アーカイブ

情報セキュリティ白書2009 第2部 10大脅威 攻撃手法の『多様化』が進む

2009年3月24日
独立行政法人情報処理推進機構
セキュリティセンター
>> ENGLISH

 IPA(独立行政法人情報処理推進機構、理事長:西垣 浩司)は、2008年にIPAに届けられた情報や一般に公開された情報を基に、「10大脅威 攻撃手法の『多様化』が進む」を編纂し、2009年3月24日(火)よりIPAのウェブサイトで公開しました。また、2009年6月25日(木)より英語版を公開しました。

 本資料は、IPAに届けられたコンピュータウイルス・不正アクセス・脆弱性に関する情報や一般に公開された情報を基に、「情報セキュリティ早期警戒パートナーシップ(*1)」に参画する関係者のほか、情報セキュリティ分野における研究者、実務担当者など111名から構成される「情報セキュリティ検討会(本資料のP.25参照)」でまとめたものです。2005年より毎年公開しており、今年で5回目となります。

 安全なインターネットの利用における脅威を、2008年に「印象が強かったもの」「社会的影響が大きいもの」などの観点からランキング投票を行い、10大脅威を選びました。また、今年は新たに、「組織」「利用者」「システム管理者・開発者」の3つのカテゴリに分け、それぞれの脅威を主に関連するカテゴリで分類し、問題の概要、問題の経緯、被害状況・対策状況、対策方法などをまとめました。

 近年、特定の組織を狙ったDNSキャッシュポイズニングや巧妙化する標的型攻撃、また、不特定多数を狙って多様化するウイルスやボット、正規のウェブサイトを改ざんして閲覧者を狙う攻撃など、攻撃手法の多様化が進んでいます。

 経営者は情報セキュリティに対する考え方を整理し組織内に徹底する、利用者はソフトウェアの修正プログラムやウイルス対策ソフトの最新の定義ファイルを迅速に適用する、システム管理者は新たな脅威の情報を日々入手し継続的に対策を実施する、開発者は「安全なウェブサイトの作り方」や「セキュア・プログラミング講座」等の資料を参考に適切なセキュリティを考慮した実装を行うなど、それぞれの立場に応じた対策が必要です。

 本資料は、発刊予定の「情報セキュリティ白書2009」の第2部とする予定です。近年の情報セキュリティを取り巻く状況の理解や、今後の対策の参考になれば幸いです。

 次のPDF資料をダウンロードの上、参照下さい。

資料のダウンロード

10大脅威 攻撃手法の『多様化』が進む

組織への脅威

第1位 DNSキャッシュポイズニングの脅威
第2位 巧妙化する標的型攻撃
第3位 恒常化する情報漏えい

利用者への脅威

第1位 多様化するウイルスやボットの感染経路
第2位 脆弱な無線LAN暗号方式における脅威
第3位 減らないスパムメール
第4位 ユーザIDとパスワードの使いまわしによる危険性

システム管理者・開発者への脅威

第1位 正規のウェブサイトを経由した攻撃の猛威
第2位 誘導型攻撃の顕在化
第3位 組込み製品に潜む脆弱性

組織への脅威
第1位 DNSキャッシュポイズニングの脅威

DNSキャッシュポイズニングの脅威

利用者への脅威
第1位 多様化するウイルスやボットの感染経路

多様化するウイルスやボットの感染経路

システム管理者・開発者への脅威
第1位 正規のウェブサイトを経由した攻撃の猛威

正規のウェブサイトを経由した攻撃の猛威

10大脅威の主要な関係

10大脅威の主要な関係

用語の解説

(*1)情報セキュリティ早期警戒パートナーシップ
 経済産業省告示に基づき、2004年7月より開始したものです。ソフトウェア製品及びウェブアプリケーション(ウェブサイト)に関する脆弱性関連情報を円滑に流通し、対策の普及を図るため、公的ルールに基づく官民の連携体制の基本枠組みです。

参考資料

本件に関するお問い合わせ先

IPA セキュリティ センター(IPA/ISEC) 大森/谷口
Tel:03-5978-7527 Fax:03-5978-7518
E-mail: 電話番号:03-5978-7527までお問い合わせください。

報道関係からのお問い合わせ先

IPA 戦略企画部 広報グループ 横山/大海
Tel:03-5978-7503 Fax:03-5978-7510
E-mail: 電話番号:03-5978-7503までお問い合わせください。

更新履歴

2010年3月31日 2010年版 10大脅威へのリンクを追記
2009年6月25日 英語版を掲載
2009年5月25日 第2刷掲載
2009年3月24日 掲載