IPA(独立行政法人情報処理推進機構)は、社会的に影響が大きかったと考えられる情報セキュリティにおける事案のランキング上位10個をあげた「情報セキュリティ10大脅威」を毎年公開しています。
最新版の「情報セキュリティ10大脅威 2020」では以下の結果となっています。
*「個人」と「組織」という異なる立場で、それぞれの脅威を順位付けし、立場毎に10大脅威を決定しています。
情報セキュリティ10大脅威:個人
()内は昨年順位
1位:スマホ決済の不正利用 (NEW)
2位:フィッシングによる個人情報の詐取 (2位)
3位:クレジットカード情報の不正利用 (1位)
4位:インターネットバンキングの不正利用 (7位)
5位:メールやSMS等を使った脅迫・詐欺の手口による金銭要求 (4位)
6位:不正アプリによるスマートフォン利用者への被害 (3位)
7位:ネット上の誹謗・中傷・デマ (5位)
8位:インターネット上のサービスへの不正ログイン (8位)
9位:偽警告によるインターネット詐欺 (6位)
10位:インターネット上のサービスからの個人情報の窃取 (12位)
情報セキュリティ10大脅威:企業
()内は昨年順位
1位:標的型攻撃による機密情報の窃取 (1位)
2位:内部不正による情報漏えい (5位)
3位:ビジネスメール詐欺による金銭被害 (2位)
4位:サプライチェーンの弱点を悪用した攻撃 (4位)
5位:ランサムウェアによる被害 (3位)
6位:予期せぬIT基盤の障害に伴う業務停止 (16位)
7位:不注意による情報漏えい(規則は遵守) (10位)
8位:インターネット上のサービスからの個人情報の窃取 (7位)
9位:IoT機器の不正利用 (8位)
10位:サービス妨害攻撃によるサービスの停止 (6位)
五年連続で「標的型攻撃による機密情報の窃取」が一位に
企業における脅威では「標的型攻撃による機密情報の窃取」が一位となり、「情報セキュリティ10大脅威 2016」から五年間連続で一位を獲得し続けています。
攻撃方法は主に以下の三つです。
メールの添付ファイル、リンクを開かせる
攻撃者から届いたメールの添付ファイルやリンクを開く(クリックする)とPCにウイルス(悪意のあるソフトウェア)を感染させます。差出人、件名、本文はあたかも業務に関する内容であるかのように偽装されている場合もあります。
ウェブサイトの改ざん
いわゆる水飲み場型攻撃により、標的となる組織(企業・団体)がよく閲覧するウェブサイトにウイルス(悪意のあるソフトウェア)に感染させるよう改ざんする方法です。
不正アクセス
標的となる組織(企業・団体)が利用しているクラウドサービスやWEBサーバなどの脆弱性を突き、情報の奪取や内部ネットワークへの侵入などを行います。
サイバー攻撃に対する対策は
標的型攻撃のほかにも、企業を狙うサイバー攻撃もランクインしています。
ランサムウェアは5位に、ビジネスメール詐欺は3位。また、最近被害報告が急増しているマルウェア「Emotet」など、攻撃方法もより多彩に、より巧妙になっています。
企業の情報や資金などを狙うサイバー攻撃に対しては、最新の攻撃手法情報などを積極的に収集・周知し、社員に対して添付ファイルやURLを不用意に開かないなどのセキュリティ教育を実施していくなどの対策が非常に重要です。
