IPA、「情報セキュリティ10大脅威 2022」を公表　ゼロデイ攻撃が初登場

　情報処理推進機構（以下、IPA）は、1月27日に「情報セキュリティ10大脅威 2022」を公表した。これは、IPAが2021年に発生した脅威候補を選定し、情報セキュリティ分野の研究者、企業の実務担当者など約150名のメンバーで構成する「10大脅威選考会」の投票を経て決定したものだという。

　「個人」の立場と「組織」の立場でのランキングはそれぞれ以下の通り。

　個人の順位では、順位の変動はあるものの、脅威の内容は昨年、一昨年とすべて同じだとしている。2019年から2年連続2位にランクインしていた「フィッシングによる個人情報等の詐取」が今回初めて1位に。フィッシング詐欺は、実在する公的機関や有名企業を騙ったメールやショートメッセージサービス（SMS）などを送信し、正規のウェブサイトを模倣したフィッシングサイトへ誘導することで、個人情報や認証情報等を入力させる詐欺だという。2021年も大手ECサイトや金融機関などを騙った手口が多く確認されており、安易にURLをクリック・タップしない、サービスを利用する際は自身のブックマークや公式アプリからアクセスするなど、利用者は日ごろから注意が必要だとしている。

　組織の順位では、10の脅威のうち9個が昨年と同じだったという。昨年8位だった「インターネット上のサービスへの不正ログイン」に替わって、「修正プログラムの公開前を狙う攻撃（ゼロデイ攻撃）」が初登場で7位に。ゼロデイ攻撃は、修正プログラムが提供される前の脆弱性を悪用した攻撃。2021年12月にはJava用のログ出力ライブラリである「Apache Log4j」の脆弱性対策情報が、既に攻撃が観測されているとの情報と同時に公開されたとしている。「Apache Log4j」は、ウェブサイトのバックエンドにあるウェブサーバーなどで行われた操作を記録する機能をもつプログラムの部品のようなもので、世界中のプログラムで広く使われているため、大きな話題となったという。ゼロデイ攻撃の場合、修正プログラムが提供された時点で既に攻撃が行われているため、脆弱性対策に加え、外部からの侵入を検知／防御する機器を導入するなどの備えが重要だとしている。

　組織の1位は、昨年に引き続き「ランサムウェアによる被害」。2021年も国内の企業や病院などのランサムウェア被害が報道され、大きな話題となったという。近年のランサムウェア攻撃は、標的型攻撃と同様の手法で企業・組織のネットワークに侵入したり、データを暗号化するだけでなく窃取して公開すると脅したりして、身代金を支払わざるを得ないような状況を作り出すとしている。標的型攻撃と同等の技術が駆使されるため、この攻撃への対策は、たとえば、ウイルス対策、不正アクセス対策、脆弱性対策など、基本的な対策を、確実かつ多層的に適用することが重要だという。また、どの組織でも被害に遭う可能性があることを念頭において、バックアップの取得や復旧計画を策定するなど、事前の準備が重要だとしている。

　なお、「情報セキュリティ10大脅威 2022」にランクインした各脅威の手口、傾向や対策など詳しい解説は、2月下旬にIPAのウェブサイトで公開する予定だという。

【関連記事】
・【IPA注意喚起】年末年始休暇前にセキュリティ対策を今一度
・10.5%の中小企業社員がサイバーセキュリティに関するトラブルを経験か――IPA調査
・米国企業と2倍のひらきも――IPA、「DX白書2021」を公開