IPA(情報処理機構)が、毎年春に発表している「情報セキュリティ10大脅威」の 2019年版について、簡易解説入りのPDFデータを2019年8月7日に公開しました。
このランキングは、2018年に発生した社会的影響が大きかったと考えられる情報セキュリティにおける事案から、IPAが脅威候補を選出し、情報セキュリティ分野の研究者、企業の実務担当者などからなる「10大脅威選考会」が審議・投票を行って決定したもので、例年通り「個人」と「組織」という異なる視点でそれぞれの「10大脅威」が選出されました。
、今回公開したのは、このランキングに、各脅威の攻撃手法や対策方法などの解説を加えたものです。今年は春にこのランキングを取り上げませんでしたので、今年前半の脅威の動向を踏まえながら、改めてご紹介します。
情報セキュリティ10大脅威 2019
| 前回の順位 | 個人の10大脅威 | 今回の順位 | 組織の10大脅威 | 前回の順位 |
|---|---|---|---|---|
| 1位 | クレジットカード情報の不正利用 | 1位 | 標的型攻撃による情報流出 | 1位 |
| 1位 | フィッシングによる個人情報等の詐取 | 2位 | ビジネスメール詐欺による被害 | 3位 |
| 4位 | 不正アプリによるスマートフォン利用者への被害 | 3位 | ランサムウェアによる被害 | 2位 |
| NEW | メール等を使った脅迫・詐欺の手口による金銭要求 | 4位 | サプライチェーンの弱点を悪用した攻撃の高まり | NEW |
| 3位 | ネット上の誹謗・中傷・デマ | 5位 | 内部不正による情報漏えい | 8位 |
| 10位 | 偽警告によるインターネット詐欺 | 6位 | サービス妨害攻撃によるサービスの停止 | 9位 |
| 1位 | インターネットバンキングの不正利用 | 7位 | インターネットサービスからの個人情報の窃取 | 6位 |
| 5位 | インターネットサービスへの不正ログイン | 8位 | IoT機器の脆弱性の顕在化 | 7位 |
| 2位 | ランサムウェアによる被害 | 9位 | 脆弱性対策情報の公開に伴う悪用増加 | 4位 |
| 9位 | IoT 機器の不適切な管理 | 10位 | 不注意による情報漏えい | 12位 |
上位には毎度おなじみの脅威が並んでいますが、今回初めてランクインしたもの(表の「NEW」のところ)もあります。
サイバー攻撃のトレンドも毎年変化しつつあり、数年前まではランサムウェアによるPCの被害がニュースを賑わすことが多かったのですが、昨今では個人向けのサイバー攻撃のターゲットがスマホ照準になってきて、スミッシングやキャッシュレス決済にからむクレジットカードの不正利用などが増加し、その事件がニュースでしばしば取り上げられるようになってきました。
個人2位の「フィッシングによる個人情報等の詐取」も、スマホをターゲットとするようにシフトしてきており、毎月のように通信キャリアや金融、大手PCメーカー、大手ネットサービスなどを詐称したメールやSMSなどによるフィッシング・スミッシングがニュースを賑わしています。
また組織の4位に新しくランクインした「サプライチェーンの弱点を悪用した攻撃の高まり」は、サービスやソフトウェアを提供するための調達/開発/運用という流れの一部工程を別企業に委託するのが一般的となったことにより、セキュリティ対策が弱い組織が狙われるようになったということです。発注元の組織による監査も厳しくなる傾向にあり、セキュリティ対策をきちんと実施していることが、発注の条件となるのは当然の流れとなるでしょう。
なお、昨年の個人の第1位は「インターネットバンキングやクレジットカード情報等の不正利用」でしたが、クレジットカード被害の増加とフィッシング手口の多様化を受けて、今年から、(1)インターネットバンキングの不正利用、(2)クレジットカード情報の不正利用、(3)仮想通貨交換所を狙った攻撃、(4)仮想通貨採掘に加担させる手口、(5)フィッシングによる個人情報等の詐取、に分割したとのことです。分割されるほどにこのポイントに対する攻撃が多様化しながら増えてきている、ということでしょう。
やはり不正利用者は「お金」を狙ってくるわけで、私たちも「お金」に関連するサービスには相応の対策をするべきですし、対策がされているサービスを選ぶべきでしょう。
実際、今年はスマホを使ったキャッシュレス決済サービスが次々にスタートして、ますますスマホをターゲットとした不正利用が増加していますので、くれぐれも皆さん気をつけてくださいね。
<参考>
IPA提供「情報セキュリティ10大脅威 2019」ページ
〜解説入りPDF版(70P)のダウンロードもこのページからできます