IPAが発表! 情報セキュリティ10大脅威 2023
情報セキュリティ10大脅威とは
情報セキュリティ10大脅威とは、IPA 独立行政法人 情報処理推進機構およびセキュリティの関係者が選出して毎年決定されるものです。
個人及び法人に対してのセキュリティの脅威について、毎年ランキングで公開されています。
今回は、「個人」と「組織」それぞれの結果と、主に上位1~3位までの詳細をご紹介していきたいと思います。
情報セキュリティ10大脅威 2023 <個人編>
| 順位 | 脅威の種類 |
|---|---|
| 1位 | フィッシングによる個人情報等の詐取 |
| 2位 | ネット上の誹謗・中傷・デマ |
| 3位 | メールやSMS等を使った脅迫・詐欺の手口による金銭要求 |
| 4位 | クレジットカード情報の不正利用 |
| 5位 | スマホ決済の不正利用 |
| 6位 | 不正アプリによるスマートフォン利用者への被害 |
| 7位 | 偽警告によるインターネット詐欺 |
| 8位 | インターネット上のサービスからの個人情報の窃取 |
| 9位 | インターネット上のサービスへの不正ログイン |
| 10位 | ワンクリック請求等の不当請求による金銭被害 |
※出典 IPA 独立行政法人 情報処理推進機構 情報セキュリティ10大脅威 2023
第1位 フィッシングによる個人情報等の詐取
フィッシングはメールやSNSなどのメッセージから、個人情報等を搾取する脅威です。情報を搾取する脅威となりますので、迷惑メールなどを含め普段から気をつけて対応する必要があります。
個人情報を入力する際には必ず一呼吸おいて、本当に正しい相手に必要な情報を送信するのかを確認して判断する必要があります。
誘導されるURLも本当のURLと類似するURLを使用する場合もあるため、正しいURLを確認することも重要です。メールに添付ファイルがあり、開封したとしても必ずウイルススキャンが必須です。
第2位 ネット上の誹謗・中傷・デマ
社会問題になっているネット上の誹謗・中傷・デマは、SNSなど匿名性のあるコンテンツで多く見受けられます。
匿名性があるといっても、最近ではその本人が特定されることも多くのニュースでも取り上げられています。これは2022年にプロバイダ責任制限法が改正され、インターネットの誹謗中傷において発信者情報開示に関して見直しがされた結果となります。
少しでもこのような誹謗・中傷・デマ少なくなる対策が進むことを願います。
第3位 メールやSMS等を使った脅迫・詐欺の手口による金銭要求
不在時の配達を装ったメールやSMSが送信され、再配達依頼などの名目で情報を搾取したり、詐欺被害に発展させたりするものとなります。
自宅を不在にしていたとしても、メールやSMSによる内容をしっかりと確認し、安易にクリックしないことが重要です。
仮に金銭の要求あったとしても従わないことや、反応しないようにしてください。怪しい文面に関してはインターネットで調べてみると、注意喚起などもありますので確認するようにしましょう。
個人の情報セキュリティの脅威については、生活に身近に発生する可能性がある情報セキュリティの脅威と言えます。
もはやセキュリティの世界では、性善説ではなく性悪説で考えることが重要になってきています。
情報セキュリティ10大脅威 2023 <組織編>
| 順位 | 脅威の種類 |
|---|---|
| 1位 | ランサムウェアによる被害 |
| 2位 | サプライチェーンの弱点を悪用した攻撃 |
| 3位 | 標的型攻撃による機密情報の窃取 |
| 4位 | 内部不正による情報漏えい |
| 5位 | テレワーク等のニューノーマルな働き方を狙った攻撃 |
| 6位 | 修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃) |
| 7位 | ビジネスメール詐欺による金銭被害 |
| 8位 | 脆弱性対策情報の公開に伴う悪用増加 |
| 9位 | 不注意による情報漏えい等の被害 |
| 10位 | 犯罪のビジネス化(アンダーグラウンドサービス) |
※出典 IPA 独立行政法人 情報処理推進機構 情報セキュリティ10大脅威 2023
第1位 ランサムウェアによる被害
ランサムウェアとはマルウェアの1つです。ランサムウェアはファイルを暗号化してデータを読むことができない状態にして、暗号化されたファイルを読むためには身代金を要求するタイプのマルウェアです。
身代金の請求はビットコインなどの暗号通貨で要求されることが一般的であり、身代金を支払わないとそのファイルは開放されません。しかしながら、必ずしも身代金を支払うことでファイルが利用できるようになる保証はないことも理解しておく必要があります。
最近では身代金を支払わないと、暗号化する前の元のデータを公開するなどの、脅迫するタイプのランサムウェアも広まっています。
対策するには幾つかの種類がありますが、一般的には暗号化される前のデータをしっかりとバックアップしておく必要があります。
第2位 サプライチェーンの弱点を悪用した攻撃
サプライチェーンとは、原材料や部品の調達から販売まで、製品をメーカーから消費者および購入者までに届けるまでの一連の流れのことです。
自社と消費者だけでなく、協力会社・親会社・子会社含めた全体像として捉える必要があります。
サプライチェーン攻撃とは、サプライチェーンを狙った様々なセキュリティ攻撃の総称となり、このチェーンを攻撃することで様々なセキュリティリスクをもたらします。
セキュリティ対策はまずは自社でしっかりと対策する必要はありますが、世の中はサプライチェーンで成り立っていることが多いため、関係各社含め全ての会社がしっかりとセキュリティ対策をして脅威に対する脆弱性を無くしていく必要があります。仮にサプライチェーン攻撃が起きたことを想定した訓練やフローなどが求められるようになってきています。
第3位 標的型攻撃による機密情報の窃取
標的型攻撃とは、特定の企業・団体・個人を狙うサイバー攻撃のことです。
標的型と名前が付くように、特定の標的が存在するということが他のセキュリティ攻撃と異なる部分であり、事前に様々な調査や分析を用意周到に行ってから、着実にターゲットに狙いを定めていきます。
標的型攻撃は標的に侵入や情報搾取したことを誰にも知られないように秘密裏に攻撃することもあり、マルウェアも標的に特化したウイルスが作成されるなど、そもそも攻撃されたことが気付けない場合もあります。
標的型攻撃の対策は、セキュリティポリシーの策定やマルウェア対策ソフト、ファイヤーウォールなどのネットワーク対策、エンドポイントセキュリティ、教育などが多段階での防御が一般的に必要です。
情報漏えい対策にお悩みの方へ
ランキングのTop10には「内部不正による情報漏えい」と「不注意による情報漏えい等の被害」などがランクインされています。
「内部不正による情報漏えい」とは、企業の従業員などが重要な情報を持ち出して不正利用することなどによる情報漏えいのことであり、情報資産を扱う場合には情報セキュリティ規定などの一定のルールがあることが一般的ですが、従業員がルールを守らないことによるセキュリティリスクがあります。
「不注意による情報漏えい等の被害」についても、利用者が意図していなくても、テレワークなどで使用ルールを忘れてしまったり、持ち出したPCの紛失や盗難にあったりすることによる情報漏えいリスクが存在します。情報漏えいは企業の社会的な信用を低下させるため、情報セキュリティ対策を実施することは非常に重要です。
この課題に対して、私たちワンビ株式会社は、PCの紛失・盗難時の情報漏えいを防止するTRUST DELETEシリーズは、リモートワイプのパイオニアとして15年以上、提供させて頂いております。
業界や業種を問わず数多くのお客様にご利用頂いており、情報漏えいに課題をもつお客様に最適なセキュリティソリューションとなっています。
近年では情報資産の廃棄時における情報漏えいも発生していることから、パソコンからサーバーのハードディスクなどの廃棄・リース返却時において、ソフトウェア消去・磁気消去・物理破壊などの方法で、情報資産のデータ消去とデータ消去証明書を提供する製品やサービスも提供しています。
情報漏えい対策にお悩みのお客様は、是非ワンビまでお気軽にお問い合わせください。
まとめ
IPA 情報セキュリティ10大脅威 2023についてのランキングと、上位3位までのご紹介をさせて頂きました。毎年このランキングは発表されますので、ぜひ、毎年確認してみて頂ければと思います。
