2023年1月25日、情報処理推進機構(IPA)は、『情報セキュリティ10大脅威 2023』を公表した。
| 前年順位 | 「個人」向け脅威 | 順位 | 「組織」向け脅威 | 前年順位 |
|---|---|---|---|---|
| 1 | フィッシングによる個人情報等の詐取 | 1 | ランサムウェアによる被害 | 1 |
| 2 | ネット上の誹謗・中傷・デマ | 2 | サプライチェーンの弱点を悪用した攻撃 | 3 |
| 3 | メールやSMS等を使った脅迫・詐欺の手口による金銭要求 | 3 | 標的型攻撃による機密情報の窃取 | 2 |
| 4 | クレジットカード情報の不正利用 | 4 | 内部不正による情報漏えい | 5 |
| 5 | スマホ決済の不正利用 | 5 | テレワーク等のニューノーマルな働き方を狙った攻撃 | 4 |
| 7 | 不正アプリによるスマートフォン利用者への被害 | 6 | 修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃) | 7 |
| 6 | 偽警告によるインターネット詐欺 | 7 | ビジネスメール詐欺による金銭被害 | 8 |
| 8 | インターネット上のサービスからの個人情報の窃取 | 8 | 脆弱性対策情報の公開に伴う悪用増加 | 6 |
| 10 | インターネット上のサービスへの不正ログイン | 9 | 不注意による情報漏えい等の被害 | 10 |
| 圏外 | ワンクリック請求等の不当請求による金銭被害 | 10 | 犯罪のビジネス化(アンダーグラウンドサービス) | 圏外 |
『情報セキュリティ10大脅威 2023』は、2022年に発生した社会的に影響が大きかったと考えられる情報セキュリティにおける事案から、IPAが脅威候補を選出。情報セキュリティ分野の研究者、企業の実務担当者など約200名のメンバーからなる「10大脅威選考会」が脅威候補に対して審議・投票を行い、決定したものだという。
個人の順位では、「フィッシングによる個人情報等の詐取」が2年連続で1位。組織の順位では、3年連続で「ランサムウェアによる被害」が1位となっている。なお今年は、個人、組織ともに10位の脅威が入れ替わるのみで、9位までの脅威の種類は昨年と同様である一方で、組織10位に他の脅威を誘発しかねない「犯罪のビジネス化(アンダーグラウンドサービス)」がランクインしたように、各脅威に対して適切な対策を取ることが引き続き求められるという。
また、IPAでは今年新たに、多岐にわたる脅威に対して共通する対策をまとめて具体的に解説する「共通対策」を作成。パスワードの適切な運用方法や、適切なインシデント対応方法などを7つの項目に分類して記載し、効率的な対策を支援する予定だとしている。「共通対策」は「情報セキュリティ10大脅威 2023」にランクインした各脅威の手口、傾向や対策などの詳しい解説とともに、2月下旬にIPAのウェブサイトで公開予定だという。
