独立行政法人情報処理推進機構(IPA)は1月25日、「情報セキュリティ10大脅威 2023」を発表した。前年に発生した脅威からIPAが候補を選出し、情報セキュリティ分野の研究者、企業の実務担当者など約200名のメンバーで構成する「10大脅威選考会」の投票を経て決定したもの。
組織および個人の10大脅威は次の通り。
【組織を対象とする脅威】
1位:ランサムウェアによる被害(前年1位)
2位:サプライチェーンの弱点を悪用した攻撃(前年3位)
3位:標的型攻撃による機密情報の窃取(前年2位)
4位:内部不正による情報漏えい(前年5位)
5位:テレワーク等のニューノーマルな働き方を狙った攻撃(前年4位)
6位:修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃)(前年7位)
7位:ビジネスメール詐欺による金銭被害(前年8位)
8位:脆弱性対策情報の公開に伴う悪用増加(前年6位)
9位:不注意による情報漏えい等の被害(前年10位)
10位:犯罪のビジネス化(アンダーグラウンドサービス)(前年圏外)
【個人を対象とする脅威】
1位:フィッシングによる個人情報等の詐取(前年1位)
2位:ネット上の誹謗・中傷・デマ(前年2位)
3位:メールやSMS等を使った脅迫・詐欺の手口による金銭要求(前年3位)
4位:クレジットカード情報の不正利用(前年4位)
5位:スマホ決済の不正利用(前年5位)
6位:不正アプリによるスマートフォン利用者への被害(前年7位)
7位:偽警告によるインターネット詐欺(前年6位)
8位:インターネット上のサービスからの個人情報の窃取(前年8位)
9位:インターネット上のサービスへの不正ログイン(前年10位)
10位:ワンクリック請求等の不当請求による金銭被害(前年圏外)
組織、個人ともに9位までの脅威は昨年と順位が入れ替わっただけとなっている。組織を対象とする脅威では、1位のランサムウェアは3年連続となった。サプライチェーン攻撃は大きな被害が続いたため、昨年の3位から2位に上がったと考えられる。
内部不正、ゼロデイ攻撃、ビジネスメール詐欺、不注意による情報漏えいなども順位を上げた。圏外から10位となった犯罪のビジネス化は、サイバー攻撃増加の要因のひとつである。
個人を対象とする脅威では、1位のフィッシングは2年連続となり、2位から5位も昨年と同じ順位となった。不正アプリ、不正ログインが昨年から順位を上げた。ほとんどの脅威がスマートフォンでも被害を受けることが特徴といえる。
IPAでは、多岐にわたる脅威に対して共通する対策をまとめて具体的に解説する「共通対策」を新たに作成し、2月下旬に公開するとしている。これは、パスワードの適切な運用方法や、適切なインシデント対応方法などを7つの項目に分類して記載し、効率的な対策を支援するもの。
共通対策には、今回10大脅威にランクインした各脅威の手口、傾向や対策などの詳しい解説も記載される。なお、順位はついているものの、いずれも昨年に大きな被害を与えた脅威である。このため、組織としては上位の順位だけを重視するのではなく、10大脅威すべてに対して自社における影響とリスクを検討し、適切な対策を実施すべきであろう。
