「情報セキュリティ10大脅威 2017」は、2016年に発生した社会的に影響が大きかったと考えられる情報セキュリティにおける事案から、IPAが脅威候補を選出し、情報セキュリティ分野の研究者、企業の実務担当者などからなる「10大脅威選考会」が脅威候補に対して審議・投票を行い、決定したものです。資料は、下記の3章構成となっています。
-
第1章 情報セキュリティ対策の基本 スマートフォン編
スマートフォンを利用する上で、実施しておくべき情報セキュリティ対策の基本について解説しています。
-
第2章 情報セキュリティ10大脅威 2017
2016年において社会的影響が大きかったセキュリティ上の脅威について、「10大脅威選考会」の投票結果に基づき、「個人」「組織」における脅威を1位から10位に順位付けして解説しています。
-
第3章 注目すべき脅威や懸念
社会に影響を与える可能性が高く、現時点で注目しておきたい脅威や懸念等について解説しています。
2017年も昨年同様に「個人」と「組織」という異なる視点で10大脅威を選出しています。
IPAは、本資料が、読者自身のセキュリティ対策への理解と、各企業・組織の研修やセキュリティ教育等に活用されることにより、セキュリティ対策の普及の一助となることを期待しています。
■「情報セキュリティ10大脅威 2017」
| 昨年順位 |
個人 |
順位 |
組織 |
昨年順位 |
| 1位 |
インターネットバンキングやクレジットカード情報の不正利用 |
1位 |
標的型攻撃による情報流出
| 1位 |
| 2位 |
ランサムウェアによる被害 |
2位 |
ランサムウェアによる被害
| 7位 |
| 3位 |
スマートフォンやスマートフォンアプリを狙った攻撃 |
3位 |
ウェブサービスからの個人情報の窃取
| 3位 |
| 5位 |
ウェブサービスへの不正ログイン |
4位 |
サービス妨害攻撃によるサービスの停止
| 4位 |
| 4位 |
ワンクリック請求等の不当請求 |
5位 |
内部不正による情報漏えいとそれに伴う業務停止
| 2位 |
| 7位 |
ウェブサービスからの個人情報の窃取 |
6位 |
ウェブサイトの改ざん
| 5位 |
| 6位 |
ネット上の誹謗・中傷 |
7位 |
ウェブサービスへの不正ログイン
| 9位 |
| 8位 |
情報モラル欠如に伴う犯罪の低年齢化 |
8位 |
IoT機器の脆弱性の顕在化
| ランク外 |
| 10位 |
インターネット上のサービスを悪用した攻撃 |
9位 |
攻撃のビジネス化
(アンダーグラウンドサービス)
| ランク外 |
| ランク外 |
IoT機器の不適切な管理 |
10位 |
インターネットバンキングやクレジットカード情報の不正利用
| 8位 |
10大脅威の引用について
資料に含まれるデータやグラフ・図表等を、作成される資料に引用・抜粋してご利用頂いて構いません。
ご利用に際しまして、当機構より以下をお願いしております。
- 出典を明記すること(当機構名、資料名、URL)
- 可能な限り原文のまま掲載すること(グラフの形式を変える、文体を変える等は可)
- 一部改変して使用する場合は文意を変えず、原文のままでないことがわかるよう明記すること(「~を基に作成」等)
- 転載部分と作成部分が混在する場合、転載部分か、作成部分かが明確にわかるようにすること
情報セキュリティ10大脅威 2017(第2章)の概要
10大脅威選考会メンバーの投票により選出した「個人」と「組織」の10大脅威の順位と概要は下記になります。
個人
第1位 インターネットバンキングやクレジットカード情報の不正利用
ウイルス感染やフィッシング詐欺により、インターネットバンキングの認証情報やクレジットカード情報が攻撃者に窃取され、正規の利用者になりすまし、不正送金や不正利用が行われた。2016年は2015年と比べインターネットバンキングの被害件数が減少し、さらに、個人口座の被害額も減少している。被害は減少傾向になってはいるが、個人口座の被害額は引き続き大きいため、個人のインターネットバンキングやクレジットカード利用者においては警戒が必要である。
第2位 ランサムウェアによる被害
ランサムウェアとは、PCやスマートフォンにあるファイルの暗号化や画面のロックを行い、復旧させることと引き換えに金銭を要求する手口に使われるウイルスである。2016年は前年と比べるとランサムウェアの検知数が増大している。感染した端末だけではなく、共有サーバーや外付けHDDに保存されているファイルも暗号化されるため、ソフトウェアの更新等の感染を予防する対策に加え、定期的にファイルのバックアップを取得し、PCやサーバーから切り離して保管しておくことが望ましい。
第3位 スマートフォンやスマートフォンアプリを狙った攻撃
人気アプリに偽装した不正アプリを利用者にインストールさせ、スマートフォン内の個人情報を窃取したり、遠隔操作を行える状態にしたりする事件が発生した。また、スマートフォン向けランサムウェアによって端末をロックして、復旧と引き替えに金銭を要求される被害も起きている。
第4位 ウェブサービスへの不正ログイン
2016年に確認されたウェブサービスへの不正ログインの多くが他のウェブサイトから漏えいしたIDやパスワードを悪用している。ウェブサービス利用者は、パスワード管理ソフト等を使い、複雑なパスワードを設定した上でパスワードの使い回しを避ける必要がある。また、ウェブサービスの一部では、多要素認証等の不正ログイン対策を行っている場合があるので、ウェブサービスの利用者は、それらの対策を活用する。
第5位 ワンクリック請求等の不当請求
PCやスマートフォンを利用中にアダルトサイトや出会い系サイト等にアクセスすることで金銭を不当に請求されるワンクリック請求の被害が依然として発生している。これまでは利用者のクリックをきっかけにして請求画面が表示されるものだったが、2016年はクリックすることなく請求画面が表示される「ゼロクリック詐欺」と呼ばれる手口も出現している。
なお、1月31日にプレスリリースした「情報セキュリティ10大脅威 2017」を決定では、タイトルを 「ワンクリック請求などの不当請求」としていましたが、検討の結果、本タイトルに変更しました。
第6位 ウェブサービスからの個人情報の窃取
ウェブサービスの脆弱性を悪用し、ウェブサービス内に登録されている住所や氏名等の個人情報やクレジットカード情報が窃取される事件が2016年も前年に引き続き発生している。数10万件の個人情報等の重要な情報が漏えいする事件も発生しており、ウェブサービスを運営・管理する組織は適切な対応が求められる。また、ウェブサービス利用者は万が一の情報漏えいを考慮して、そのサービスの信頼性の確認やサービス利用に不必要な情報は登録しない等の対応が必要である。
第7位 ネット上の誹謗・中傷
コミュニティサイト(ブログ、SNS、掲示板等)での誹謗中傷や犯罪予告の書き込みが行われ問題となっている。不用意で過激な投稿により、一般人の心理的脅迫や名誉棄損、営業妨害や社会混乱等を招いている。
なお、1月31日にプレスリリースした「情報セキュリティ10大脅威 2017」を決定では、タイトルを 「匿名によるネット上の誹謗・中傷」としていましたが、検討の結果、本タイトルに変更しました。
第8位 情報モラル欠如に伴う犯罪の低年齢化
2016年も未成年者がIT犯罪の加害者として逮捕、補導される事件が多数確認されている。IT犯罪に悪用できるツールや知識がインターネットを通じて誰でも入手できるようになり、情報モラルの欠如した未成年者が、IT犯罪に手を染めてしまっている。
なお、1月31日にプレスリリースした「情報セキュリティ10大脅威 2017」を決定では、タイトルを 「情報モラル不足に伴う犯罪の低年齢化」としていましたが、検討の結果、本タイトルに変更しました。
第9位 インターネット上のサービスを悪用した攻撃
正規のサイトに表示される不正広告や、正規のサービスをコマンド&コントロールサーバー(C&C:ウイルスに感染しているPCに対して命令するサーバー)として動作させてウイルスとの通信に悪用する等、インターネット上でサービスとして提供されている機能や仕組みを隠れみのとする攻撃が問題となった。これらは、正規のサービスを利用していることから、利用者側の対策が難しく、サービス提供ベンダー側での対策が求められる。
第10位 IoT機器の不適切な管理
ウイルス「Mirai」によるDDoS攻撃により、複数の大手ネットサービスが5時間にわたって接続しにくくなるトラブルが発生した。これは、初期パスワードのまま使用されているネットワークカメラ等のIoT機器が、攻撃者に乗っ取られ、ウイルス「Mirai」に感染し、ネットサービスにDDoS攻撃を行ったことが原因である。個人や組織のIoT機器の所有者が知らないうちに攻撃に加担してしまっている。
なお、1月31日にプレスリリースした「情報セキュリティ10大脅威 2017」を決定では、タイトルを 「IoT機器の不適切管理」としていましたが、検討の結果、本タイトルに変更しました。
組織
第1位 標的型攻撃による情報流出
企業や民間団体や官公庁等、特定の組織に対して、メールの添付ファイルやウェブサイトを利用してPCにウイルスを感染させ、そのPCを遠隔操作して、別のPCに感染を拡大し、最終的に個人情報や業務上の重要情報を窃取する標的型攻撃による被害が引き続き発生している。
第2位 ランサムウェアによる被害
ランサムウェアとは、PCやスマートフォンにあるファイルの暗号化や画面のロックを行い、復旧させることと引き換えに金銭を要求する手口に使われるウイルスである。2016年は前年と比べるとランサムウェアの検知数が増大している。感染した端末だけではなく、その端末からアクセスできる共有サーバーに保存されているファイルも暗号化されるため、ソフトウェアの更新等の感染を予防する対策に加え、定期的にファイルのバックアップを取得し、PCやサーバーから切り離して保管しておくことが望ましい。
第3位 ウェブサービスからの個人情報の窃取
ウェブサービスの脆弱性を悪用し、ウェブサービス内に登録されている住所や氏名やクレジットカード情報が窃取される事件が2016年も引き続き発生している。数10万件の個人情報等の重要な情報が漏えいする事件も発生しており、ウェブサービスを運営・管理する組織は適切な対応が求められる。
第4位 サービス妨害攻撃によるサービスの停止
攻撃者に乗っ取られたIT機器等から構成されたボットネットにより、企業や民間団体等、組織のウェブサイトや組織の利用しているDNSサーバーに大量のアクセスを行うDDoS(分散型サービス妨害)攻撃が急増した。攻撃によりウェブサイトやDNSサーバーが高負荷状態となり、利用者がアクセスできなくなる被害が発生し、ウェブサイト運営者が対応に追われた。
第5位 内部不正による情報漏えいとそれに伴う業務停止
組織内部の職員や元職員による、情報の不正な持ち出し等の不正行為が起きている。不正に持ち出した情報の紛失により情報漏えいにつながるケースがある。内部不正を防ぐには、制約や罰則を設けるといった管理的な対策に加えて、適切なアクセス権限の設定やログの収集・管理等の技術的な対策を取り、不正行為を防止すると共に、検知と追求が可能な環境であることを職員に周知する必要がある。
第6位 ウェブサイトの改ざん
コンテンツ管理システム(CMS)等に存在する脆弱性を悪用し、ウェブサイトが改ざんされる事例が今年も発生している。復旧までウェブサイトを停止することになり、特にオンラインショッピング等を運営している場合、事業上の被害が大きい。また、閲覧者がウイルスに感染するように改ざんされた場合、社会的信用を失うことにつながる。
第7位 ウェブサービスへの不正ログイン
2016年に確認されたウェブサービスへの不正ログインの多くがパスワードリスト攻撃によって行われている。ウェブサービスの利用者がパスワードを使い回している場合、不正ログインが行われる恐れがある。ウェブサービスの提供者は、不正ログインされないように多要素認証等のセキュリティ機能をウェブサービスの利用者に提供する必要がある。
第8位 IoT機器の脆弱性の顕在化
2016年は、自動車や医療機器の脆弱性が昨年に続いて公表された。またIoT(Internet of Things)機器の脆弱性を悪用してボット化することで、インターネット上のサービスやサーバーに対して大規模なDDoS攻撃が行われる等、IoT機器の脆弱性に関する脅威が顕在化している。
第9位 攻撃のビジネス化(アンダーグラウンドサービス)
犯罪に使用するためのサービスやツールがアンダーグラウンド市場で取り引きされ、これらを悪用した攻撃が行われている。攻撃に対する専門知識に詳しくない者でもサービスやツールを利用することで、容易に攻撃を行えるため、サービスやツールが公開されると被害が広がる恐れがある。
第10位 インターネットバンキングやクレジットカード情報の不正利用
ウイルス感染やフィッシング詐欺により、インターネットバンキングの認証情報が攻撃者に窃取され、正規の利用者になりすまし、不正送金や不正利用が行われた。2016年は2015年と比べインターネットバンキングの被害件数は減少し、さらに、銀行やカード発行会社の被害額は減少している。
プレス発表
参考資料
本件に対するお問い合わせ先
IPA 技術本部 セキュリティセンター 土屋/亀山
Tel: 03-5978-7527 E-mail:
更新履歴
| 2017年5月30日 |
以下の資料の誤字等を修正
・情報セキュリティ10大脅威 2017
・情報セキュリティ10大脅威 個人編
・情報セキュリティ10大脅威 組織編
|
| 2017年4月27日 |
簡易説明資料を公開。 |
| 2017年3月30日 |
解説資料を公開。 |
| 2017年1月31日 |
本ページを公開。 |
