情報セキュリティ10大脅威の2022年版がIPAのページで公開されています。
情報セキュリティ10大脅威とは
2021年に発生した社会的に影響が大きかったと考えられる情報セキュリティにおける事案から、
IPAが脅威候補を選出し、情報セキュリティ分野の研究者、企業の実務担当者など約150名のメンバーからなる「10大脅威選考会」が脅威候補に対して審議・投票を行い、決定したものです。
前年に発生した中で、あらかじめIPAが脅威候補を選定。投票を経て、「個人」「組織」におけるトップ10を決定しています。
2022年のランキング
個人
個人における情報セキュリティ10大脅威(カッコ内は前回順位)
1位:フィッシングによる個人情報の詐取(2位)
2位:ネット上の誹謗・中傷・デマ(3位)
3位:メールやSMS等を使った脅迫・詐欺の手口による金銭要求(4位)
4位:クレジットカード情報の不正利用(5位)
5位:スマホ決済の不正利用(1位)
6位:偽警告によるインターネット詐欺(8位)
7位:不正アプリによるスマートフォン利用者への被害(9位)
8位:インターネット上のサービスからの個人情報の窃取(7位)
9位:インターネットバンキングの不正利用(6位)
10位:インターネット上のサービスへの不正ログイン(10位)
各項目でランキングの前後はあったものの、10大脅威に入っている内容はすべて同じでした。
それだけ、同じ脅威によるインシデントや、被害が続いている(減っていない)ということだと思います。
1位は、フィッシングによる個人情報の搾取。
フィッシング詐欺とは、ECサイトや金融機関等を名乗るメールなどを送信して、正規のWebサイトへ誘導し、個人情報などを入力させる詐欺。
対策としては、安易にURLなどをクリックしないことや、サービス利用時は過去に使っていたURLやブックマーク等からアクセスすることが重要で、
メールの送付元もしっかりチェックしたり、メールの宛名として記載されているのは、正しい内容かどうか(登録サイトで利用している名前やアカウント名等か)を確認したりしましょう。
組織
組織における情報セキュリティ10大脅威(カッコ内は前回順位)
1位:ランサムウェアによる被害(1位)
2位:標的型攻撃による機密情報の窃取(2位)
3位:サプライチェーンの弱点を悪用した攻撃(4位)
4位:テレワーク等のニューノーマルな働き方を狙った攻撃(3位)
5位:内部不正による情報漏えい(6位)
6位:脆弱性対策情報の公開に伴う悪用増加(10位)
7位:修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃)(NEW)
8位:ビジネスメール詐欺による金銭被害(5位)
9位:予期せぬIT基盤の障害に伴う業務停止(7位)
10位:不注意による情報漏えい等の被害(9位)
こちらも多くは前年と同じ顔ぶれでした。
ただ、そのなかで新たに脆弱性対策情報の公開前を狙う攻撃(ゼロデイ攻撃)がランクインしました。
ゼロデイ攻撃とは、修正プログラムが提供される前の脆弱性を悪用した攻撃で、
セキュリティホールの存在や修正プログラムが公にされる前の攻撃なので、対処が難しいです。
2021年12月に、Javaのログ出力ライブライ(Apache Log4j)に対するゼロデイ攻撃が大きな話題になったこともあり、
この結果になっていると思われます。
Apache Log4jは、バックエンドにあるWebサーバなどで行われた操作をログとして記録する機能をもつライブラリで、
Minecraftなどにも利用されていて、脆弱性の対象として話題に上がりました
でも、実はLog4jだけでなく、NSS(Network Security Service)、Apache HTTP Serverなども脆弱性として公開されていたので、
単にLog4jだけの話ではないことも察せられるとともに、脆弱性がどこに隠れているかわからないという危険も感じます。
対策としては、迅速な修正パッチの適用やサンドボックス(不審なファイルを安全に実行して検証するための仮想環境)の機能を搭載したセキュリティソフトの導入、
EDR(End point Detection Response)の導入が挙げられます。
ただし、全ての対策で万全に防御できるわけではないので、ひとつひとつ着実に実行していく必要があります。
まとめ
情報セキュリティ10大脅威について、サクッと書いてみました。
ランクインしている顔ぶれが大きく変わっていないことから、
対応が困難な脅威による被害が継続している、と取ることができます。
日頃から、強く意識しておくことで被害を避けられることもあるので、その点は注意していきたいですね。
コメント