本ウェブサイトでは、Cookieを利用しています。本ウェブサイトを継続してご利用いただく際には、当社のCookieの利用方針に同意いただいたものとみなします。
CIA- 2023/07/13公開
「情報セキュリティ10大脅威 2023」の内容を分かりやすく解説
情報セキュリティ10大脅威はIPA(独立行政法人 情報処理推進機構)が毎年公開している情報セキュリティのデータの1つです。
情報セキュリティにおける多様な脅威から、特にインパクトの大きいものを組織編と個人編に分けてランキング形式で掲載しています。
今回は、「情報セキュリティ10大脅威 2023」の概要から、組織編と個人編のランキング内容について見ていきましょう。
目次
IPAが毎年発表する情報セキュリティ10大脅威とは
情報セキュリティ10大脅威2023 組織編
情報セキュリティ10大脅威2023 個人編
情報セキュリティ10大脅威をしっかり理解し、被害リスクを抑えよう
IPAが毎年発表する情報セキュリティ10大脅威とは
IPAとは独立行政法人 情報処理推進機構のことで、経済産業省のIT政策を実施する機関です。「情報セキュリティマネジメント試験」や、「ITパスポート試験」など情報セキュリティやITに関する試験を実施しています。
「情報セキュリティ10大脅威」は、情報セキュリティにおいてインパクトのある脅威を組織編と個人編に分けてランキングづけしたものです。前年に発生した情報セキュリティ事故や攻撃事例から、社会的に影響力が高いとされる脅威をIPAが選出し、そこから約200名のメンバーが属する「10大脅威選考会」による投票を毎年行っています。
情報セキュリティ10大脅威を知るメリットは、最新の脅威に対し対策を実施できることです。また、最新の情報セキュリティの脅威を理解しておくことで情報試験の対策にもなります。
情報セキュリティの脅威は様々ありますが、まずは「情報セキュリティ対策の基本」と呼ばれる以下の対策を常に意識することが大切です。
- セキュリティソフトの利用
- パスワードの管理・認証の強化
- ソフトウェアの更新
- 設定の見直し
- 脅威・手口を知る
参照:独立行政法人 情報処理推進機構セキュリティセンター「情報セキュリティ10大脅威 2023 ~全部担当のせいとせず、組織的にセキュリティ対策の足固めを~」
参照:独立行政法人 情報処理推進機構セキュリティセンター「プレス発表 「情報セキュリティ10大脅威 2023」を決定」
参照:独立行政法人 情報処理推進機構セキュリティセンター「情報セキュリティ10大脅威 2023 [個人編]」
情報セキュリティ10大脅威2023 組織編
まず、組織編のランキングを見ていきましょう。
| 順位 | 脅威 | 前年の順位 |
| 1 | ランサムウェアによる被害 | 1 |
| 2 | サプライチェーンの弱点を悪用した攻撃 | 3 |
| 3 | 標的型攻撃による機密情報の窃取 | 2 |
| 4 | 内部不正による情報漏えい | 5 |
| 5 | テレワーク等のニューノーマルな働き方を狙った攻撃 | 4 |
| 6 | 修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃) | 7 |
| 7 | ビジネスメール詐欺による金銭被害 | 8 |
| 8 | 脆弱性対策の公開に伴う悪用増加 | 6 |
| 9 | 不注意による情報漏えい等の被害 | 10 |
| 10 | 犯罪のビジネス化(アンダーグラウンドサービス) | 圏外 |
5位の「テレワーク等のニューノーマルな働き方を狙った攻撃」は前年から順位が下がりました。ニューノーマルな働き方をやめた、または少なくなった企業が多いなどの理由が想定されます。
8位の「脆弱性対策の公開に伴う悪用増加」の順位も下がっています。「修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃)」の順位が上がったことが影響していることが考えられるでしょう。
ここからは、組織編のランキングにおいて深く知っておきたい項目を詳しく見ていきましょう。
参照:独立行政法人情報処理推進機構(IPA)セキュリティセンター「情報セキュリティ10大脅威 2023[組織編]」
1位:ランサムウェアによる被害
ランサムウェアとはマルウェアの一種であり、パソコンやファイルに感染させることで、被害者へ金銭を要求する攻撃です。実際の被害では、次のような事案が発生しています。
- パソコンに保存されているファイルを暗号化され、使用不可になり、復旧と引き換えに金銭を要求される
- 窃取された情報を公開される
- 「攻撃を受けていることをビジネスパートナーに公表する」と脅迫される
なお、要求された金銭を支払ったとしてもデータの復旧や情報流出を防げるとは限らず、金銭的な被害をも被ってしまうケースが大半とされています。
攻撃の手口と主な対策は次の通りです。
| 項目 | 詳細 |
|---|---|
| 攻撃の手口 |
|
| 対策 |
|
2位:サプライチェーンの弱点を悪用した攻撃
サプライチェーンの弱点を悪用した攻撃とは、標的とする企業・組織の取引先や委託先を攻撃し、そこを足がかりとして標的企業・組織の機密情報を狙う攻撃のことをいいます。自社のセキュリティ対策が万全の場合でも、こうした手法で情報が漏えいするリスクがあります。
攻撃の手口と主な対策は次の通りです。
| 項目 | 詳細 |
|---|---|
| 攻撃の手口 |
|
| 対策 |
|
6位:修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃)
修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃)とは、ソフトウェアや機器の脆弱性が発見されてから、修正プログラムが公開されるまでの期間を狙う攻撃のことです。
攻撃の手口と対策の例を見ていきましょう。
| 項目 | 詳細 |
|---|---|
| 攻撃の手口 |
|
| 対策 |
|
前年から順位が上がった要因は、多くの人が使用している大手IT企業のソフトが2022年に攻撃された事例があったためと想定されます。
8位の「脆弱性対策の公開に伴う悪用増加」との違いは、提供企業が脆弱性の公開をする前、もしくは気付く前に攻撃が行われる点です。公開前に攻撃されるため、事前に防ぐことが困難となります。
10位:犯罪のビジネス化(アンダーグラウンドサービス)
犯罪のビジネス化(アンダーグラウンドサービス)は、不正アクセスや不正プログラムにより窃取した個人情報が、「ダークウェブ」と呼ばれる通常のブラウザでは検索できないウェブサイト上で売買されることをいいます。前年のランキングには入っていませんでしたが、今年はランクインしています。
攻撃の手口と主な対策は次の通りです。
| 項目 | 詳細 |
|---|---|
| 攻撃の手口 |
|
| 対策 |
|
情報セキュリティ10大脅威2023 個人編
次に、個人編のランキングを見ていきましょう。
| 順位 | 脅威 | 前年の順位 |
| 1 | フィッシングによる個人情報等の詐取 | 1 |
| 2 | ネット上の誹謗・中傷・デマ | 2 |
| 3 | メールやSMS等を使った脅迫・詐欺の手口による金銭要求 | 3 |
| 4 | クレジットカード情報の不正利用 | 4 |
| 5 | スマホ決済の不正利用 | 5 |
| 6 | 不正アプリによるスマートフォン利用者への被害 | 7 |
| 7 | 偽警告によるインターネット詐欺 | 6 |
| 8 | インターネット上のサービスからの個人情報の窃取 | 8 |
| 9 | インターネット上のサービスへの不正ログイン | 10 |
| 10 | ワンクリック請求等の不正請求による金銭被害 | 圏外 |
前年と比較すると、1〜5位までは順位変動はありません。6位と7位は順位が逆転しています。
「偽警告によるインターネット詐欺」により、不正なアプリをダウンロードさせられたケースから「不正アプリによるスマートフォン利用者への被害」が脅威となったことが要因として想定されます。詳しくは後項にて解説します。
ここからは、個人編の脅威の中から深く知っておきたいものを詳しく見ていきましょう。
参照:独立行政法人情報処理推進機構(IPA)セキュリティセンター「情報セキュリティ10大脅威 2023[個人編]」
2位:ネット上の誹謗・中傷・デマ
SNSなどで他人への誹謗や中傷、脅迫、犯罪予告を書き込み、事件に発展する事案が増加傾向にあります。
誹謗・中傷・デマの発信は犯罪になり、書き込みをした者のみでなく、安易に拡散した人も社会的責任を問われるケースも珍しくありません。
2020年5月にSNSでの誹謗中傷が原因でプロレスラーの木村花さんが亡くなったケースでは、加害者に対し損害賠償請求訴訟が起こされています。
参照:日経ビジネス「悪意の研究|木村花さんの母『その投稿は優しいですか?』」
攻撃の手口と主な対策は次の通りです。
| 項目 | 詳細 |
|---|---|
| 攻撃の手口 |
|
| 対策 |
|
被害を受けた場合、1人で悩まず、周囲の人や公的相談機関、弁護士などに相談し慎重に対応しましょう。
ただし、誹謗中傷対策を請け負う企業の中には、高額な報酬請求や、報酬を受け取りながら対策を講じない悪徳な業者も存在しますので注意が必要です。
6位:不正アプリによるスマートフォン利用者への被害
不正アプリによるスマートフォン利用者への被害には、次のような事案が挙げられます。
- 不正アプリをスマートフォンにインストールしてしまい、スマートフォン内の連絡先情報などが窃取される
- スマートフォンの一部機能を不正利用される
攻撃の手口と対策は次の通りです。
| 項目 | 詳細 |
|---|---|
| 攻撃の手口 |
|
| 対策 |
|
先述したように、前年度より順位が上がった原因としては、7位に順位を下げた「偽警告によるインターネット詐欺」によってアプリインストールに誘導する手口が増えたことが考えられます。
9位:インターネット上のサービスへの不正ログイン
インターネット上のサービスへの不正ログインというのは、以下のような事案になります。
- 利用中のインターネットサービスのIDやパスワードなど認証情報が窃取または推測され、不正ログインされる
- 認証情報を使い回していたことが要因で、他に悪用されてしまう
攻撃の手口と対策を見ていきましょう。
| 項目 | 詳細 |
|---|---|
| 攻撃の手口 |
|
| 対策 |
|
10位:ワンクリック請求等の不当請求による金銭被害
ワンクリック請求等の不当請求による金銭被害では、次のような事案が発生しています。
- パソコンやスマートフォンに請求画面が表示され、金銭を不当に請求される
- 不当請求にもかかわらず、複数回クリックさせることで、請求の正当性を主張される
- クリックしなくても自動的に請求画面に転送される
主な攻撃の手口と対策を見ていきましょう。
| 項目 | 詳細 |
|---|---|
| 攻撃の手口 |
|
| 対策 |
|
万が一金銭を支払ってしまった場合やトラブルに発展しそうな場合、画面に表示されているデータを保存・印刷し、資料として使用できるようにしましょう。
情報セキュリティ10大脅威をしっかり理解し、被害リスクを抑えよう
情報セキュリティの10大脅威について詳しく見ていきましたが、具体的な攻撃の手口や対策を知ることで、被害リスクを抑えることができます。万が一被害にあった場合も、冷静に対処しやすくなるでしょう。
IT化が進んでいる情報社会において、情報セキュリティ対策を行うことは組織や個人の情報資産を守ることにつながります。IDやパスワードなどの認証情報を定期的に確認・変更する、メールの添付ファイルや怪しいリンクは安易に開かないなど、基本とされる対策を実行することが大切です。
CIA(公認内部監査人)を目指すならアビタス
情報セキュリティリスクを確認し、未然に防ぐリスクマネジメントが企業に求められています。情報資産を守る対策が組織内で整備されているかを監査する場合にも、CIA(公認内部監査人)の知識があれば、効果的な監査が実施できます。
CIAは内部監査のスキルを証明できる唯一の国際的な資格であるため、企業からの信頼を得ることが可能です。
国際資格の専門校であるアビタスは、2005年にCIAプログラムを開講して以来、圧倒的な合格実績をあげ続けています。
講師は対法人向けの内部監査の実務研修も実施しており、専門分野の知識はもちろん、ティーチングスキルにも優れている点が魅力です。
CIAの資格取得に少しでも興味のある方は、ぜひアビタスの利用を検討してみてください。
まずは無料の説明会にご参加ください。
合わせてお読みください
-
最近のエントリー
- カテゴリから探す
-