「情報セキュリティ10大脅威 2018」は、2017年に発生した社会的に影響が大きかったと考えられる情報セキュリティにおける事案から、IPAが脅威候補を選出し、情報セキュリティ分野の研究者、企業の実務担当者など約100名のメンバーからなる「10大脅威選考会」が脅威候補に対して審議・投票を行い、決定したもの。2018年も昨年同様に「個人」と「組織」という異なる立場で10大脅威を選出している。
「情報セキュリティ10大脅威 2018」
※( )内は昨年の順位、【NEW】は初めてラインクインした脅威
■個人
- 1位 インターネットバンキングやクレジットカード情報の不正利用(1位)
- 2位 ランサムウェアによる被害(2位)
- 3位 ネット上の誹謗・中傷(7位)
- 4位 スマートフォンやスマートフォンアプリを狙った攻撃の可能性(3位)
- 5位 ウェブサービスへの不正ログイン(4位)
- 6位 ウェブサービスからの個人情報の窃取(6位)
- 7位 情報モラル不足に伴う犯罪の低年齢化(5位)
- 8位 ワンクリック請求等の不当請求(8位)
- 9位 IoT機器の不適切管理(10位)
- 10位 偽警告(ランク外)【NEW】
■組織
- 1位 標的型攻撃による情報流出(1位)
- 2位 ランサムウェアによる被害(2位)
- 3位 ビジネスメール詐欺(ランク外)【NEW】
- 4位 脆弱性対策情報の公開に伴い公知となる脆弱性の悪用増加(ランク外)
- 5位 セキュリティ人材の不足(ランク外)【NEW】
- 6位 ウェブサービスからの個人情報の窃取(3位)
- 7位 IoT機器の脆弱性の顕在化(8位)
- 8位 内部不正による情報漏えい(5位)
- 9位 サービス妨害攻撃によるサービスの停止(4位)
- 10位 犯罪のビジネス化(アンダーグラウンドサービス)(9位)
今年は「個人」と「組織」を合わせた20の脅威の内、8割の16の脅威が昨年に引き続きランクインした。このように大半の脅威は急に出現したものではなく、また新しい手口でもない。よって手口を知り、常に対策を怠らないことが重要だ。
一方、今年のランキングにはこれまでの10大脅威に一度もランクインしたことのない新たな脅威が入った。「個人の10位」の「偽警告」、「組織の3位」の「ビジネスメール詐欺」、「同5位」の「セキュリティ人材の不足」になる。なお、「同4位」の「脆弱性対策情報の公開に伴い公知となる脆弱性の悪用増加」は昨年のランク外(一昨年は6位)から復活ランクインしたもの。
「偽警告」は、PCの画面に突然“ウイルスに感染した”と表示され、サポート窓口に電話するように仕向ける手口。ITに詳しくないPC利用者が騙されやすいのが特徴。
また、「ビジネスメール詐欺」は、巧妙に細工したメールによるやりとりが実際に行われ、その結果企業の担当者が騙され、本来の振込口座とは異なる攻撃者の偽口座へ送金させる詐欺の手口。昨年末に国内の大手企業の被害が大きく報道され、世間の耳目を集めた。この詐欺は、手口さえ知っていれば、騙される前に気づける可能性があった。
「セキュリティ人材の不足」は、以前から指摘されていた問題。他の脅威とはやや観点が異なるが、組織として取り組むべき課題の1つ。人材育成には時間がかかるため、数年先を見据えて計画的に進める必要がある。
昨年、初めてランクインしたIoTに関する脅威は今年も「個人」と「組織」共にランクインした。IoTはその利便性のみが注目されがちだが、Miraiを初めとしたウイルスがネットワークカメラなどのIoT機器を狙ったように、既に攻撃対象の1つになっているという認識を持ち、必要な対策を施した上で安全に利用すべきだ。
