HOME情報セキュリティ情報セキュリティ対策脆弱性対策情報セキュリティ10大脅威 2016

本文を印刷する

情報セキュリティ

情報セキュリティ10大脅威 2016

最終更新日:2016年4月27日

個人と組織で異なる脅威、立場ごとに適切な対応を

 本資料は、情報セキュリティ分野の研究者、企業の実務担当者など69組織108名から構成される「10大脅威選考会」メンバーの審議・投票によってトップ10を選出し、各脅威についてメンバーの知見や意見を集めて解説したものです。資料は、下記の3章構成となっています。

  • 第1章 10大脅威の10年史
     過去10年の「10大脅威」を振り返り、社会的背景、脅威や攻撃手法の移り変わりとの関係を解説しています。
  • 第2章 情報セキュリティ10大脅威 2016
     2015年において社会的影響が大きかったセキュリティ上の脅威について、「10大脅威選考会」の投票結果に基づき、「総合」「個人」「組織」における脅威を1位から10位に順位付けして解説しています。また11位以降の脅威についても簡単に解説しています。
  • 第3章 注目すべき脅威や懸念
     社会に影響を与える可能性が高く、現時点で注目しておきたい脅威や懸念等の3つのテーマについて解説しています。

 今回は、従来の総合的な10大脅威とは別に、影響を受ける対象の違いから「個人」と「組織」という新たに2つの分類で10大脅威を選出しました。また、その上で、個人と組織の総投票数から従来の総合的な10大脅威を選出しています。
 IPAは、本資料が、読者自身のセキュリティ対策への理解と、各企業・組織の研修やセキュリティ教育等に活用されることにより、セキュリティ対策の普及の一助となることを期待しています。

■「情報セキュリティ10大脅威 2016」 個人別・組織別 順位
                          ( )内は総合順位、(-)は総合順位でのランク外です。
個人(カッコ内は総合順位) 順位 組織(カッコ内は総合順位)
インターネットバンキングやクレジットカード情報の不正利用(1位) 1位 標的型攻撃による情報流出(2位)
ランサムウェアを使った詐欺・恐喝(3位) 2位 内部不正による情報漏えいとそれに伴う業務停止(8位)
審査をすり抜け公式マーケットに紛れ込んだスマートフォンアプリ(7位) 3位 ウェブサービスからの個人情報の窃取(4位)
巧妙・悪質化するワンクリック請求(9位) 4位 サービス妨害攻撃によるサービスの停止(-)
ウェブサービスへの不正ログイン(5位) 5位 ウェブサイトの改ざん(6位)
匿名によるネット上の誹謗・中傷(-) 6位 脆弱性対策情報の公開に伴い公知となる脆弱性の悪用増加(10位)
ウェブサービスからの個人情報の窃取(4位) 7位 ランサムウェアを使った詐欺・恐喝(3位)
情報モラル不足に伴う犯罪の低年齢化(-) 8位 インターネットバンキングやクレジットカード情報の不正利用(1位)
職業倫理欠如による不適切な情報公開(-) 9位 ウェブサービスへの不正ログイン(5位)
インターネットの広告機能を悪用した攻撃(-) 10位 過失による情報漏えい(-)

資料のダウンロード

情報セキュリティ10大脅威 2016 表紙

情報セキュリティ10大脅威 2016(第2章)の概要

 10大脅威選考会メンバーの投票により選出した総合的な10大脅威の順位と概要は下記になります。
第1位 インターネットバンキングやクレジットカード情報の不正利用

 ウイルス感染やフィッシング詐欺により、個人および組織から情報を窃取し、本人になりすました不正送金や利用が行われた。2015年は攻撃対象が拡大し、地域の金融機関も標的となった。

1位

第2位 標的型攻撃による情報流出

 メールの添付ファイルやウェブサイトを利用してPCをウイルスに感染させ、そのPCを遠隔操作して組織や企業の重要情報を窃取する標的型攻撃が後を絶たない。日本年金機構の事件報道以降、多くの組織や企業でも標的型攻撃を受けていたことが分かり、同様の事件報道が続いた。

2位

第3位 ランサムウェアを使った詐欺・恐喝

 悪意あるプログラムによってPC内のファイルが閲覧・編集できない形に暗号化され、ファイル復元の身代金として、利用者に金銭を要求される被害が増えている。このプログラムを「ランサムウェア」と呼ぶ。2015年には、これまでの不自然な日本語から一転して流暢な日本語でメッセージが表示されるランサムウェアが登場する等、多言語対応等の感染手口の巧妙化が見られた。

3位

第4位 ウェブサービスからの個人情報の窃取

 ウェブサイトの脆弱性を突き、ウェブサービスが保有する住所や氏名等の個人情報が窃取される事件が国内で発生した。また、海外では社会的・政治的主張を目的にサイバー攻撃を行うハッカー集団(ハクティビスト)が、窃取した個人情報や機密情報をインターネット上に公開される事件も発生した。


4位

第5位 ウェブサービスへの不正ログイン

 ウェブサービスから窃取したIDとパスワードを用いて、不正ログインされる被害が発生している。利用者が同じパスワードを複数のウェブサービスで使い回している場合、被害が拡大する。また、安易なパスワードを設定している場合も、推測されることにより、不正ログインを許してしまう。

5位

第6位 ウェブサイトの改ざん

 閲覧するだけでウイルスに感染するよう、オンラインショップ等のウェブサイトが改ざんされる事例が多く発生した。改ざんされるとウェブサイトの一時停止を余儀なくされる等経営上のダメージを被る被害者となる一方で、利用者にウイルスを拡散する加害者にもなってしまう。

6位

第7位 審査をすり抜け公式マーケットに紛れ込んだスマートフォンアプリ

 スマートフォンにインストールしてしまった悪意あるアプリにより、スマートフォン内の情報が窃取されてしまう。これまでは、悪意あるアプリの被害を回避する対策として、公式マーケットからアプリを入手することが有効であったが、公式マーケットに悪意あるアプリが紛れ込む事例が発生している。

7位

第8位 内部不正による情報漏えいとそれに伴う業務停止

 企業や組織の職員が、内部の情報を窃取し、インターネット上に公開した事件が社会的な問題となった。内部の人間が悪意を持つと、正当な権限を用いて情報を窃取できるため、情報の重要度に応じたアクセス権限の設定や離職者のアクセス権の抹消等、厳格な管理と監視を継続的に行う必要がある。

 なお、2月15日にプレスリリースした「情報セキュリティ10大脅威 2016」の順位を発表では、タイトルを 「内部不正による情報漏えい」としていましたが、検討の結果、本タイトルに変更しました。

8位

第9位 巧妙・悪質化するワンクリック請求

 アダルトサイトや出会い系サイトといった有料サイトや、セキュリティソフトの購入推奨等の金銭請求画面が表示され、金銭を不正に請求されるワンクリック請求の被害が発生している。スマートフォンのシャッター音を鳴らす、自動的に電話を発信させるといった、被害者の不安や焦燥感を煽り、支払いを誘発させる巧妙な手口も出現している。

9位

第10位 脆弱性対策情報の公開に伴い公知となる脆弱性の悪用増加

 2015年も広く利用されているソフトウェアの脆弱性が公開された。一方、セキュリティ情報に対して関心が低いシステム管理者や利用者も多く存在し、セキュリティ意識の格差が生じている。攻撃者は対策がなされていないシステムやソフトウェアを狙ってくる。脆弱性対策情報の公開から早い時期にその脆弱性を悪用される事例が現れている。システム管理者や利用者は日頃から情報収集や、対応方法の検討をしておく必要がある。

 なお、2月15日にプレスリリースした「情報セキュリティ10大脅威 2016」の順位を発表では、タイトルを 「対策情報の公開に伴い公知となる脆弱性の悪用増加」としていましたが、検討の結果、本タイトルに変更しました。

10位

プレス発表

参考資料(過去の10大脅威)

本件に関するお問い合わせ先

IPA 技術本部 セキュリティセンター  土屋/亀山

Tel: 03-5978-7527 Fax: 03-5978-7518 E-mail:メール

更新履歴

2016年4月27日 簡易説明資料を公開。
2016年3月31日 解説資料を公開。
2016年2月15日 本ページを公開。