※2020年7月21日:「情報セキュリティ10大脅威 2020 [組織編] (英語版)」を公開しました.。
「情報セキュリティ10大脅威 2020」は、2019年に発生した社会的に影響が大きかったと考えられる情報セキュリティにおける事案から、IPAが脅威候補を選出し、情報セキュリティ分野の研究者、企業の実務担当者など約140名のメンバーからなる「10大脅威選考会」が脅威候補に対して審議・投票を行い、決定したものです。
-
第1章 知っておきたい用語や仕組み
パソコンやスマートフォン、インターネットを安全に利用するための対策をとる上で、ぜひ知っておきたい用語や仕組み(技術名称やサービス名称)をいくつかピックアップし、それらについての概要やよくある疑問点等を解説しています。
-
第2章 情報セキュリティ10大脅威 2020
2019年において社会的影響が大きかったセキュリティ上の脅威について、「10大脅威選考会」の投票結果に基づき、「個人」「組織」における脅威を1位から10位に順位付けして解説しています。
-
第3章 情報セキュリティ10大脅威の活用法
組織や自分の立場・環境によって重要度の高い脅威が異なることを踏まえ、「守るべきもの(サービスや個人情報)」、それに対する「脅威」、「対策候補(ベストプラクティス)」を洗い出し、優先順位をつけて効率的に対策を講じるための「情報セキュリティ10大脅威」の活用法を解説しています。
IPAは、本資料が、読者自身のセキュリティ対策への理解と、各企業・組織の研修やセキュリティ教育等に活用されることにより、セキュリティ対策の普及の一助となることを期待しています。
■「情報セキュリティ10大脅威 2020」
NEW:初めてランクインした脅威
| 昨年順位 |
個人 |
順位 |
組織 |
昨年順位 |
| NEW |
スマホ決済の不正利用 |
1位 |
標的型攻撃による機密情報の窃取 |
1位 |
| 2位 |
フィッシングによる個人情報の詐取 |
2位 |
内部不正による情報漏えい |
5位 |
| 1位 |
クレジットカード情報の不正利用 |
3位 |
ビジネスメール詐欺による金銭被害 |
2位 |
| 7位 |
インターネットバンキングの不正利用 |
4位 |
サプライチェーンの弱点を悪用した攻撃 |
4位 |
| 4位 |
メールやSMS等を使った脅迫・詐欺の手口による金銭要求 |
5位 |
ランサムウェアによる被害 |
3位 |
| 3位 |
不正アプリによるスマートフォン利用者への被害 |
6位 |
予期せぬIT基盤の障害に伴う業務停止 |
16位 |
| 5位 |
ネット上の誹謗・中傷・デマ |
7位 |
不注意による情報漏えい(規則は遵守) |
10位 |
| 8位 |
インターネット上のサービスへの不正ログイン |
8位 |
インターネット上のサービスからの個人情報の窃取 |
7位 |
| 6位 |
偽警告によるインターネット詐欺 |
9位 |
IoT機器の不正利用 |
8位 |
| 12位 |
インターネット上のサービスからの個人情報の窃取 |
10位 |
サービス妨害攻撃によるサービスの停止 |
6位 |
10大脅威の引用について
資料に含まれるデータやグラフ・図表・イラスト等を、作成される資料に引用・抜粋してご利用いただいて構いません。
ご利用に際しまして、当機構より以下をお願いしております。
- 出典を明記すること(当機構名、資料名、URL)
- 可能な限り原文のまま掲載すること(グラフの形式を変える、文体を変える等は可)
- 一部改変して使用する場合は文意を変えず、原文のままでないことがわかるよう明記すること(「~を基に作成」等)
- 転載部分と作成部分が混在する場合、転載部分か、作成部分かが明確にわかるようにすること
- イラストを単体で利用したり、改変(拡大や縮小は可)したりせず、脅威名または脅威の説明と組み合わせて掲載すること
「情報セキュリティ10大脅威 2020」の概要
10大脅威選考会メンバーの投票により選出した「個人」と「組織」の10大脅威の順位と概要は下記になります。
個人
第1位 スマホ決済の不正利用
近年のスマートフォンの普及に伴い、スマートフォンを利用した決済(スマホ決済)がキャッシュレス決済の手段として利用できるようになった。その後も類似のスマホ決済サービスは次々と登場し、それらの利用者が増加している。一方、利便性の反面、アカウントに不正アクセスされたことにより、第三者のなりすましによるサービスの不正利用も確認されている。
第2位 フィッシングによる個人情報の詐取
フィッシング詐欺は、金融機関、ショッピングサイト等の実在する有名企業を騙るメールを送信し、偽のウェブサイト(フィッシングサイト)へ誘導することにより、銀行口座情報、クレジットカード情報、ID、パスワード、氏名等の重要な情報を詐取する詐欺である。詐取された情報を悪用されると金銭的な被害が発生することもある。
第3位 クレジットカード情報の不正利用
キャッシュレス決済の普及に伴い、クレジットカードの利用機会が増えている。さらに、スマートフォンを使った決済サービスも登場し、様々なデバイスからクレジットカードが利用されている。一方、そのクレジットカードを狙ったフィッシング詐欺、ショッピングサイトの改ざんによる偽決済画面への誘導等により、クレジットカード情報が詐取され、攻撃者によって不正利用されるという被害が発生している。
第4位 インターネットバンキングの不正利用
フィッシング詐欺やウイルス感染により、インターネットバンキングの認証情報を窃取され、攻撃者が本人になりすました不正送金や不正利用が行われている。近年はその被害が減少傾向であったが、2019年9月頃からフィッシング詐欺による不正送金被害が急増した。
第5位 メールやSMS等を使った脅迫・詐欺の手口による金銭要求
個人の秘密を家族や知人に公開すると脅迫したり、身に覚えのない有料サイトの未納料金を請求したりするメールやSMS(ショートメッセージサービス)を使った詐欺による金銭被害が発生している。公的機関を装った偽の相談窓口に誘導するといった新しい手口も確認されている。
第6位 不正アプリによるスマートフォン利用者への被害
スマートフォン利用者が不正アプリを意図せずインストールし、スマートフォン内に保存されている重要な情報が窃取されたり、一部機能を悪用されたりする被害が確認されている。公式マーケット上に不正アプリが公開されているケースや、有名企業等になりすましたメールやSMS(ショートメッセージサービス)が届き、不正アプリのダウンロードサイトに誘導されるケースがある。
第7位 ネット上の誹謗・中傷・デマ
インターネットの匿名性を利用して、特定の個人や組織に対して誹謗・中傷や根も葉もないデマを発信する事件が発生している。誹謗・中傷やデマの対象となった被害者は、精神的苦痛に苛まれる。また、既に発信されていた情報を転載した発信であっても、それが誹謗・中傷やデマであれば、転載して拡散した者も社会的責任を問われる場合がある。
第8位 インターネット上のサービスへの不正ログイン
インターネット上のサービスへ不正ログインされ、金銭や個人情報等の重要情報が窃取される被害が確認されている。別のサービスと同じIDやパスワードを使いまわす利用者を狙ったパスワードリスト攻撃による不正ログインが行われている。また、不正ログインで得た情報を利用して更に被害を拡大させるおそれがある。
第9位 偽警告によるインターネット詐欺
PC やスマートフォンの利用者に対してインターネット閲覧中に、突然「ウイルスに感染しています」等の偽の警告画面(偽警告)を表示して、不要なソフトウェアをインストールおよび購入させたり、攻撃者が用意したサポート窓口に電話を掛けさせてサポート契約を結ばせたりする被害が発生している。偽警告は利用者の不安につけこむ手口であり、表示されても慌てず冷静に対応する必要がある。
第10位 インターネット上のサービスからの個人情報の窃取
ショッピングサイト(ECサイト)等のインターネット上のサービスへ脆弱性等を悪用した不正アクセスや不正ログインが行われ、サービスに登録している個人情報等の重要な情報を窃取される被害が発生している。窃取された情報を悪用されるとクレジットカードの不正利用等の二次被害につながる。
組織
第1位 標的型攻撃による機密情報の窃取
企業や民間団体そして官公庁等、特定の組織に対して、機密情報等を窃取することを目的とした標的型攻撃が発生している。2020年初頭には、複数の防衛関連企業が不正アクセスを受けていたという報道があった。
第2位 内部不正による情報漏えい
組織の従業員や元従業員等、組織関係者による機密情報の持ち出しや悪用等の、不正行為が発生している。また、組織の情報管理のルールを守らずに情報を持ち出し、さらにはそれを紛失し、情報漏えいにつながることもある。内部不正は、組織の社会的信用の失墜、損害賠償による経済的損失等により、組織に多大な損害を与える。
第3位 ビジネスメール詐欺による金銭被害
ビジネスメール詐欺(Business E-mail Compromise:BEC)は、海外の取引先や自社の役員等になりすまし、巧妙に細工された偽の電子メールを企業の出納担当者に送り、攻撃者が用意した口座へ送金させる詐欺の手口である。海外だけではなく日本国内でも高額な被害が確認されている。
第4位 サプライチェーンの弱点を悪用した攻撃
原材料や部品の調達、製造、在庫管理、物流、販売までの一連の商流、およびこの商流に関わる複数の組織群をサプライチェーンと呼ぶ。また、組織が特定の業務を外部組織に委託している場合、この外部組織もサプライチェーンの一環となる。業務委託先組織がセキュリティ対策を適切に実施していないと、業務委託元組織への攻撃の足がかりとして狙われる。昨今、業務委託先組織が攻撃され、預けていた個人情報が漏えいする等の被害が発生している。
第5位 ランサムウェアによる被害
ファイルの暗号化や画面ロック等を行うランサムウェアに感染し、PC(サーバー含む)やスマートフォンに保存されているファイルを利用できない状態にされ、復旧と引き換えに金銭を要求される被害が発生している。不特定多数に対して行う攻撃だけではなく、特定の国や組織を狙う標的型攻撃に近い攻撃も行われる。
第6位 予期せぬIT基盤の障害に伴う業務停止
組織がインターネット上のサービスや業務システム等で使用しているネットワークやクラウドサービス、データセンター設備等のIT基盤に予期せぬ障害が発生し、長時間にわたり利用者や従業員に対するサービスを提供できなくなるケースがある。IT基盤の停止は利用している組織の事業の妨げとなり、ビジネスに大きな影響を与えるおそれがある。
第7位 不注意による情報漏えい(規則は遵守)
組織や企業において、情報管理体制の不備や情報リテラシー不足等が原因となり、従業員が個人情報や機密情報を漏えいしてしまう事例が2019年も多く見られた。漏えいした情報が悪用される二次被害が発生するおそれもあるため、十分な対策が求められる。
第8位 インターネット上のサービスからの個人情報の窃取
ショッピングサイト(ECサイト)等のインターネット上のサービスへ脆弱性等を悪用した不正アクセスや不正ログインが行われ、サービスに登録している個人情報等の重要な情報を窃取される被害が発生している。窃取された情報を悪用されるとクレジットカードの不正利用等の二次被害につながる。
第9位 IoT機器の不正利用
ウイルスに感染させたIoT機器を踏み台として、サービスやネットワーク、サーバーに悪影響を与える大規模なDDoS(分散型サービス妨害)攻撃の被害が確認されている。今後も普及拡大することが予想されるIoT機器は、セキュリティ対策が必要な対象として認識しなければならない。
第10位 サービス妨害攻撃によるサービスの停止
攻撃者に乗っ取られた複数の機器から形成されるネットワーク(ボットネット)が踏み台となり、企業や組織が提供しているインターネット上のサービスに対して大量のアクセスを一斉に仕掛け高負荷状態にさせる、もしくは回線帯域の占有によるサービスを利用不能とさせる等のDDoS (分散型サービス妨害)攻撃が行われている。標的とされた組織は、ウェブサイト等のレスポンスの遅延や、機能停止状態となり、サービスの提供に支障が出るおそれがある。
プレス発表
参考資料
本件に対するお問い合わせ先
IPA セキュリティセンター 土屋/黒谷
Tel: 03-5978-7527 E-mail:
更新履歴
| 2020年7月21日 |
・「情報セキュリティ10大脅威 2020」簡易説明資料[組織編](英語版)を公開
|
| 2020年4月2日 |
・「情報セキュリティ10大脅威 2020」解説書
記載内容の修正
・「情報セキュリティ10大脅威 2020」各脅威の解説資料
記載内容の修正
・「情報セキュリティ10大脅威 2020」簡易説明資料[組織編]
記載内容の修正
|
| 2020年3月26日 |
・「情報セキュリティ10大脅威 2020」簡易説明資料を公開
|
| 2020年3月19日 |
・「情報セキュリティ10大脅威 2020」各脅威の解説資料
誤字の修正
・「情報セキュリティ10大脅威 2020」解説書
誤字の修正
|
| 2020年3月12日 |
・「情報セキュリティ10大脅威 2020」各脅威の解説資料
目次の追加
|
| 2020年3月10日 |
・「情報セキュリティ10大脅威 2020」解説書を公開
|
| 2020年2月27日 |
・「情報セキュリティ10大脅威 2020」各脅威の解説資料を公開
|
| 2020年1月29日 |
・本ページを公開
|
