今週は「e-Taxで確定申告【後編(申請編)】」の予定でしたが、予定を変更してお送りします。(「e-Taxで確定申告【後編(申請編)】」は2月16日掲載になります。)
IPA(情報処理機構)が「情報セキュリティ10大脅威 2018」を2018年1月30日に発表しました。これは2017年に発生した社会的に影響が大きかったと考えられる情報セキュリティにおける事案から、IPAが脅威候補を選出し、情報セキュリティ分野の研究者、企業の実務担当者などからなる「10大脅威選考会」が審議・投票を行って決定したものです。例年通り「個人」と「組織」という異なる視点で、それぞれの「10大脅威」を選出しています。
| 前回の順位 | 個人の10大脅威 | 今回の順位 | 組織の10大脅威 | 前回の順位 |
|---|---|---|---|---|
| 1位 | インターネットバンキングやクレジットカード情報の不正利用 | 1位 | 標的型攻撃による情報流出 | 1位 |
| 2位 | ランサムウェアによる被害 | 2位 | ランサムウェアによる被害 | 2位 |
| 7位 | ネット上の誹謗・中傷 | 3位 | ビジネスメール詐欺 NEW | ランク外 |
| 3位 | スマートフォンやスマートフォンアプリを狙った攻撃の可能性 | 4位 | 脆弱性情報の公開に伴い公知となる脆弱性の悪用増加 | ランク外 |
| 4位 | ウェブサービスへの不正ログイン | 5位 | セキュリティ人材の不足 NEW | ランク外 |
| 6位 | ウェブサービスからの個人情報の窃取 | 6位 | ウェブサービスからの個人情報の窃取 | 3位 |
| 5位 | 情報モラル不足に伴う犯罪の低年齢化 | 7位 | IoT機器の脆弱性の顕在化 | 8位 |
| 8位 | ワンクリック請求等の不正請求 | 8位 | 内部不正による情報漏洩 | 5位 |
| 10位 | IoT機器の不適切管理 | 9位 | サービス妨害攻撃によるサービスの停止 | 4位 |
| ランク外 | 偽警告 NEW | 10位 | 犯罪のビジネス化(アンダーグランドサービス) | 9位 |
上位には毎度おなじみの脅威が並んでいますが、今回初めてランクインしたもの(表のNEWのところ)もあります。
組織の脅威の第3位にランクインしたのは「ビジネスメール詐欺」。2017年末近くに発表があった「偽メールによる振り込め詐欺でJALが3億8千万円を騙し取られた事件」が記憶に新しいところです。
そしてこの「ビジネスメール詐欺」を実現するための準備として、ターゲット企業の情報を盗んだりするのに使われるのが、マルウェアや標的型攻撃。これらの攻撃で組織内の情報を不正入手すれば、こういうあたかも本物に見える詐欺メールを作って送ることもできるようになるので、かなり厄介な脅威と言えます。
今年に入ってからもプラント事業者をターゲットにした標的型攻撃メールが大幅に増加しているなど、エンドポイントセキュリティのさらなる強化が必須となってきています。
そして組織の脅威の第5位には新たに「セキュリティ人材の不足」がランクイン。増大する脅威、巧妙な標的型攻撃などに十分な対策を講じていくには、セキュリティ分野でのエキスパートの存在が重要になりますが、その人材が不足していること、人材育成が急務であることを告げています。
また個人の脅威にランクインしてきたのが「偽警告」。
あたかもPCがウイルスに感染したかのように警告を出すことで、ユーザーを動揺させ、「なんとかしなくては!」という危機感を悪用して、マルウェア感染などに誘導する操作を行わせたり、製品やサービスを契約させようとしたり、ユーザーの個人情報を搾取するなどのケースが増えてきています。
くれぐれもパニックにならないようにして、冷静に判断/対応するようにしましょう。
全く怖い世の中になってきたものです。・・・(>_<)
P.S. 組織の脅威第3位「ビジネスメール詐欺」については、また改めて書きたいと思います。