「情報セキュリティ10大脅威 2017」は、2016年に発生した社会的に影響が大きかったと考えられる情報セキュリティにおける事案から、IPAが脅威候補を選出し、情報セキュリティ分野の研究者、企業の実務担当者など約100名のメンバーからなる「10大脅威選考会」が脅威候補に対して審議・投票を行い、決定したもの。
2017年も昨年同様に「個人」と「組織」という異なる視点で10大脅威を選出した。
■「情報セキュリティ10大脅威 2017」
( )内は昨年の順位、(-)は昨年の順位でのランク外。
【個人】
- インターネットバンキングやクレジットカード情報の不正利用(1位)
- ランサムウェアによる被害(2位)
- スマートフォンやスマートフォンアプリを狙った攻撃(3位)
- ウェブサービスへの不正ログイン(5位)
- ワンクリック請求などの不当請求(4位)
- ウェブサービスからの個人情報の窃取(7位)
- 匿名によるネット上の誹謗・中傷(6位)
- 情報モラル不足に伴う犯罪の低年齢化(8位)
- インターネット上のサービスを悪用した攻撃(10位)
- IoT機器の不適切管理(-)
【組織】
- 標的型攻撃による情報流出(1位)
- ランサムウェアによる被害(7位)
- ウェブサービスからの個人情報の窃取(3位)
- サービス妨害攻撃によるサービスの停止(4位)
- 内部不正による情報漏えいとそれに伴う業務停止(2位)
- ウェブサイトの改ざん(5位)
- ウェブサービスへの不正ログイン(9位)
- IoT機器の脆弱性の顕在化(-)
- 攻撃のビジネス化(アンダーグラウンドサービス)(-)
- インターネットバンキングやクレジットカード情報の不正利用(8位)
昨年に引き続き「個人」、組織の1位に変動はなく、個人は「インターネットバンキングやクレジットカード情報の不正利用」、「組織」は「標的型攻撃による情報流出」だった。
警察庁の発表によると、インターネットバンキングの被害額は、組織は大幅減少したが、個人は増加傾向に転じており、「個人」における対策不足が浮き彫りになった。また、標的型攻撃に目を向けると、大手旅行会社が標的型攻撃により約678万件の個人情報を漏えいした可能性があるとの発表があった。その発端はグループ会社のオペレータ端末でメールに添付された不正なファイルを開いたためで、標的型攻撃メールは依然として組織にとって大きな脅威になっている。
今年の10大脅威ではIoT機器の脅威が初めてランクインした。マルウェア「Mirai」によりIoT機器が大規模な DDoS攻撃に加担させられた事案では、IoT機器のメーカーがリコールに迫られたり、標的となったDNSサーバを利用していたネットサービスが数時間に渡って接続しにくくなったり、被害が広範に渡った。
また、「個人」においては、機器への適切な設定が必要であることを知らなかったためにDDoS攻撃の踏み台になってしまったり、ネットサービスが利用できなくなったりするなどの影響があった。
IPAでは、3月下旬に「情報セキュリティ10大脅威 2017」の詳しい解説をウェブサイトで公開する予定だという。
