情報セキュリティ10大脅威 2016の概要

10大脅威選考会メンバーの投票により選出した総合的な10大脅威の順位と概要は下記になります。

第1位　インターネットバンキングやクレジットカード情報の不正利用

ウイルス感染やフィッシング詐欺により、個人および組織から情報を窃取し、本人になりすました不正送金や利用が行われた。2015年は攻撃対象が拡大し、地域の金融機関も標的となった。

第2位　標的型攻撃による情報流出

メールの添付ファイルやウェブサイトを利用してPCをウイルスに感染させ、そのPCを遠隔操作して組織や企業の重要情報を窃取する標的型攻撃が後を絶たない。日本年金機構の事件報道以降、多くの組織や企業でも標的型攻撃を受けていたことが分かり、同様の事件報道が続いた。

第3位　ランサムウェアを使った詐欺・恐喝

悪意あるプログラムによってPC内のファイルが閲覧・編集できない形に暗号化され、ファイル復元の身代金として、利用者に金銭を要求される被害が増えている。このプログラムを「ランサムウェア」と呼ぶ。2015年には、これまでの不自然な日本語から一転して流暢な日本語でメッセージが表示されるランサムウェアが登場する等、多言語対応等の感染手口の巧妙化が見られた。

第4位　ウェブサービスからの個人情報の窃取

ウェブサイトの脆弱性を突き、ウェブサービスが保有する住所や氏名等の個人情報が窃取される事件が国内で発生した。また、海外では社会的・政治的主張を目的にサイバー攻撃を行うハッカー集団（ハクティビスト）が、窃取した個人情報や機密情報をインターネット上に公開される事件も発生した。

第5位　ウェブサービスへの不正ログイン

ウェブサービスから窃取したIDとパスワードを用いて、不正ログインされる被害が発生している。利用者が同じパスワードを複数のウェブサービスで使い回している場合、被害が拡大する。また、安易なパスワードを設定している場合も、推測されることにより、不正ログインを許してしまう。

第6位　ウェブサイトの改ざん

閲覧するだけでウイルスに感染するよう、オンラインショップ等のウェブサイトが改ざんされる事例が多く発生した。改ざんされるとウェブサイトの一時停止を余儀なくされる等経営上のダメージを被る被害者となる一方で、利用者にウイルスを拡散する加害者にもなってしまう。

第7位　審査をすり抜け公式マーケットに紛れ込んだスマートフォンアプリ

スマートフォンにインストールしてしまった悪意あるアプリにより、スマートフォン内の情報が窃取されてしまう。これまでは、悪意あるアプリの被害を回避する対策として、公式マーケットからアプリを入手することが有効であったが、公式マーケットに悪意あるアプリが紛れ込む事例が発生している。

第8位　内部不正による情報漏えいとそれに伴う業務停止

企業や組織の職員が、内部の情報を窃取し、インターネット上に公開した事件が社会的な問題となった。内部の人間が悪意を持つと、正当な権限を用いて情報を窃取できるため、情報の重要度に応じたアクセス権限の設定や離職者のアクセス権の抹消等、厳格な管理と監視を継続的に行う必要がある。

なお、2月15日にプレスリリースした「情報セキュリティ10大脅威 2016」の順位を発表では、タイトルを 「内部不正による情報漏えい」としていましたが、検討の結果、本タイトルに変更しました。

第9位　巧妙・悪質化するワンクリック請求

アダルトサイトや出会い系サイトといった有料サイトや、セキュリティソフトの購入推奨等の金銭請求画面が表示され、金銭を不正に請求されるワンクリック請求の被害が発生している。スマートフォンのシャッター音を鳴らす、自動的に電話を発信させるといった、被害者の不安や焦燥感を煽り、支払いを誘発させる巧妙な手口も出現している。

第10位　脆弱性対策情報の公開に伴い公知となる脆弱性の悪用増加

2015年も広く利用されているソフトウェアの脆弱性が公開された。一方、セキュリティ情報に対して関心が低いシステム管理者や利用者も多く存在し、セキュリティ意識の格差が生じている。攻撃者は対策がなされていないシステムやソフトウェアを狙ってくる。脆弱性対策情報の公開から早い時期にその脆弱性を悪用される事例が現れている。システム管理者や利用者は日頃から情報収集や、対応方法の検討をしておく必要がある。

なお、2月15日にプレスリリースした「情報セキュリティ10大脅威 2016」の順位を発表では、タイトルを 「対策情報の公開に伴い公知となる脆弱性の悪用増加」としていましたが、検討の結果、本タイトルに変更しました。