アーカイブ
公開日:2022年1月27日
独立行政法人情報処理推進機構
IPA(独立行政法人情報処理推進機構、理事長:富田達夫)は、情報セキュリティにおける脅威のうち、2021年に社会的影響が大きかったトピックを「情報セキュリティ10大脅威 2022」として公表しました。
IPAは情報セキュリティ対策の普及を目的として2006年から、前年に発生した情報セキュリティ事故や攻撃の状況等から脅威を選出し、上位10位を公表しています。本日公表した「情報セキュリティ10大脅威 2022」は、IPAが2021年に発生した脅威候補を選定し、情報セキュリティ分野の研究者、企業の実務担当者など約150名のメンバーで構成する「10大脅威選考会」の投票を経て決定したものです。「個人」の立場と「組織」の立場でのランキングはそれぞれ以下のとおりです。
1位 |
フィッシングによる個人情報等の詐取(昨年順位2位) |
---|---|
2位 |
ネット上の誹謗・中傷・デマ(昨年順位3位) |
3位 |
メールやSMS等を使った脅迫・詐欺の手口による金銭要求(昨年順位4位) |
4位 |
クレジットカード情報の不正利用(昨年順位5位) |
5位 |
スマホ決済の不正利用(昨年順位1位) |
6位 |
偽警告によるインターネット詐欺(昨年順位8位) |
7位 |
不正アプリによるスマートフォン利用者への被害(昨年順位9位) |
8位 |
インターネット上のサービスからの個人情報の窃取(昨年順位7位) |
9位 |
インターネットバンキングの不正利用(昨年順位6位) |
10位 |
インターネット上のサービスへの不正ログイン(昨年順位10位) |
個人の順位では、順位の変動はあるものの、脅威の内容は昨年、一昨年と全て同じでした。2019年から2年連続2位にランクインしていた「フィッシングによる個人情報等の詐取」が今回初めて1位になりました。フィッシング詐欺は、実在する公的機関や有名企業を騙ったメールやショートメッセージサービス(SMS)等を送信し、正規のウェブサイトを模倣したフィッシングサイトへ誘導することで、個人情報や認証情報等を入力させる詐欺です。2021年も大手ECサイトや金融機関などを騙った手口が多く確認されました。安易にURLをクリック・タップしない、サービスを利用する際は自身のブックマークや公式アプリからアクセスするなど、利用者は日ごろから注意が必要です。
1位 |
ランサムウェアによる被害(昨年順位1位) |
---|---|
2位 |
標的型攻撃による機密情報の窃取(昨年順位2位) |
3位 |
サプライチェーンの弱点を悪用した攻撃(昨年順位4位) |
4位 |
テレワーク等のニューノーマルな働き方を狙った攻撃(昨年順位3位) |
5位 |
内部不正による情報漏えい(昨年順位6位) |
6位 |
脆弱性対策情報の公開に伴う悪用増加(昨年順位10位) |
7位 |
修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃)(昨年初めてランクインした脅威) |
8位 |
ビジネスメール詐欺による金銭被害(昨年順位5位) |
9位 |
予期せぬIT基盤の障害に伴う業務停止(昨年順位7位) |
10位 |
不注意による情報漏えい等の被害(昨年順位9位) |
組織の順位では、10の脅威のうち9個が昨年と同じでした。昨年8位だった「インターネット上のサービスへの不正ログイン」に替わって、「修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃)」が初登場で7位となりました。ゼロデイ攻撃は、修正プログラムが提供される前の脆弱性を悪用した攻撃です。2021年12月にはJava用のログ出力ライブラリである「Apache Log4j」の脆弱性対策情報が、すでに攻撃が観測されているとの情報と同時に公開されました。「Apache Log4j」は、ウェブサイトのバックエンドにあるウェブサーバーなどで行われた操作を記録する機能をもつプログラムの部品のようなもので、世界中のプログラムで広く使われているため、大きな話題となりました。ゼロデイ攻撃の場合、修正プログラムが提供された時点ですでに攻撃が行われているため、脆弱性対策に加え、外部からの侵入を検知/防御する機器を導入するなどの備えが重要です。
組織の1位は、昨年に引き続き「ランサムウェアによる被害」でした。2021年も国内の企業や病院などのランサムウェア被害が報道され、大きな話題となりました。近年のランサムウェア攻撃は、標的型攻撃と同様の手法で企業・組織のネットワークに侵入したり、データを暗号化するだけでなく窃取して公開すると脅したりして、身代金を支払わざるを得ないような状況を作り出します。標的型攻撃と同等の技術が駆使されるため、この攻撃への対策は、例えば、ウイルス対策、不正アクセス対策、脆弱性対策など、基本的な対策を、確実かつ多層的に適用することが重要です。また、どの組織でも被害に遭う可能性があることを念頭において、バックアップの取得や復旧計画を策定するなど、事前の準備が重要です。
なお、「情報セキュリティ10大脅威 2022」にランクインした各脅威の手口、傾向や対策など詳しい解説は、2月下旬にIPAのウェブサイトで公開する予定です。
IPA セキュリティセンター 土屋/大友