「情報セキュリティ10大脅威 2015」は、2014年に発生した情報セキュリティの事故・事件のうち、社会的に影響が大きかったと考えられる脅威から、情報セキュリティ分野の64組織96名のメンバーからなる「10大脅威執筆者会」の審議・投票を経てトップ10を選出したもの。
2015年も継続して企業や組織、個人のいずれもさまざまな脅威にさらされることが見込まれるとし、被害に遭わないためには、まず脅威の手口を理解し、「明日は我が身」という意識で、適切な対策を講じる必要があるとしている。
「情報セキュリティ10大脅威 2015」の順位および概要は次のとおり。
- 1位 「オンラインバンキングやクレジットカード情報の不正利用」
- 2位 「内部不正による情報漏えい」
- 3位 「標的型攻撃による諜報活動」
- 4位 「ウェブサービスへの不正ログイン」
- 5位 「ウェブサービスからの顧客情報の窃取」
- 6位 「ハッカー集団によるサイバーテロ」
- 7位 「ウェブサイトの改ざん」
- 8位 「インターネット基盤技術の悪用」
- 9位 「脆弱性公表に伴う攻撃の発生」
- 10位 「悪意のあるスマートフォンアプリ」
・第1位「オンラインバンキングやクレジットカード情報の不正利用」:ウイルスやフィッシング詐欺により、オンラインバンキングの認証情報やクレジットカード情報が窃取され、本人になりすまして不正に利用や送金が行われた。また、2014年は個人だけでなく法人口座からの不正送金被害が急増したことが特徴的だった。
[主な対策]ウイルス対策ソフトの導入、ソフトウェアの更新、ワンタイムパスワードの利用
・第2位「内部不正による情報漏えい」:企業の従業員が内部情報を窃取し、第三者に販売した事件が社会的な問題となった。内部の人間が悪意を持つと、正当な権限を用いて情報を窃取できるため、情報の重要度に応じたアクセス権限の設定や離職者のアクセス権の抹消等、厳重な管理と監視を継続的に行う必要がある。
[主な対策] セキュリティポリシー策定、啓蒙・教育、権限分離やアクセス制限、ログの監視
・第3位「標的型攻撃による諜報活動」:PCをウイルスに感染させ、外部からPCを遠隔操作して内部情報を窃取する、「標的型攻撃」と呼ばれる諜報活動を受ける政府機関や民間企業が後を絶たない。2014年は、取引先や関連会社を踏み台にして最終的な標的組織を狙う等、手口の巧妙化が見られた。
[主な対策] 啓蒙・教育、ウイルス対策ソフトの導入、ソフトウェアの更新、権限分離やアクセス制限、ログの監視
・第4位「ウェブサービスへの不正ログイン」:脆弱なウェブサービスから窃取したIDとパスワードでウェブサービスに不正にログインし、利用される被害が多発していた。原因の1つに利用者のパスワードの使い回しがある。多くのパスワードを覚えられないことがその理由で、適切なパスワード管理が求められている。
[主な対策] 推測されにくいパスワードの設定、サービスごとに異なるパスワードの設定
・第5位「ウェブサービスからの顧客情報の窃取」:ウェブサービスから氏名や住所などの顧客情報を窃取される事件が継続的に発生した。窃取された情報にIDとパスワードやクレジットカード情報が含まれる場合、影響が広範囲に及ぶだけでなく、金銭被害など深刻なものとなる。
[主な対策] ウイルス対策ソフトの導入、ソフトウェアの更新、脆弱性のないウェブサービスの開発、設定の確認(不要なサービスの無効化)
・第6位「ハッカー集団によるサイバーテロ」:在米の日系企業が執拗な攻撃を受け、詳細は不明だが情報漏えいやサービス停止などの被害に遭うサイバーテロが社会的な問題となった。また、2013年には韓国でシステムを破壊され、業務停止により大きな損失を受ける事件も発生した。
[主な対策] ウイルス対策ソフトの導入、ソフトウェアの更新、権限分離やアクセス制限、ログの監視、バックアップ
・第7位「ウェブサイトの改ざん」:企業・組織のウェブサイトが、閲覧するだけでウイルスに感染させるように改ざんされる事例が多く発生した。改ざんされたウェブサイトは一時停止による金銭的被害を余儀なくされるだけでなく、閲覧者に被害が及ぶこともある。
[主な対策] ウイルス対策ソフトの導入、ソフトウェアの更新、脆弱性のないウェブサービスの開発、設定の確認(不要なサービスの無効化)
・第8位「インターネット基盤技術の悪用」:DNSや電子証明書などインターネットの基盤となる技術は、悪用されていないことを前提に成り立っている。これらの技術を悪用してウイルス感染サイトへ誘導するなどの攻撃が発生した。この攻撃は、利用者側では検知することが難しいため、インターネット提供側の対策が強く求められる。
[主な対策] 手続き申請の真偽の確認強化、サービスの監視強化、ウイルス対策ソフトの導入、ソフトウェアの更新
・第9位「脆弱性公表に伴う攻撃の発生」:2014年はApache Struts、Open SSL、bashなど、悪用される可能性が高いソフトウェアの脆弱性が相次ぎ、攻撃が発生した。システム管理者やユーザーは、製品の利用状況や攻撃発生の有無など脆弱性の影響度に応じて迅速に対策する必要がある。
[主な対策] ソフトウェアの更新、運用体制の強化
・第10位「悪意のあるスマートフォンアプリ」:便利な機能があるように見せかけた悪意あるスマートフォンアプリにより、端末内の電話帳等の情報が知らない間に窃取されてしまう。窃取された情報がスパムメールや詐欺に悪用され、友人や知人にまで被害が及ぶ場合もある。
[主な対策] 信頼できるストアの利用、インストール時のアプリの権限確認、ウイルス対策ソフトの導入