顔ぶれは去年と9割一緒、IPA「情報セキュリティ10大脅威 2023」 | ScanNetSecurity
2024.03.19(火)

顔ぶれは去年と9割一緒、IPA「情報セキュリティ10大脅威 2023」

IPAは、昨年に発生した脅威をもとにした「情報セキュリティ10大脅威 2023」を発表した。

調査・レポート・白書・ガイドライン
「情報セキュリティ10大脅威 2023」の順位

 独立行政法人情報処理推進機構(IPA)は1月25日、「情報セキュリティ10大脅威 2023」を発表した。前年に発生した脅威からIPAが候補を選出し、情報セキュリティ分野の研究者、企業の実務担当者など約200名のメンバーで構成する「10大脅威選考会」の投票を経て決定したもの。

 組織および個人の10大脅威は次の通り。

【組織を対象とする脅威】
1位:ランサムウェアによる被害(前年1位)
2位:サプライチェーンの弱点を悪用した攻撃(前年3位)
3位:標的型攻撃による機密情報の窃取(前年2位)
4位:内部不正による情報漏えい(前年5位)
5位:テレワーク等のニューノーマルな働き方を狙った攻撃(前年4位)
6位:修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃)(前年7位)
7位:ビジネスメール詐欺による金銭被害(前年8位)
8位:脆弱性対策情報の公開に伴う悪用増加(前年6位)
9位:不注意による情報漏えい等の被害(前年10位)
10位:犯罪のビジネス化(アンダーグラウンドサービス)(前年圏外)

【個人を対象とする脅威】
1位:フィッシングによる個人情報等の詐取(前年1位)
2位:ネット上の誹謗・中傷・デマ(前年2位)
3位:メールやSMS等を使った脅迫・詐欺の手口による金銭要求(前年3位)
4位:クレジットカード情報の不正利用(前年4位)
5位:スマホ決済の不正利用(前年5位)
6位:不正アプリによるスマートフォン利用者への被害(前年7位)
7位:偽警告によるインターネット詐欺(前年6位)
8位:インターネット上のサービスからの個人情報の窃取(前年8位)
9位:インターネット上のサービスへの不正ログイン(前年10位)
10位:ワンクリック請求等の不当請求による金銭被害(前年圏外)

 組織、個人ともに9位までの脅威は昨年と順位が入れ替わっただけとなっている。組織を対象とする脅威では、1位のランサムウェアは3年連続となった。サプライチェーン攻撃は大きな被害が続いたため、昨年の3位から2位に上がったと考えられる。

 内部不正、ゼロデイ攻撃、ビジネスメール詐欺、不注意による情報漏えいなども順位を上げた。圏外から10位となった犯罪のビジネス化は、サイバー攻撃増加の要因のひとつである。

 個人を対象とする脅威では、1位のフィッシングは2年連続となり、2位から5位も昨年と同じ順位となった。不正アプリ、不正ログインが昨年から順位を上げた。ほとんどの脅威がスマートフォンでも被害を受けることが特徴といえる。

 IPAでは、多岐にわたる脅威に対して共通する対策をまとめて具体的に解説する「共通対策」を新たに作成し、2月下旬に公開するとしている。これは、パスワードの適切な運用方法や、適切なインシデント対応方法などを7つの項目に分類して記載し、効率的な対策を支援するもの。

 共通対策には、今回10大脅威にランクインした各脅威の手口、傾向や対策などの詳しい解説も記載される。なお、順位はついているものの、いずれも昨年に大きな被害を与えた脅威である。このため、組織としては上位の順位だけを重視するのではなく、10大脅威すべてに対して自社における影響とリスクを検討し、適切な対策を実施すべきであろう。

《吉澤 亨史( Kouji Yoshizawa )》

特集

調査・レポート・白書・ガイドライン アクセスランキング

  1. 経済産業省「攻撃技術情報の取扱い・活用手引き」と「秘密保持契約に盛り込むべき攻撃技術情報等の取扱いに関するモデル条文」を策定

    経済産業省「攻撃技術情報の取扱い・活用手引き」と「秘密保持契約に盛り込むべき攻撃技術情報等の取扱いに関するモデル条文」を策定

  2. NRIセキュア「企業における情報セキュリティ実態調査 2023」公表、日本の生成 AI 導入済企業 18.0%

    NRIセキュア「企業における情報セキュリティ実態調査 2023」公表、日本の生成 AI 導入済企業 18.0%

  3. マルウェアが OpenAI の認証情報窃取、約 68 万 8,000 件をダークウェブ等で発見

    マルウェアが OpenAI の認証情報窃取、約 68 万 8,000 件をダークウェブ等で発見

  4. BEC事例から実際の手口を紹介--J-CSIP運用状況(IPA)

  5. 7月のフィッシング報告状況、「.cn ドメイン」のフィッシングメールを多く確認

  6. NRIセキュア 日米豪セキュリティ実態調査発表、日本は生成 AI 導入率も低迷

  7. JSSEC、スマホアプリ開発者向けに網羅性の高い実施規範公開

  8. 初の一兆円超え、2024年国内セキュリティ市場 ~ IDC 予測

  9. 売上規模別に見た 全 IT 投資中のセキュリティ予算比率 ~ 東証上場企業

  10. 上場企業は 74 日早い ~ サイバー攻撃発覚から公表に要する期間

アクセスランキングをもっと見る

「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)

×