プレスリリース
公開日:2024年1月24日
独立行政法人情報処理推進機構
IPA(独立行政法人情報処理推進機構、理事長:齊藤裕)は、情報セキュリティにおける脅威のうち、2023年に社会的影響が大きかったトピックを「情報セキュリティ10大脅威 2024」として公表しました。
IPAは情報セキュリティ対策の普及を目的として2006年から、前年に発生した情報セキュリティ事故や攻撃の状況等から脅威を選出し、上位10位を公表しています。本日公表した「情報セキュリティ10大脅威 2024」は、IPAが2023年に発生したセキュリティ事故や攻撃の状況等から脅威候補を選定し、情報セキュリティ分野の研究者、企業の実務担当者など約200名のメンバーで構成する「10大脅威選考会」の投票を経て決定したものです。「個人」の立場と「組織」の立場での「10大脅威」はそれぞれ以下のとおりです。
「個人」向け脅威(五十音順) | 初選出年 |
10大脅威での取り扱い
(2016年以降)
|
---|---|---|
インターネット上のサービスからの個人情報の窃取 | 2016年 | 5年連続8回目 |
インターネット上のサービスへの不正ログイン | 2016年 | 9年連続9回目 |
クレジットカード情報の不正利用 | 2016年 | 9年連続9回目 |
スマホ決済の不正利用 | 2020年 | 5年連続5回目 |
偽警告によるインターネット詐欺 | 2020年 | 5年連続5回目 |
ネット上の誹謗・中傷・デマ | 2016年 | 9年連続9回目 |
フィッシングによる個人情報等の詐取 | 2019年 | 6年連続6回目 |
不正アプリによるスマートフォン利用者への被害 | 2016年 | 9年連続9回目 |
メールやSMS等を使った脅迫・詐欺の手口による金銭要求 | 2019年 | 6年連続6回目 |
ワンクリック請求等の不当請求による金銭被害 | 2016年 | 2年連続4回目 |
順位 | 「組織」向け脅威 | 初選出年 |
10大脅威での取り扱い
(2016年以降)
|
前年順位 |
---|---|---|---|---|
1 | ランサムウェアによる被害 | 2016年 | 9年連続9回目 | 1 |
2 | サプライチェーンの弱点を悪用した攻撃 | 2019年 | 6年連続6回目 | 2 |
3 | 内部不正による情報漏えい等の被害 | 2016年 | 9年連続9回目 | 4 |
4 | 標的型攻撃による機密情報の窃取 | 2016年 | 9年連続9回目 | 3 |
5 | 修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃) | 2022年 | 3年連続3回目 | 6 |
6 | 不注意による情報漏えい等の被害 | 2016年 | 6年連続7回目 | 9 |
7 | 脆弱性対策情報の公開に伴う悪用増加 | 2016年 | 4年連続7回目 | 8 |
8 | ビジネスメール詐欺による金銭被害 | 2018年 | 7年連続7回目 | 7 |
9 | テレワーク等のニューノーマルな働き方を狙った攻撃 | 2021年 | 4年連続4回目 | 5 |
10 | 犯罪のビジネス化(アンダーグラウンドサービス) | 2017年 | 2年連続4回目 | 10 |
「個人」向け脅威は、家庭等でパソコンやスマホを利用する人を対象としています。脅威の順位は、「10大脅威選考会」の投票で社会的影響が大きかった脅威を決定したものですが、危険度を示すものではなく、各脅威の危険度は人によって異なります。しかし個人ユーザーが順位を危険度と誤って認識してしまうと、下位の脅威への注意が疎かになることが懸念されます。そのためIPAでは本年、「個人」向け脅威については順位表示を廃止し、五十音順での紹介としています。
「個人」向け脅威の種類は10個とも前年と変化がありませんでした。しかし、種類が同じであっても脅威を取り巻く環境は前年と同じというわけではありません。攻撃の手口は古典的で変わらないとしても、その中で被害者を騙す手口は常に更新されています。攻撃者は時機を見ながら、社会的に注目されているニュースや新しい技術(生成AI等)などを駆使して攻撃を仕掛けます。例えば、フィッシングによる個人情報等の詐取では、電力・ガス・食料品等の価格高騰に対する緊急支援給付金を案内するとして不審なメールを送付し、マイナポータルを騙った偽サイトへ誘導する手口が見られました。常日頃から脅威に関する最新情報に注意を払い、手口を知っておくことが重要です。
「組織」向け脅威の種類も、全て前年と同じでした。1位の「ランサムウェアによる被害」と2位の「サプライチェーンの弱点を悪用した攻撃」は順位も昨年と変わりませんでした。3位の「内部不正による情報漏えい等の被害」と6位の「不注意による情報漏えい等の被害」は前年から順位を上げています。これらは、組織内の「人」が原因となる脅威です。2022年にIPAでは「内部不正防止ガイドライン」を改訂し、働き方の変化や新技術への対応など時代の変化に合わせて対応が必要であることを述べています。外部からの攻撃などITに関する対策だけでなく、内部の不正やミスといった人に関する対策も重要です。
なお、「情報セキュリティ10大脅威 2024」の詳しい解説は、2月下旬にIPAのウェブサイトで公開する予定です。
IPA セキュリティセンター 土屋/内海