独立行政法人情報処理推進機構(IPA)は、2021年に発生した社会的に影響が大きかったと考えられる情報セキュリティの脅威をまめた「情報セキュリティ10大脅威 2022」を2022年1月27日に公開し、また追加の説明資料として2022年3月29日に「情報セキュリティ10大脅威 2022」簡易説明資料 [組織編]と [個人編]を公開し、2022年5月31日に「情報セキュリティ10大脅威 2022」知っておきたい用語や仕組み を公開しています。
「情報セキュリティ10大脅威 2022」は、あらかじめ同機構が脅威候補を選定し、「10大脅威選考会」の投票を経て、個人と組織における10大脅威をそれぞれ決定しています。10大脅威選考会は、情報セキュリティ分野の研究者、企業の実務担当者など約150人のメンバーで構成され、脅威候補に対して審議・投票を行い、決定したものです。
■ 個人の1位は「フィッシングによる個人情報等の詐取」に
今回、個人向けの脅威については順位の変動はあったが脅威の内容は2021年と全て同じだった。ランキングの1位は「フィッシングによる個人情報等の詐取」で、そのほか2位が「ネット上の誹謗・中傷・デマ」、3位が「メールやSMS等を使った脅迫・詐欺の手口による金銭要求」。2021年にも大手企業のECサイトや金融機関などをかたった手口が多く確認されており、IPAではメールやSNSなどに送りつけられたURLを安易にクリック、タップしないように注意を促しています。
1位 フィッシングによる個人情報等の詐取
フィッシング詐欺は、公的機関や金融機関、ショッピングサイト、宅配業者等の有名企業をかたるメールやSMSなどを送信し、正規のウェブサイトを模倣したフィッシングサイトへ誘導することにより、個人情報や認証情報等を入力させ詐取する手口で、攻撃者に詐取された情報を悪用されると金銭的な被害等が発生します。
2位 ネット上の誹謗・中傷・デマ
SNS等の匿名で利用できるサービスで特定の個人あるいは企業への誹謗・中傷の行為が行われることが問題となっています。この行為により被害者は精神的苦痛を受ける、風評被害を受けて信頼や信用を損なうことや、経済的な損失を被ることもあります。
3位 メールやSMS 等を使った脅迫・詐欺の手口による金銭要求
個人の秘密を家族や知人にばらすと脅迫したり、身に覚えのない有料サイトの未納料金を請求したりするメールやSMS(ショートメッセージサービス)、LINE 等を使った詐欺による金銭被害が発生している。公的機関を装った偽の相談窓口に誘導するといった手口もある。
| 個人における情報セキュリティ10大脅威(カッコ内は前回順位) |
| 1位:フィッシングによる個人情報の詐取(2位) |
| 2位:ネット上の誹謗・中傷・デマ(3位) |
| 3位:メールやSMS等を使った脅迫・詐欺の手口による金銭要求(4位) |
| 4位:クレジットカード情報の不正利用(5位) |
| 5位:スマホ決済の不正利用(1位) |
| 6位:偽警告によるインターネット詐欺(8位) |
| 7位:不正アプリによるスマートフォン利用者への被害(9位) |
| 8位:インターネット上のサービスからの個人情報の窃取(7位) |
| 9位:インターネットバンキングの不正利用(6位) |
| 10位:インターネット上のサービスへの不正ログイン(10位) |
■ 組織の1位は「ランサムウェアによる被害」
組織のランキングでは「ランサムウェアによる被害」が1位、「標的型攻撃による機密情報の窃取」が2位で上位2件は昨年と同じとなり、昨年4位だった「サプライチェーンの弱点を悪用した攻撃」が3位と続き、2021年版で8位だった「インターネット上のサービスへの不正ログイン」に替わって、「修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃)」が初登場で7位に入りました。それ以外の9つについては、順位に変化はあるもののランクインした脅威は昨年と同じに。
1位 ランサムウェアによる被害
ランサムウェア1とはウイルスの1種である。パソコンやサーバーが感染すると、端末のロックや、データの暗号化が行われ、その復旧と引き換えに金銭を要求される。また、重要な情報が窃取されることもあり、社会的信用を失うおそれがある。さらに、復旧に時間が掛かる場合、更なる経済的損失につながるおそれもあります。
2位 標的型攻撃による機密情報の窃取
標的型攻撃とは、特定の組織(官公庁、民間団体、企業等)を狙う攻撃のことであり、機密情報等を窃取することや業務妨害を目的としている。攻撃者は社会の変化や、働き方の変化に便乗し、状況に応じた巧みな攻撃手法で機密情報等を窃取しようとします。
3位 サプライチェーンの弱点を悪用した攻撃
商品の企画・開発から、調達、製造、在庫管理、物流、販売までの一連のプロセス、およびこの商流に関わる組織群をサプライチェーンと呼びます。このサプライチェーンの関係性を悪用し、セキュリティ対策の強固な企業を直接攻撃せずに、その企業が構成するサプライチェーンの中でセキュリティ対策が手薄な関連組織や利用サービスの脆弱性等を最初の標的とし、そこを踏み台として本命の標的である組織を攻撃する手口がある。関連組織に預けた情報が漏えいしたり、本来の標的である企業が攻撃を受けたりすることで被害が発生します。
初めてランクインした 7位 修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃)
ソフトウェアの脆弱性が発見され、脆弱性の修正プログラム(パッチ)や回避策が公開される前に脆弱性を悪用したサイバー攻撃が行われることがある。これをゼロデイ攻撃と呼びます。多くのシステムで利用されているソフトウェアに対してゼロデイ攻撃が行われると、社会が混乱に陥るおそれがあります。ゼロデイ攻撃の場合、修正プログラムが提供された時点で既に攻撃が行われているため、脆弱性対策に加え、外部からの侵入を検知/防御する機器を導入するなどの備えが重要だと、IPAは指摘しています。
| 組織における情報セキュリティ10大脅威(カッコ内は前回順位) |
| 1位:ランサムウェアによる被害(1位) |
| 2位:標的型攻撃による機密情報の窃取(2位) |
| 3位:サプライチェーンの弱点を悪用した攻撃(4位) |
| 4位:テレワーク等のニューノーマルな働き方を狙った攻撃(3位) |
| 5位:内部不正による情報漏えい(6位) |
| 6位:脆弱性対策情報の公開に伴う悪用増加(10位) |
| 7位:修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃)(NEW) |
| 8位:ビジネスメール詐欺による金銭被害(5位) |
| 9位:予期せぬIT基盤の障害に伴う業務停止(7位) |
| 10位:不注意による情報漏えい等の被害(9位) |
今回発表された10大脅威に関する詳しい解説書、資料は以下のリンクよりダウンロードできます。
詳細確認や対策に関しても詳しく書かれているので興味がある方は確認してください。
資料のダウンロードURLリンク(IPA)
https://www.ipa.go.jp/security/vuln/10threats2022.html#download
関連サイト
情報セキュリティ10大脅威 2022(IPA)
https://www.ipa.go.jp/security/vuln/10threats2022.html
