プレス発表　「情報セキュリティ10大脅威 2019」を決定

2019年1月30日
独立行政法人情報処理推進機構

「情報セキュリティ10大脅威 2019」は、2018年に発生した社会的に影響が大きかったと考えられる情報セキュリティにおける事案をランキングしたものです。IPAが脅威候補を選出し、「10大脅威選考会^(脚注1)」が脅威候補に対して審議・投票を行い、決定したものです。^(脚注2)

■「情報セキュリティ10大脅威 2019」

NEW：初めてランクインした脅威

昨年順位	個人	順位	組織	昨年順位
1位 (脚注3)	クレジットカード情報の不正利用	1位	標的型攻撃による被害	1位
1位	フィッシングによる個人情報等の詐取	2位	ビジネスメール詐欺による被害	3位
4位	不正アプリによるスマートフォン利用者の被害	3位	ランサムウェアによる被害	2位
NEW	メールやSNSを使った脅迫・詐欺の手口による金銭要求	4位	サプライチェーンの弱点を悪用した攻撃の高まり	NEW
3位	ネット上の誹謗・中傷・デマ	5位	内部不正による情報漏えい	8位
10位	偽警告によるインターネット詐欺	6位	サービス妨害攻撃によるサービスの停止	9位
1位	インターネットバンキングの不正利用	7位	インターネットサービスからの個人情報の窃取	6位
5位	インターネットサービスへの不正ログイン	8位	IoT機器の脆弱性の顕在化	7位
2位	ランサムウェアによる被害	9位	脆弱性対策情報の公開に伴う悪用増加	4位
9位	IoT 機器の不適切な管理	10位	不注意による情報漏えい	12位

新たな脅威としてランクインしたのは「メールやSNSを使った脅迫・詐欺の手口による金銭要求」(個人4位)と「サプライチェーンの弱点を利用した攻撃の高まり」（組織4位）でした。

また、本年の個人ランキングでは“だましによる手口”が顕著となっています。1位～4位、6位、7位はいずれも、利用者をだまして金銭や情報を詐取する手口です。必ずしもウイルスが用いられているわけではありません。

このようなだましの手口への対策には具体的に手口を知ることが一番です。IPAの「安心相談窓口だより^(脚注4) 」をはじめとした情報セキュリティのページ、ネットのニュースやブログをチェックし情報収集に努めてください。

一方、組織の4位に新規にランクインしたサプライチェーンとは、原材料や部品の調達、製造、在庫管理、物流、販売までの一連の商流、およびこの商流に関わる複数の組織群を指します。

攻撃者はサプライチェーン内のセキュリティ対策が不十分な組織、箇所を攻撃の糸口に侵入します。そして、最終目的である標的への攻撃を試みることが指摘されています。

その手口は多様で、脆弱と考えられる子会社や委託先を突破口にし、親会社や委託元を狙います。その結果、製品やサービス、そしてその利用者である顧客にも被害が及ぶことがあります。

2017年11月に公開した「サイバーセキュリティ経営ガイドライン」^(脚注5)のVer. 2.0では、新たに「サプライチェーンセキュリティ対策の推進」の項目が加えられています。今や企業経営においては、サプライチェーン全体でセキュリティ対策を実施することが求められています。

なお、IPAでは、2月下旬に「情報セキュリティ10大脅威 2019」の詳しい解説をウェブサイトで公開する予定です。

• 脚注1 情報セキュリティ分野の研究者、企業の実務担当者など約120名のメンバーで構成。
• 脚注2 予めIPAが32の脅威候補を選定し、「10大脅威選考会」の投票により、個人と組織のランキングとして10大脅威を選出。
• 脚注3 クレジットカード被害の増加とフィッシング手口の多様化に鑑み、2018年個人1位の「インターネットバンキングやクレジットカード情報等の不正利用」を本年から、(1)インターネットバンキングの不正利用、(2)クレジットカード情報の不正利用、(3)仮想通貨交換所を狙った攻撃、(4)仮想通貨採掘に加担させる手口、(5)フィッシングによる個人情報等の詐取、に分割。
• 脚注4 安心相談窓口だより
• 脚注5 サイバーセキュリティ経営ガイドラインは経済産業省とIPAが共同で策定した。
  サイバーセキュリティ経営ガイドライン