅威 2018」を決定

～「偽警告」や「ビジネスメール詐欺」といった詐欺の手口が新たにランクイン～

　IPA（独立行政法人情報処理推進機構、理事長：富田 達夫）は、情報セキュリティにおける脅威のうち、2017年に社会的影響が大きかったトピックなどを「10大脅威選考会」の投票によりトップ10を選出し、「情報セキュリティ10大脅威2018」として順位を決定し、公表しました。
　https://www.ipa.go.jp/security/vuln/10threats2018.html

　「情報セキュリティ10大脅威 2018」は、2017年に発生した社会的に影響が大きかったと考えられる情報セキュリティにおける事案から、IPAが脅威候補を選出し、情報セキュリティ分野の研究者、企業の実務担当者など約100名のメンバーからなる「10大脅威選考会」が脅威候補に対して審議・投票を行い、決定したものです。2018年も昨年同様に「個人」と「組織」という異なる立場で10大脅威を選出しています。

■　「情報セキュリティ10大脅威 2018」
（ ）内は昨年の順位、【NEW】は初めてラインクインした脅威

　＜個人＞
　1位　インターネットバンキングやクレジットカード情報の不正利用（1位）
　2位　ランサムウェアによる被害（2位）
　3位　ネット上の誹謗・中傷（7位）
　4位　スマートフォンやスマートフォンアプリを狙った攻撃の可能性（3位）
　5位　ウェブサービスへの不正ログイン（4位）
　6位　ウェブサービスからの個人情報の窃取（6位）
　7位　情報モラル不足に伴う犯罪の低年齢化（5位）
　8位　ワンクリック請求等の不当請求（8位）
　9位　IoT機器の不適切管理（10位）
10位　偽警告（ランク外）【NEW】

　＜組織＞
　1位　標的型攻撃による情報流出（1位）
　2位　ランサムウェアによる被害（2位）
　3位　ビジネスメール詐欺（ランク外）【NEW】
　4位　脆弱性対策情報の公開に伴い公知となる脆弱性の悪用増加（ランク外）
　5位　セキュリティ人材の不足（ランク外）【NEW】
　6位　ウェブサービスからの個人情報の窃取（3位）
　7位　IoT機器の脆弱性の顕在化（8位）
　8位　内部不正による情報漏えい（5位）
　9位　サービス妨害攻撃によるサービスの停止（4位）
10位　犯罪のビジネス化（アンダーグラウンドサービス）（9位）

　今年は「個人」と「組織」を合わせた20の脅威の内、8割の16の脅威が昨年に引き続きランクインしました。このように大半の脅威は急に出現したものではなく、また新しい手口でもありません。よって手口を知り、常に対策を怠らないことが重要です。

　一方、今年のランキングにはこれまでの10大脅威に一度もランクインしたことのない新たな脅威が入りました。「個人の10位」の「偽警告」、「組織の3位」の「ビジネスメール詐欺」、「同5位」の「セキュリティ人材の不足」です。なお、「同4位」の「脆弱性対策情報の公開に伴い公知となる脆弱性の悪用増加」は昨年のランク外（一昨年は6位）から復活ランクインしたものです。

　「偽警告」は、PCの画面に突然“ウイルスに感染した”と表示され、サポート窓口に電話するように仕向ける手口です。ITに詳しくないPC利用者が騙されやすいのが特徴です。
　また、「ビジネスメール詐欺」は、巧妙に細工したメールによるやりとりが実際に行われ、その結果企業の担当者が騙され、本来の振込口座とは異なる攻撃者の偽口座へ送金させる詐欺の手口です。昨年末に国内の大手企業の被害が大きく報道され、世間の耳目を集めました。この詐欺は、手口さえ知っていれば、騙される前に気づける可能性がありました。
　「セキュリティ人材の不足」は、以前から指摘されていた問題です。他の脅威とはやや観点が異なりますが、組織として取り組むべき課題の1つです。人材育成には時間がかかるため、数年先を見据えて計画的に進める必要があります。

　昨年、初めてランクインしたIoTに関する脅威は今年も「個人」と「組織」共にランクインしました。IoTはその利便性のみが注目されがちですが、Miraiを初めとしたウイルスがネットワークカメラなどのIoT機器を狙ったように、既に攻撃対象の1つになっているという認識を持ち、必要な対策を施した上で安全に利用してください。

　IPAでは、3月下旬にこの「情報セキュリティ10大脅威 2018」の詳しい解説をウェブサイトで公開する予定です。

◆プレスリリース全文は下記サイトからご覧いただけます。
　　https://www.ipa.go.jp/about/press/20180130.html