3年連続で1位となったランサムウェア
──今年の10大脅威(組織編)の特徴について、教えてください
内海百葉氏(以下、内海):まず、ランクインしている顔ぶれはあまり変わっていません。ただ、順位自体は少々変動しています。もっとも、「ランサムウェアによる被害」については3年連続で1位となっており、毎年どこかしらの企業や組織が被害を受けていることから世間からの注目度も大きく、新聞やテレビなどの報道も数多くなされています。
そのため、『情報セキュリティ10大脅威 2023』を選考した委員の方々からすると、注目度やセキュリティに関する有識者としての知見をもとにランク付けしていることから、その大きな危機感ゆえにこうした順位になっていると考えられます。
そして、今回注目したいのが「サプライチェーンの弱点を悪用した攻撃」の順位です。こちらは昨年3位でしたが、今年は1つランキングを上げて2位となっています。その要因として2022年に発生した、大企業の関連会社が被害を受けていることが影響していると思われます。
他に順位が上がった項目としては、4位の「内部不正による情報漏えい」や、9位にランクインしている「不注意による情報漏えい等の被害」など、一見すると“ITとはちょっと絡んでなさそう”ではあるものの“情報セキュリティには絡む”脅威に関しては、少しずつランキングが上昇しています。
たとえば、「役員が転職時にデータを持ち出した」といったものや不注意の例で言うと「業務の再々委託先でUSBを紛失した」といった事例などがありました。これらは新聞やテレビ報道も頻繁に行われることで世間からの注目も浴びやすいですし、また組織にもたらす危険性も高い。そのため、順位が上がっているものと思われます。
なお、昨年比で今回新しくランクインしている「犯罪のビジネス化(アンダーグラウンドサービス)」に関しては、なんらかのニュースが話題になったため、ランクインしたということではないと見ています。たとえば、RaaS(Ransomware as a Service)のようなサイバー攻撃のサービス、攻撃に使用できる個人情報や犯罪ツールがダークウェブで出回るといった事例があるため、そういった点で少し注目度が上がった可能性があります。
とはいえ、この「犯罪のビジネス化」も新しい脅威ではありません。2018年にもランキング入りしていた脅威ですので、何か差し迫った新しいものが出てきたというわけではありません。
