IPA、情報セキュリティ10大脅威をランキング形式で公表

　独立行政法人情報処理推進機構（IPA）は、情報セキュリティにおける脅威のうち、2020年に社会的影響が大きかったトピックを「10大脅威選考会」の投票によりトップ10を順位付けし、「情報セキュリティ10大脅威 2021」として公表した。

　IPAは情報セキュリティ対策の普及を目的として2006年から、前年に発生した情報セキュリティ事故や攻撃の状況等から脅威を選出し、上位10位を公表している。1月27日に公表した「情報セキュリティ10大脅威 2021」は、IPAが2020年に発生した脅威候補を選定し、情報セキュリティ分野の研究者、企業の実務担当者など約160名のメンバーで構成する10大脅威選考会の投票を経て決定したものだという。「個人」の立場と「組織」の立場でのランキングはそれぞれ以下のとおり。

　個人の順位では、昨年に引き続き、「スマホ決済の不正利用」が1位となった。スマホ決済サービスを悪用して他人の銀行口座から残高をチャージ（他人の口座からの金銭窃取）する事案などが引き続き発生しているという。スマホ決済サービスの利用者は、二要素認証を利用するなどの不正ログイン対策の実施や、被害を受けた際に早期に気づくことができるように、スマホ決済サービスの利用状況を確認することが重要だとしている。

　また、スマホ決済サービスの利用者以外でも、スマホ決済サービスと連携可能な銀行口座を持つ人は被害に遭う場合もあるため、口座からの出金履歴を適宜確認するといった心構えが重要だという。

　組織の順位では、「ランサムウェアによる被害」が1位となった。昨年8月にIPAは、ランサムウェアを用いた新たな攻撃の手口として「人手によるランサムウェア攻撃」と「二重の脅迫」について注意喚起を行っている。従来はウイルスメールをばらまくなどの方法で広く無差別に攻撃が行われていたが、新たな攻撃者は、明確に標的を企業・組織に定めている。

　そのため、標的型攻撃と同様の手法で企業・組織のネットワークに侵入したり、データを暗号化するだけでなく窃取して公開すると脅したりして、身代金を支払わざるを得ないような状況を作り出すという。新たなランサムウェア攻撃は、標的型攻撃と同等の技術が駆使されるため、たとえば、ウイルス対策、不正アクセス対策、脆弱性対策など、基本的な対策を、確実かつ多層的に適用することが重要だとしている。

　さらに、「テレワーク等のニューノーマルな働き方を狙った攻撃」が初登場で3位となった。テレワークへの移行にともない、自宅などからVPN経由で社内システムにアクセスしたり、Web会議サービスを利用したりする機会が増えた。また、私物PCや自宅ネットワークの利用や、初めて使うソフトウェアの導入など、以前までは緊急用として使っていた仕組みを恒常的に使う必要性がでてきている。こうした業務環境の急激な変化を狙った攻撃が懸念されている。基本的な対策のほか、テレワークの規定や運用ルールの整備、セキュリティ教育の実施などが重要だという。

　なお、「情報セキュリティ10大脅威 2021」にランクインした各脅威の手口、傾向や対策など詳しい解説は、2月下旬にIPAのウェブサイトで公開する予定としている。

【関連記事】
・約5割が取引先の対策に懸念【IPA テレワークのセキュリティ実態調査】
・IPA、ユーザー企業とベンダー向けに「情報システム・モデル取引・契約書」第二版を公開
・データサイエンティスト協会、IPAと共同でデータサイエンティスト向けの公式ガイドブックを刊行