独立行政法人 情報処理推進機構(IPA)は1月30日、「情報セキュリティ10大脅威 2018」を発表した。これは、2017年に発生した社会的に影響が大きかったと考えられる情報セキュリティにおける事案から、IPAが脅威候補を選出し、情報セキュリティ分野の研究者、企業の実務担当者などからなる「10大脅威選考会」が脅威候補に対して審議・投票を行い、決定したもの。「個人」と「組織」の視点で10大脅威を選出している。上位をみると、個人では1位が「インターネットバンキングやクレジットカード情報の不正利用」(昨年度1位)、2位が「ランサムウェアによる被害」(同2位)、3位が「ネット上の誹謗・中傷」(同7位)、4位が「スマートフォンやスマートフォンアプリを狙った攻撃の可能性」(同3位)、5位が「Webサービスへの不正ログイン」(同4位)となった。2017年はSNSをきっかけに殺人事件まで発展した事例もあり、「ネット上の誹謗・中傷」が昨年の7位から3位へ上がっている。また、PCやスマートフォンでのWebブラウジング中に「ウイルスに感染している」などと表示してユーザの不安を煽り、指示に従わせて個人情報などを窃取する被害が発生していることから「偽警告」が10位にランクインした。組織では、1位が「標的型攻撃による情報流出」(同1位)、2位が「ランサムウェアによる被害」(同2位)、3位が「ビジネスメール詐欺」(同ランク外)、4位が「脆弱性対策情報の公開に伴い公知となる脆弱性の悪用増加」(同ランク外)、5位が「セキュリティ人材の不足」(同ランク外)となった。ビジネスメール詐欺(BEC)は国内でも被害が顕在化しており3位に、4位には脆弱性公開からそれを悪用した攻撃の本格化までの時間の短縮化、5位には圧倒的に不足するセキュリティ人材が入った。
Microsoft Office における数式エディタでのオブジェクト取り扱い不備により遠隔から任意のコードが実行可能となる脆弱性(Scan Tech Report)2018.1.28 Sun 21:00
