情報処理推進機構(IPA)は1月25日、情報セキュリティにおける脅威のうち、2022年に社会的影響が大きかったトピックを「情報セキュリティ10大脅威 2023」として公表した。

IPAは、情報セキュリティ対策の普及を目的として、2006年から前年に発生した情報セキュリティ事故や攻撃の状況等から脅威を選出し、上位10位を公表している。本日公表した「情報セキュリティ10大脅威 2023」はIPAが2022年に発生した脅威候補を選定し、情報セキュリティ分野の研究者、企業の実務担当者など約200名のメンバーで構成する「10大脅威選考会」の投票を経て決定したものです。「個人」の立場と「組織」の立場でのランキングはそれぞれ以下のとおりです。

「情報セキュリティ10大脅威 2023、個人向け」は次の通り。(カッコ内は前年順位)

1位 フィッシングによる個人情報等の詐取 (1位)
2位 ネット上の誹謗・中傷・デマ(2位)
3位 メールやSMS等を使った脅迫・詐欺の手口による金銭要求(3位)
4位 クレジットカード情報の不正利用(4位)
5位 スマホ決済の不正利用(5位)
6位 不正アプリによるスマートフォン利用者への被害(7位)
7位 偽警告によるインターネット詐欺(6位)
8位 インターネット上のサービスからの個人情報の窃取(8位)
9位 インターネット上のサービスへの不正ログイン(10位)
10位 ワンクリック請求等の不当請求による金銭被害(圏外)

「情報セキュリティ10大脅威 2023、組織向け」は次の通り。

1位　ランサムウェアによる被害(1位)
2位　サプライチェーンの弱点を悪用した攻撃(3位)
3位　標的型攻撃による機密情報の窃取(2位)
4位　内部不正による情報漏えい(5位)
5位　テレワーク等のニューノーマルな働き方を狙った攻撃(4位)
6位　修正プログラムの公開前を狙う攻撃（ゼロデイ攻撃）(7位)
7位　ビジネスメール詐欺による金銭被害(8位)
8位　脆弱性対策情報の公開に伴う悪用増加(6位)
9位　不注意による情報漏えい等の被害(10位)
10位　犯罪のビジネス化（アンダーグラウンドサービス）(圏外)

個人の順位では、「フィッシングによる個人情報等の詐取」が2年連続で1位となった。フィッシング詐欺は、実在の公的機関、有名企業を騙るメールやショートメッセージサービス(SMS)を送信し、正規のウェブサイトを模倣したフィッシングサイトへ誘導することで認証情報や個人情報などを入力させ詐取する手口。フィッシング対策協議会のフィッシング報告状況によると2022年の報告件数は約97万件と、2021年の約53万件から大幅に増加している。詐取された認証情報による不正ログインを予防するために多要素認証を有効にする、被害を早期に発見するために利用サービスのログイン履歴やクレジットカード等の利用明細を日常的に確認する、といった取り組みが大切。

組織の順位では、3年連続で「ランサムウェアによる被害」が1位となった。2022年も脆弱性を悪用した事例やリモートデスクトップ経由での不正アクセスによる事例が発生しており、また窃取した情報を公開すると脅す「二重脅迫」に加え、DDoS攻撃を仕掛ける、被害者の顧客や利害関係者へ連絡するとさらに脅す「四重脅迫」が新たな手口として挙げられている。

今年は個人、組織ともに10位の脅威が入れ替わるのみで、9位までの脅威の種類は昨年と同じとなった。しかし、組織10位に他の脅威を誘発しかねない「犯罪のビジネス化（アンダーグラウンドサービス）」がランクインし、各脅威に対して適切な対策を取ることが引き続き求められる。

(川原 龍人/びぎねっと)

[関連リンク]
プレスリリース