HOME情報セキュリティ情報セキュリティ対策脆弱性対策「2011年版 10大脅威 進化する攻撃...その対策で十分ですか?」を公開

本文を印刷する

情報セキュリティ

「2011年版 10大脅威 進化する攻撃...その対策で十分ですか?」を公開

最終更新日 2011年3月24日

独立行政法人情報処理推進機構
セキュリティセンター

 本解説書は、2010年にIPAへ届け出のあったセキュリティ情報や一般報道を基にして、情報セキュリティ分野の研究者や実務担当者127人で構成する「10大脅威執筆者会」で纏めたものです。

 本解説書は3章構成となっており、第1章では2010年に実際に発生したセキュリティの被害事例を基に組織へのビジネスインパクトを考察しています。第2章では、2010年に「社会的影響が大きいもの」「特徴的であったもの」「印象が強かったもの」などの観点から「10大脅威執筆者会」の構成メンバーによる投票で選定した10の脅威について、脅威の概要と影響を解説しています。第3章では、10の脅威に対するセキュリティ対策の考え方や方向性について解説しています。

 近年の情報セキュリティを取り巻く状況の理解や、今後の対策の参考になることを期待します。次のPDF資料をダウンロードの上、参照下さい。

資料のダウンロード

「2011年版 10大脅威 進化する攻撃...その対策で十分ですか?」概要

 2010年の特徴は、下記の図に示すように組織システムや情報資産、ミニブログサービスなどのユーザをターゲットとした、外部から攻撃される脅威が半数を占めていることです。特に、Stuxnet(スタックスネット) に代表される複数の攻撃を組み合わせた「新しいタイプの攻撃」は、制御システム系や組織の基幹系システムなど今まで不可能と考えられていた領域に対しての攻撃が現実のものとなってきており、現状のセキュリティ対策の見直しが迫られています。

図1.ガンブラーがもたらすビジネスインパクト


第1位 「人」が起こしてしまう情報漏えい

 昨今の情報漏えいの特徴の一つとして、「人」の行動によって引き起こされる点が挙げられ、以前よりも大きな脅威となってきています。2010年は、ミニブログサービスやSNS(ソーシャルネットワーキングサービス)等ウェブサービスを使用し、組織内部の情報を暴露する事例がありました。

第2位 止まらない!ウェブサイトを経由した攻撃

 2009年に引き続き2010年も、ウェブサイトを経由した攻撃が頻発しました。ウェブサイトを経由した攻撃はウェブサイト運営者および一般利用者、双方が被害を受けます。。

第3位 定番ソフトウェアの脆弱性を狙った攻撃

 ソフトウェアの中には、多くの人が使用している、いわゆる定番ソフトウェアが存在します。2010年も定番ソフトウェアに存在する脆弱性を狙った攻撃が頻発しました。ソフトウェアの定期的なアップデートを行うことが重要です。

第4位 狙われだしたスマートフォン

 近年スマートフォンの普及が加速しています。スマートフォンの普及により、スマートフォンユーザを狙ったウイルスが出現するなど、脅威が顕在化してきました。

第5位 複数の攻撃を組み合わせた「新しいタイプの攻撃」

 2010年、海外で制御システムの誤動作や特定企業の情報窃取を目的とした攻撃が行われ、一般紙等で報道されました。これらの攻撃は、特定の企業や個人を狙い、複数の攻撃を組み合わせることで、従来は不可能と考えられていたシステムにまで攻撃の手が及んでいます。IPAでは、本攻撃を「新しいタイプの攻撃」と名称付けをしています。

第6位 セキュリティ対策不備がもたらすトラブル

 2010年、ウェブサイトのセキュリティ実装不備に起因した問題が発生し、問題発覚時の対応の不手際もあり、社会的な問題にまで発展しました。設計・開発時のセキュリティ対策に加え、運用時の対策・対応も重要です。

第7位 携帯電話向けウェブサイトのセキュリティ

 2010年は、携帯電話向けウェブサイトのセキュリティ実装の問題が注目を集めました。携帯電話向けウェブサイトの構築事業者は、安全性を考慮したウェブサイトを構築する必要が求められます。

第8位 攻撃に気づけない標的型攻撃

 2009年に引き続き2010年も国内外で標的型攻撃が確認され、一般紙等で報道されました。標的型攻撃は、特定の個人や組織、企業、部門に向けて、知人や取引先企業になりすまして、ウイルスを添付したメールを送付したり、メール本文上のリンクから悪意あるサイトに誘導して、情報窃取等の危害を加える手口です。

第9位 クラウド・コンピューティングのセキュリティ

 クラウド・コンピューティングを利用したサービスは、数年前より新しいビジネスモデルとして注目を集めており、企業への普及が進んでいます。一方、セキュリティ上の問題についても徐々に問題が顕在化し始めており、インシデントの発生や新たな脅威が公表されています。

第10位 ミニブログサービスやSNSの利用者を狙った攻撃

 近年、ミニブログサービスやSNS(ソーシャルネットワーキングサービス)の利用者は爆発的に増えています。利用者の増加に比例するように、利用者を狙った攻撃も増えてきています。

参考資料

本件に関するお問い合わせ先

IPA セキュリティ センター(IPA/ISEC) 大森/谷口
Tel:03-5978-7527 Fax:03-5978-7518
E-mail: 電話番号:03-5978-7527までお問い合わせください。

報道関係からのお問い合わせ先

IPA 戦略企画部 広報グループ 横山/大海
Tel:03-5978-7503 Fax:03-5978-7510
E-mail: 電話番号:03-5978-7503までお問い合わせください。

更新履歴

2011年3月24日 掲載