![情報セキュリティ10大脅威 2024 [組織]](/imgs/p/hJtuSU37jUUtaOmDwCp9jp0KMwUhBQQDAgEA/43826.jpg)
![情報セキュリティ10大脅威 2024 [組織]](/imgs/p/rBiHIqOYdKeWny19I-2yIgsJcAd_BAQDAgEA/43826.jpg)
![情報セキュリティ10大脅威 2024 [個人]](/imgs/p/rBiHIqOYdKeWny19I-2yIgsJcAd_BAQDAgEA/43827.jpg)
独立行政法人情報処理推進機構(IPA)は1月24日、「情報セキュリティ10大脅威 2024」を発表した。IPAが2023年に発生したセキュリティ事故や攻撃の状況等から脅威候補を選定し、情報セキュリティ分野の研究者、企業の実務担当者など約200名のメンバーで構成する「10大脅威選考会」の投票を経て決定したもの。
組織および個人の10大脅威は次の通り。今回はそれぞれ脅威について、初選出年と登場回数、連続回数を表示している。なお、今回から個人を対象とするものは順位を廃止し、五十音順での記載となっている。
【組織を対象とする脅威】
1位:ランサムウェアによる被害(前年1位:9年連続9回目)
2位:サプライチェーンの弱点を悪用した攻撃(前年2位:6年連続6回目)
3位:内部不正による情報漏えい(前年4位:9年連続9回目)
4位:標的型攻撃による機密情報の窃取(前年3位:9年連続9回目)
5位:修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃)(前年6位:3年連続3回目)
6位:不注意による情報漏えい等の被害(前年9位:6年連続7回目)
7位:脆弱性対策情報の公開に伴う悪用増加(前年8位:4年連続7回目)
8位:ビジネスメール詐欺による金銭被害(前年7位:7年連続7回目)
9位:テレワーク等のニューノーマルな働き方を狙った攻撃(前年5位:4年連続4回目)
10位:犯罪のビジネス化(アンダーグラウンドサービス)(前年10位:2年連続4回目)
【個人を対象とする脅威】(五十音順)
・インターネット上のサービスからの個人情報の窃取(5年連続8回目)
・インターネット上のサービスへの不正ログイン(9年連続9回目)
・クレジットカード情報の不正利用(9年連続9回目)
・スマホ決済の不正利用(5年連続5回目)
・偽警告によるインターネット詐欺(5年連続5回目)
・ネット上の誹謗・中傷・デマ(9年連続9回目)
・フィッシングによる個人情報等の詐取(6年連続6回目)
・不正アプリによるスマートフォン利用者への被害(9年連続9回目)
・メールやSMS等を使った脅迫・詐欺の手口による金銭要求(6年連続6回目)
・ワンクリック請求等の不当請求による金銭被害(2年連続4回目)
組織、個人ともに脅威の種類は昨年と変化がなく、順位が入れ替わっただけとなっている。組織を対象とする脅威では、1位のランサムウェアと2位のサプライチェーン攻撃は前年と変わらず、3位の内部不正と4位の標的型攻撃は前年と順位が入れ替わった。
前年から順位を上げたもののうち、3位の内部不正と6位の不注意による情報漏えいなどは、組織内の「人」が原因となる脅威である。IPAは2022年に「内部不正防止ガイドライン」を改訂しており、働き方の変化や新技術への対応など時代の変化に合わせて対応が必要であると述べている。
個人を対象とする脅威では、種類が同じであっても脅威を取り巻く環境は前年と同じではないとして、注意を呼びかけている。攻撃の手口は古典的で変わらないとしても、被害者を騙す手口は常に更新されており、攻撃者は時機を見ながら社会的に注目されているニュースや新しい技術(生成AI等)などを駆使して攻撃を仕掛けている。
レポートでは、フィッシングによる個人情報等の詐取では、電力・ガス・食料品等の価格高騰に対する緊急支援給付金を案内するとして不審なメールを送付し、マイナポータルを騙った偽サイトへ誘導する手口が見られたことを例に挙げている。そして、常日頃から脅威に関する最新情報に注意を払い、手口を知っておくことが重要としている。
IPAでは、「情報セキュリティ10大脅威 2024」の詳しい解説を2月下旬に同機構のWebサイトで公開する予定。
