※2019年8月7日:情報セキュリティ10大脅威 2019 簡易説明資料 組織編(英語版)および個人編(一般利用者向け)を公開しました。
「情報セキュリティ10大脅威 2019」は、2018年に発生した社会的に影響が大きかったと考えられる情報セキュリティにおける事案から、IPAが脅威候補を選出し、情報セキュリティ分野の研究者、企業の実務担当者など約120名のメンバーからなる「10大脅威選考会」が脅威候補に対して審議・投票を行い、決定したものです。資料は、下記の3章構成となっています。
-
第1章 情報セキュリティ10大脅威 2019 概要
「情報セキュリティ10大脅威 2019」における脅威候補の変更点やランクインした
脅威の特徴、お読みになる上での留意事項について解説しています。
-
第2章 情報セキュリティ10大脅威 2019
2018年において社会的影響が大きかったセキュリティ上の脅威について、「10大脅威選考会」の投票結果に基づき、「個人」「組織」における脅威を1位から10位に順位付けして解説しています。
-
第3章 注目すべき脅威や懸念
社会に影響を与える恐れがあり、現時点で注目しておきたい脅威や懸念等について解説しています。
IPAは、本資料が、読者自身のセキュリティ対策への理解と、各企業・組織の研修やセキュリティ教育等に活用されることにより、セキュリティ対策の普及の一助となることを期待しています。
■「情報セキュリティ10大脅威 2019」
NEW:初めてランクインした脅威
| 昨年順位 |
個人 |
順位 |
組織 |
昨年順位 |
1位
(*1) |
クレジットカード情報の不正利用 |
1位 |
標的型攻撃による被害 |
1位 |
| 1位 |
フィッシングによる個人情報等の詐取 |
2位 |
ビジネスメール詐欺による被害 |
3位 |
| 4位 |
不正アプリによるスマートフォン利用者への被害 |
3位 |
ランサムウェアによる被害 |
2位 |
| NEW |
メール等を使った脅迫・詐欺の手口による金銭要求 |
4位 |
サプライチェーンの弱点を悪用した攻撃の高まり |
NEW |
| 3位 |
ネット上の誹謗・中傷・デマ |
5位 |
内部不正による情報漏えい |
8位 |
| 10位 |
偽警告によるインターネット詐欺 |
6位 |
サービス妨害攻撃によるサービスの停止 |
9位 |
| 1位 |
インターネットバンキングの不正利用 |
7位 |
インターネットサービスからの
個人情報の窃取 |
6位 |
| 5位 |
インターネットサービスへの不正ログイン |
8位 |
IoT機器の脆弱性の顕在化 |
7位 |
| 2位 |
ランサムウェアによる被害 |
9位 |
脆弱性対策情報の公開に伴う悪用増加 |
4位 |
| 9位 |
IoT 機器の不適切な管理 |
10位 |
不注意による情報漏えい |
12位 |
(*1)クレジットカード被害の増加とフィッシング手口の多様化に鑑み、2018年個人1位の「インターネットバンキングやクレジットカード情報等の不正利用」を本年から、①インターネットバンキングの不正利用、②クレジットカード情報の不正利用、③仮想通貨交換所を狙った攻撃、④仮想通貨採掘に加担させる手口、⑤フィッシングによる個人情報等の詐取、に分割。10大脅威の引用について
資料に含まれるデータやグラフ・図表・イラスト等を、作成される資料に引用・抜粋してご利用頂いて構いません。
ご利用に際しまして、当機構より以下をお願いしております。
- 出典を明記すること(当機構名、資料名、URL)
- 可能な限り原文のまま掲載すること(グラフの形式を変える、文体を変える等は可)
- 一部改変して使用する場合は文意を変えず、原文のままでないことがわかるよう明記すること(「~を基に作成」等)
- 転載部分と作成部分が混在する場合、転載部分か、作成部分かが明確にわかるようにすること
- イラストを単体で利用したり、改変(拡大や縮小は可)したりせず、脅威名または脅威の説明と組み合わせて掲載すること
「情報セキュリティ10大脅威 2019」の概要
10大脅威選考会メンバーの投票により選出した「個人」と「組織」の10大脅威の順位と概要は下記になります。
個人
第1位 クレジットカード情報の不正利用
ウイルス感染やフィッシング詐欺等により、クレジットカード情報が攻撃者に窃取され、不正利用が行われている。2018年も、非常に多くの被害が発生しており、窃取されたクレジットカード情報と旅行サービスを組み合わせた悪用の手口(不正トラベル)による被害の増加も確認されている。
第2位 フィッシングによる個人情報等の詐取
有名企業をかたったメールを送信して偽のウェブサイトへ誘導し、IDやパスワード等を詐取するフィッシング詐欺が行われている。Apple ID、Microsoftアカウント等、複数のサービスを利用できる認証情報が狙われる傾向にあり、詐取された情報を悪用され金銭的な被害が発生している。
第3位 不正アプリによるスマートフォン利用者への被害
不正アプリをスマートフォン利用者がインストールしてしまうことで、スマートフォン内の重要な情報を窃取されたり、一部機能を不正に利用される被害が確認されている。不正アプリをインストールさせるための手口として、実在の企業をかたり誘導する等、手口が巧妙化している。
なお、1月30日にプレスリリースした「情報セキュリティ10大脅威 2019」を決定では、タイトルを 「不正アプリによるスマートフォン利用者の被害」としていましたが、検討の結果、本タイトルに変更しました。
第4位 メール等を使った脅迫・詐欺の手口による金銭要求
アダルトサイトを閲覧している姿を撮影した映像をばらまくと脅迫するメールや有料サイトの未納料金を請求するメールを受信し、その内容を信じてしまい仮想通貨等を騙し取られる被害が発生している。昨今、PCをハッキングしているように見せかける等、信じさせる手口が巧妙化している。
なお、1月30日にプレスリリースした「情報セキュリティ10大脅威 2019」を決定では、タイトルを 「メールやSNSを使った脅迫・詐欺の手口による金銭要求」としていましたが、検討の結果、本タイトルに変更しました。
第5位 ネット上の誹謗・中傷・デマ
インターネットの匿名性を利用して、特定の個人や組織に誹謗・中傷や犯罪予告をする事件が依然として発生している。また、2018年に起きた震災では、SNSサービス上で嘘情報を発信し、人々を混乱させる事件も発生する等、情報モラルや情報リテラシーを欠いた行為が度々問題となっている。
第6位 偽警告によるインターネット詐欺
PCやスマートフォンの利用者に対してインターネット閲覧中に、突然「ウイルスに感染しています」等の偽の警告画面(偽警告)を表示し、不要なソフトウェアをインストールおよび購入するように誘導したり、サポート窓口を装って電話を掛けさせ、サポート契約を結ばせる等で金銭を騙し取る被害が発生している。偽警告は利用者の不安につけこむ金銭詐欺であり、表示されても慌てず冷静に対応する必要がある。
第7位 インターネットバンキングの不正利用
ウイルス感染やフィッシング詐欺により、インターネットバンキングのログイン情報を攻撃者が窃取し、本人になりすまして、不正送金や不正利用が行われている。インターネットバンキングを狙った攻撃は継続して確認されているが、被害件数や被害額は年々減少傾向となっている。
第8位 インターネットサービスへの不正ログイン
インターネットサービスに不正ログインされ、金銭的な被害や個人情報が窃取される等の被害を受ける事例が確認されている。インターネット利用者が複数のサービスを利用する際に同じIDとパスワードを使いまわしてしまう場合がある。そのIDやパスワードを狙ったパスワードリスト攻撃による不正ログインが多く見られる。
第9位 ランサムウェアによる被害
PCやスマートフォンに保存されているファイルの暗号化や画面ロック等を行い、復旧に金銭を支払うよう脅迫するランサムウェアと呼ばれるウイルスへの感染が確認されている。感染するとPCやスマートフォン内に保存された家族や友人との思い出の写真や知人の連絡先情報等が閲覧できなくなる。また、2018年は、個人に直接的な影響は少なかったが病院や鉄道会社といった日常生活でよく利用する組織においても被害が確認されている。
第10位 IoT 機器の不適切な管理
企業だけでなく一般家庭でもインターネット経由で操作を行うことができるIoT機器の利用が増えている。しかし、パスワードの設定や管理が不十分なケースも多い。そのようなIoT機器に不正アクセスされ、情報の盗み見等の被害が発生している。
組織
第1位 標的型攻撃による被害
企業や民間団体そして官公庁等、特定の組織から重要情報を窃取することを目的とした標的型攻撃が発生している。攻撃者はメールの添付ファイルや悪意のあるウェブサイトを利用し、組織のPCをウイルスに感染させる。その後、組織内部へ潜入し、組織内部の侵害範囲を拡大しながら重要情報や個人情報を窃取する。
第2位 ビジネスメール詐欺による被害
ビジネスメール詐欺(Business E-mail Compromise:BEC)は、取引先や経営者とやりとりするようなビジネスメールを装い、巧妙に細工されたメールのやりとりで企業の金銭を取り扱う担当者を騙し、攻撃者の用意した口座へ送金させる詐欺の手口である。当初は主に海外の組織が被害に遭ってきたが、ここ数年で国内企業でも被害が確認されはじめ、2018年には日本語のビジネスメール詐欺の事例も確認された。
第3位 ランサムウェアによる被害
PC(サーバー含む)やスマートフォンに保存されているファイルの暗号化や画面ロック等を行い、復旧に金銭を支払うよう脅迫するランサムウェアと呼ばれるウイルスへの感染が確認されている。組織においては、業務を遂行する上で必要な情報を暗号化された場合、事業継続にも支障がでるおそれがある。また、脅迫に従った場合、金銭的な被害も発生する。
第4位 サプライチェーンの弱点を悪用した攻撃の高まり
原材料や部品の調達、製造、在庫管理、物流、販売までの一連の商流、およびこの商流に関わる複数の組織群をサプライチェーンと呼ぶ。また、組織が特定の業務を外部組織に委託している場合、この外部組織もサプライチェーンの一環となる。業務委託先組織がセキュリティ対策を適切に実施していないと、業務委託元組織への攻撃の足がかりとして狙われる。昨今、業務委託先組織が攻撃され、預けていた個人情報が漏えいする等の被害が発生している。
第5位 内部不正による情報漏えい
組織の従業員や元従業員等、組織関係者による機密情報の漏えい、悪用等の不正行為が発生している。組織関係者による不正行為は、組織の社会的信用の失墜、損害賠償による経済的損失等により、組織に多大な損害を与える。
第6位 サービス妨害攻撃によるサービスの停止
攻撃者に乗っ取られた複数の機器から形成されるネットワーク(ボットネット)を踏み台とし、企業や組織が提供しているインターネットサービスに対して大量のアクセスを仕掛け高負荷状態にさせるDDoS(分散型サービス妨害)攻撃が確認されている。攻撃を受けた場合、自組織が管理するウェブサイト等のレスポンスが遅延、または機能停止状態となり、サービス提供に支障が出るおそれがある。
第7位 インターネットサービスからの個人情報の窃取
インターネットサービスの脆弱性が悪用され、インターネットサービス内に登録されている個人情報やクレジットカード情報等の重要な情報を窃取される被害が発生している。攻撃者は窃取した情報を悪用して不審なメールを送信したり、クレジットカードを不正利用する。
第8位 IoT機器の脆弱性の顕在化
IoT機器をウイルスに感染させ、そのIoT機器を踏み台として大規模なDDoS(分散型サービス妨害)攻撃を行い、サービスやネットワーク、サーバーに悪影響を与える被害が確認されている。IoT機器は稼働台数が多く、脆弱性対策も浸透していないことからサイバー攻撃の対象になりやすい。IoT機器を狙ったサイバー攻撃は年々増加傾向で深刻な被害も発生しており、早急なセキュリティ対策が必要となっている。
第9位 脆弱性対策情報の公開に伴う悪用増加
ソフトウェアの脆弱性対策情報の公開は、脆弱性の脅威や対策情報を広く呼び掛けられるメリットがある。一方、その情報を攻撃者に悪用され、当該ソフトウェアに対する脆弱性対策を行っていないシステムを狙った攻撃が行われている。近年では脆弱性情報の公開後、攻撃コードが流通し、攻撃が本格化するまでの時間が短くなっている。
第10位 不注意による情報漏えい
組織や企業では、情報管理に対する意識の低さや確認漏れ等により、従業員による個人情報や機密情報の漏えいが後を絶たない。漏えいした情報が悪用される等の二次被害も懸念される。
プレス発表
参考資料
本件に対するお問い合わせ先
IPA セキュリティセンター 土屋/黒谷
Tel: 03-5978-7527 E-mail:
更新履歴
| 2020年8月28日 |
・「簡易説明資料 個人編(一般利用者向け)」
偽ウェブサイトのURL修正
|
| 2019年8月7日 |
・「簡易説明資料 組織編(英語版)」を公開
・「簡易説明資料 個人編(一般利用者向け)」を公開
|
| 2019年7月3日 |
・「情報セキュリティ10大脅威 2019」
誤記の修正 |
| 2019年6月26日 |
・「10大脅威の引用について」を更新
10大脅威のイラスト利用について明確化
|
| 2019年6月12日 |
・「簡易説明資料 組織編」
誤記の修正
|
| 2019年4月17日 |
・「簡易説明資料 個人編」を公開
|
| 2019年4月3日 |
・「情報セキュリティ10大脅威 2019」
誤記の修正
・「簡易説明資料 組織編」
誤記および一部フォントなどの修正
|
| 2019年3月20日 |
・「簡易説明資料 組織編」を公開
・「情報セキュリティ10大脅威 2019」
組織10位「不注意による情報漏えい」の参考資料を変更
|
| 2019年3月1日 |
以下の資料内の文言を修正
・「情報セキュリティ10大脅威 2019」
組織2位「ビジネスメール詐欺による被害」
|
| 2019年2月28日 |
・解説資料を公開
|
| 2019年1月30日 |
・本ページを公開
|
