SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

直近開催のイベントはこちら!

EnterpriseZine Day 2022

2022年6月28日(火)13:10

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

EnterpriseZineニュース

IPA、「情報セキュリティ10大脅威 2022」を公表 ゼロデイ攻撃が初登場

 情報処理推進機構(以下、IPA)は、1月27日に「情報セキュリティ10大脅威 2022」を公表した。これは、IPAが2021年に発生した脅威候補を選定し、情報セキュリティ分野の研究者、企業の実務担当者など約150名のメンバーで構成する「10大脅威選考会」の投票を経て決定したものだという。

 「個人」の立場と「組織」の立場でのランキングはそれぞれ以下の通り。

「情報セキュリティ10大脅威 2022」※NEW:初めてランクインした脅威
昨年順位 個人 順位 組織 昨年順位
2位 フィッシングによる個人情報等の詐取 1位 ランサムウェアによる被害 1位
3位 ネット上の誹謗・中傷・デマ 2位 標的型攻撃による機密情報の窃取 2位
4位 メールやSMS等を使った脅迫・詐欺の手口による金銭要求 3位 サプライチェーンの弱点を悪用した攻撃 4位
5位 クレジットカード情報の不正利用 4位 テレワーク等のニューノーマルな働き方を狙った攻撃 3位
1位 スマホ決済の不正利用 5位 内部不正による情報漏えい 6位
8位 偽警告によるインターネット詐欺 6位 脆弱性対策情報の公開に伴う悪用増加 10位
9位 不正アプリによるスマートフォン利用者への被害 7位 修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃) NEW
7位 インターネット上のサービスからの個人情報の窃取 8位 ビジネスメール詐欺による金銭被害 5位
6位 インターネットバンキングの不正利用 9位 予期せぬIT基盤の障害に伴う業務停止 7位
10位 インターネット上のサービスへの不正ログイン 10位 不注意による情報漏えい等の被害 9位

 個人の順位では、順位の変動はあるものの、脅威の内容は昨年、一昨年とすべて同じだとしている。2019年から2年連続2位にランクインしていた「フィッシングによる個人情報等の詐取」が今回初めて1位に。フィッシング詐欺は、実在する公的機関や有名企業を騙ったメールやショートメッセージサービス(SMS)などを送信し、正規のウェブサイトを模倣したフィッシングサイトへ誘導することで、個人情報や認証情報等を入力させる詐欺だという。2021年も大手ECサイトや金融機関などを騙った手口が多く確認されており、安易にURLをクリック・タップしない、サービスを利用する際は自身のブックマークや公式アプリからアクセスするなど、利用者は日ごろから注意が必要だとしている。

 組織の順位では、10の脅威のうち9個が昨年と同じだったという。昨年8位だった「インターネット上のサービスへの不正ログイン」に替わって、「修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃)」が初登場で7位に。ゼロデイ攻撃は、修正プログラムが提供される前の脆弱性を悪用した攻撃。2021年12月にはJava用のログ出力ライブラリである「Apache Log4j」の脆弱性対策情報が、既に攻撃が観測されているとの情報と同時に公開されたとしている。「Apache Log4j」は、ウェブサイトのバックエンドにあるウェブサーバーなどで行われた操作を記録する機能をもつプログラムの部品のようなもので、世界中のプログラムで広く使われているため、大きな話題となったという。ゼロデイ攻撃の場合、修正プログラムが提供された時点で既に攻撃が行われているため、脆弱性対策に加え、外部からの侵入を検知/防御する機器を導入するなどの備えが重要だとしている。

 組織の1位は、昨年に引き続き「ランサムウェアによる被害」。2021年も国内の企業や病院などのランサムウェア被害が報道され、大きな話題となったという。近年のランサムウェア攻撃は、標的型攻撃と同様の手法で企業・組織のネットワークに侵入したり、データを暗号化するだけでなく窃取して公開すると脅したりして、身代金を支払わざるを得ないような状況を作り出すとしている。標的型攻撃と同等の技術が駆使されるため、この攻撃への対策は、たとえば、ウイルス対策、不正アクセス対策、脆弱性対策など、基本的な対策を、確実かつ多層的に適用することが重要だという。また、どの組織でも被害に遭う可能性があることを念頭において、バックアップの取得や復旧計画を策定するなど、事前の準備が重要だとしている。

 なお、「情報セキュリティ10大脅威 2022」にランクインした各脅威の手口、傾向や対策など詳しい解説は、2月下旬にIPAのウェブサイトで公開する予定だという。

【関連記事】
【IPA注意喚起】年末年始休暇前にセキュリティ対策を今一度
10.5%の中小企業社員がサイバーセキュリティに関するトラブルを経験か――IPA調査
米国企業と2倍のひらきも――IPA、「DX白書2021」を公開

この記事は参考になりましたか?

  • Facebook
  • Twitter
  • Pocket
  • note
関連リンク
この記事の著者

EnterpriseZine編集部(エンタープライズジン ヘンシュウブ)

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/news/detail/15498 2022/01/27 14:53

Job Board

PR

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

2022年6月28日(火)13:10

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング