IPA(独立行政法人情報処理推進機構)は、2017年の社会的影響が大きかったトピックなどの中から情報セキュリティ脅威に関する上位10位を選出し、「情報セキュリティ10大脅威2018」として公表しました。
「情報セキュリティ10大脅威」とは?
「情報セキュリティ10大脅威」は、IPAが毎年公開しているもので、前年のセキュリティ脅威について社会的に影響が大きかったと考えられる事案の中からIPAが脅威候補を選出、情報セキュリティ分野の研究者、企業の実務担当者など約100名のメンバーからなる「10大脅威選考会」が審議を行い、「個人」と「組織」という異なる立場に分けて10大脅威を選出・決定するものです。
2017年の情報セキュリティに関する脅威としては、「個人」「組織」ともに上位ベスト2は前年と変わらないものの、「個人」の10位「偽警告」、「組織」の3位「ビジネスメール詐欺」、4位「脆弱性対策情報の公開に伴い公知となる脆弱性の悪用増加」、そして5位の「セキュリティ人材の不足」がランク外からの急上昇ワードとしてきになるところです。これらは、新たなネット社会でのセキュリティ脅威と言えるかもしれません。
「情報セキュリティ10大脅威 2018」
「情報セキュリティ10大脅威 2018」の概要
10大脅威選考会メンバーの投票により選出した「個人」と「組織」の10大脅威の順位と概要は下記になります。
個人
10大脅威の「個人」の部では、1位「インターネットバンキングやクレジットカード情報の不正利用」、2位「ランサムウェアによる被害」は昨年と変動がないものの、3位に登場した「ネット上の誹謗・中傷」は昨年7位からの急上昇ワードとなっています。
これは、個人や組織に対して誹謗・中傷や犯罪予告をする書き込みがブログやSNS、掲示板などのコミュニティサイトに書き込まれ、昨年2017年には殺人事件にまで発展しタコとからSNSを使った犯罪として社会問題化したことに起因しているようです。
- 第1位 インターネットバンキングやクレジットカード情報の不正利用
ウイルス感染やフィッシング詐欺により、インターネットバンキングの認証情報やクレジットカード情報が攻撃者に窃取され、不正送金や不正利用が行われている。2017年は、インターネットバンキングの被害額は減少傾向だが、新たに仮想通貨取引所の利用者を狙った攻撃が確認されている。 - 第2位 ランサムウェアによる被害
ランサムウェアとは、PCやスマートフォンにあるファイルの暗号化や画面のロックを行い、復旧させることと引き換えに金銭を要求する手口に使われるウイルスである。2017年は、OSの脆弱性を悪用し、感染した端末が接続しているネットワークを経路として感染を拡大させるタイプも登場している。また、感染した端末だけではなく、その端末からアクセスできる共有サーバーや外付けHDDに保存されているファイルも暗号化されてしまう。 - 第3位 ネット上の誹謗・中傷
コミュニティサイト(ブログ、SNS、掲示板等)上で、個人や組織に対して誹謗・中傷や犯罪予告をする書き込みが行われている。コミュニティサイトへの書き込みは、匿名性や手軽さから安易に投稿してしまう傾向にある。また、SNSを使った犯罪は社会的な問題となっており、2017年は殺人事件まで発展した事例もあった。 - 第4位 スマートフォンやスマートフォンアプリを狙った攻撃の可能性
不正アプリを利用者がインストールしてしまうことで、スマートフォン内の重要な情報を窃取されたり、不正に操作される被害が確認されている。また、データの暗号化等を行うランサムウェアに加えて、2017年は個人情報を公開すると脅すランサムウェアも確認されている。さらに、これらの不正アプリは公式マーケットにも紛れ込んでおり、公式マーケットであってもインストール前にアプリの信頼性について確認する等の警戒が必要である。 - 第5位 ウェブサービスへの不正ログイン
ウェブサービスに不正ログインされ、金銭的な被害や個人情報が窃取される等の被害が確認されている。2017年に確認されたウェブサービスへの不正ログインの多くがパスワードリスト攻撃により行われている。インターネットには多数のウェブサービスが存在しており、ウェブサービスの利用者がパスワードの使いまわしや推測されやすいパスワードを使用している場合に、不正ログインが行われてしまう。 - 第6位 ウェブサービスからの個人情報の窃取
2017年も引き続き、ウェブサービスの脆弱性が悪用され、ウェブサービス内に登録されている個人情報やクレジットカード情報を窃取される事件が多発している。それらの情報を窃取されると、攻撃者により個人情報を悪用して不審なメールを送信されたり、クレジットカードを不正利用される可能性がある。 - 第7位 情報モラル欠如に伴う犯罪の低年齢化
2017年も未成年者がIT犯罪の加害者として逮捕、補導される事件が確認されている。IT犯罪に悪用できるツールや知識がインターネットを通じて誰でも入手・利用できるようになったことで、情報モラルの欠如した未成年者が、IT犯罪に手を染めやすくなっている。また、未成年者のPCやスマートフォンの所持も当たり前となってきており、教員や親の監視が行き届きにくい。 - 第8位 ワンクリック請求等の不当請求
PCやスマートフォンを利用中にアダルトサイトや出会い系サイト等にアクセスすることで金銭を不当に請求されるワンクリック請求の被害が依然として発生している。1度のクリックによる請求だけでなく、複数回のクリックをさせることで、請求の正当性を主張して不当請求されてしまう事例も確認されている。 - 第9位 IoT 機器の不適切な管理
昨今、IoT機器の利用が進んでいるが、利用者はIoT機器がネットワークに接続されている機器であることを意識せずに利用してしまい、適切な管理が行われていない。そのような管理されていないIoT機器が攻撃者に狙われ、分散型サービス妨害(DDoS)攻撃等に悪用されてしまう被害が確認されている。 - 第10位 偽警告
PCやスマートフォンでウェブサイトを閲覧中に、突然「ウイルスに感染している」等の偽警告を表示し、利用者の不安を煽り、偽警告の指示に従わせ、個人情報等を窃取される被害が発生している。偽警告は本物の警告と誤認されるように巧妙な細工が施されており、被害者は信じて指示に従ってしまう。
組織
10大脅威の「組織」の部では、1位「標的型攻撃による情報流出」、2位「ランサムウェアによる被害」と変動がないものの、3位の「ビジネスメール詐欺」、4位「脆弱性対策情報の公開に伴い公知となる脆弱性の悪用増加」、そして5位の「セキュリティ人材の不足」については昨年ランク外にあったキーワードとなっています。
3位にランクインしている「ビジネスメール詐欺」は、日本航空で3億8,000万円を騙し取られたメール詐欺が記憶に新しいところでもあります。また、5位の「セキュリティ人材の不足」のランクインなどを見ると、これまでと異なる脅威がセキュリティの世界に登場していることを思わせます。
- 第1位 標的型攻撃による情報流出
企業や民間団体や官公庁等、特定の組織を狙う、標的型攻撃による攻撃が引き続き発生している。メールの添付ファイルやウェブサイトを利用してPCにウイルスを感染させられると、別のPCに感染を拡大され、最終的に個人情報や業務上の重要情報が窃取される。 - 第2位 ランサムウェアによる被害
ランサムウェアとは、PC やスマートフォンにあるファイルの暗号化や画面のロックを行い、復旧させることと引き換えに金銭を要求する手口に使われるウイルスである。2017年は、OSの脆弱性を悪用し、感染した端末が接続しているネットワークを経路として感染を拡大させるタイプも登場している。また、感染した端末だけではなく、その端末からアクセスできる共有サーバーや外付けHDDに保存されているファイルも暗号化されてしまう。組織内のファイルが広範囲で暗号化された場合、事業継続にも支障が出る可能性がある。 - 第3位 ビジネスメール詐欺
「ビジネスメール詐欺」(Business E-mail Compromise:BEC)は巧妙に細工したメールのやりとりにより、企業の担当者を騙し、攻撃者の用意した口座へ送金させる詐欺の手口である。詐欺行為の準備としてウイルス等を悪用し、企業内の従業員の情報が窃取されることもある。これまでは主に海外の組織が被害に遭ってきたが、2016年以降、海外取引をしている国内企業でも被害が確認されている。 - 第4位 脆弱性対策情報の公開に伴い公知となる脆弱性の悪用増加
脆弱性対策情報の公開は、脆弱性の脅威や対策情報を広く呼び掛けられるメリットがある。一方、その情報を攻撃者に悪用され、対策前のシステムを狙う攻撃が行われている。また、近年では脆弱性情報の公開後、その脆弱性を悪用した攻撃が本格化するまでの時間が短くなっている傾向がある。 - 第5位 セキュリティ人材の不足
セキュリティ上の脅威は今後さらに増大するだけでなく、新たな脅威も発生し続けていくことが予想される。これらの脅威に対応するためにはセキュリティの知識、技術を有するセキュリティ人材が欠かせないが、圧倒的に不足しており、問題視されている。セキュリティ人材が手薄の組織では、十分なセキュリティ対策、対応をとることが難しく、脅威の増大に伴い実被害につながることも考えられる。 - 第6位 ウェブサービスからの個人情報の窃取
2017年も引き続き、ウェブサービスの脆弱性が悪用され、ウェブサービス内に登録されている個人情報やクレジットカード情報等の重要な情報を窃取される被害が発生している。それらの情報を窃取されると、攻撃者により顧客や利用者の個人情報を悪用して不審なメールを送信されたり、クレジットカードを不正利用される可能性がある。 - 第7位 IoT 機器の脆弱性の顕在化
2016年に引き続き、IoT機器の脆弱性を悪用しウイルスに感染させることで、インターネット上のサービスやサーバに対して、大規模な分散型サービス妨害(DDoS)攻撃が行われる等の被害が確認されている。また、国内で発売されているIoT製品において脆弱性が発見されており、機器を乗っ取られる、または撮影機能等を悪用して個人情報を窃取されるといった危険性があることが公表されている。 - 第8位 内部不正による情報漏えい
組織内部の従業員や元従業員により、私怨や金銭目的等の個人的な利益享受のため組織の情報が不正に持ち出されている。また、組織の情報持ち出しのルールを守らずに不正に情報を持ち出し、さらにその情報を紛失し、情報漏えいにつながることもある。内部不正が発覚した場合、組織は、原因追求等の対応に追われ、また社会的信用の失墜等にもつながる。 - 第9位 サービス妨害攻撃によるサービスの停止
ウイルスに感染し、ボットネット化した機器からDDoS(分散型サービス妨害)攻撃が行われ、ウェブサイトやDNSサーバーが高負荷状態となり、利用者がアクセスできなくなる被害が確認されている。2017年は公式のアプリストアに公開されたスマートフォンアプリがボットネット化し、DDoS攻撃が行われている。 - 第10位 犯罪のビジネス化(アンダーグラウンドサービス)
犯罪に使用するためのサービスやツールがアンダーグラウンド市場で取り引きされ、これらを悪用した攻撃が行われている。攻撃に対する専門知識に詳しくない者でもサービスやツールを利用することで、容易に攻撃を行えるため、サービスやツールが公開されると被害が広がるおそれがある。
Source:IPA 独立行政法人 情報処理推進機構