情報セキュリティ10大脅威 2021が公開されました
「情報セキュリティ10大脅威 2021」が2021年8月23日に公開されました。
IPA(独立行政法人 情報処理推進機構)が公開しているこのランキングは、前年に発生した情報セキュリティ事案の傾向を把握することができるもので、ぜひチェックしておきたい情報です。
「情報セキュリティ10大脅威」とは情報システムを取り巻く脅威についてランキング形式で解説するもので、2006年から毎年公開しています。まずIPAが前年に起こった社会的に影響が大きかった脅威候補をあらかじめ選定し、情報セキュリティ分野の研究者や専門家、企業の実務担当者などで結成された「10大脅威選考会」が審議と投票を行うことでランキングを決定します。ランキングは「個人」と「企業」に分かれ、それぞれ10位までが紹介されます。
2021年版はどのような傾向が見られたか、「個人」と「企業」の1位から3位についてご紹介しましょう。
| 昨年順位 | 個人 | 順位 | 組織 | 昨年順位 |
|---|---|---|---|---|
| 1位 | スマホ決済の不正利用 | 1位 | ランサムウェアによる被害 | 5位 |
| 2位 | フィッシングによる個人情報等の詐取 | 2位 | 標的型攻撃による機密情報の窃取 | 1位 |
| 7位 | ネット上の誹謗・中傷・デマ | 3位 | テレワーク等のニューノーマルな働き方を狙った攻撃 | NEW |
| 5位 | メールやSMS等を使った脅迫・詐欺の手口による金銭要求 | 4位 | サプライチェーンの弱点を悪用した攻撃 | 4位 |
| 3位 | クレジットカード情報の不正利用 | 5位 | ビジネスメール詐欺による金銭被害 | 3位 |
| 4位 | インターネットバンキングの不正利用 | 6位 | 内部不正による情報漏えい | 2位 |
| 10位 | インターネット上のサービスからの個人情報の窃取 | 7位 | 予期せぬIT基盤の障害に伴う業務停止 | 6位 |
| 9位 | 偽警告によるインターネット詐欺 | 8位 | インターネット上のサービスへの不正ログイン | 16位 |
| 6位 | 不正アプリによるスマートフォン利用者への被害 | 9位 | 不注意による情報漏えい等の被害 | 7位 |
| 8位 | インターネット上のサービスへの不正ログイン | 10位 | 脆弱性対策情報の公開に伴う悪用増加 | 14位 |
出典:IPA 独立行政法人 情報処理推進機構 「情報セキュリティ10大脅威 2021」
https://www.ipa.go.jp/security/vuln/10threats2021.html
10位内の項目自体は前年度と変わりませんが、社会問題ともなった「ネット上の誹謗・中傷・デマ」が前年の7位から3位へと順位が大幅に上がりました。
第1位 スマホ決済の不正利用
前年と同様「スマホ決済の不正利用」が第1位となっています。
スマートフォンの普及、電子決済の増加によってますます増えつつあるスマホ決済ですが、便利な反面、不正利用も増えています。不正ログインでアカウントを乗っ取っる、決済サービスの脆弱性等を悪用する、などから第三者に預金を引き出される、チャージされる、といった被害が確認されています。
対策の一つとして、二要素認証を採用することも不正ログイン防止としては有効なようです。また、スマホ決済サービスの利用状況をこまめにチェックし、不正利用に早く気付くことが大切です。連携口座を持っている場合は、口座の出金履歴もこまめに確認しましょう。
第2位 フィッシングによる個人情報等の詐取
こちらも前年と同じ順位です。有名企業や公的機関の名前を装ってメール等を送り、偽のウェブサイト(フィッシングサイト)へ誘導。個人情報や暗証番号を入力させて情報を搾取する手口です。特に2020年は新型コロナウイルス感染症に関わる給付金に便乗したものが多く、また、巣篭もり需要で増えたオンラインショッピングに関連したものも増加傾向が見られたようです。
対策としては受信したメッセージ内にあるURLを安易にクリックしないことが重要です。また、アクセスしているサイトが正しいものなのか、十分に確認することも被害を防ぐ一つです。
第3位 ネット上の誹謗・中傷・デマ
前年の7位から大きく順位を上げ、第3位となったのが「ネット上の誹謗・中傷・デマ」です。インターネット上の書き込みは匿名のことも多く、顔が見えない分、個人や組織に対して誹謗・中傷がしやすく、拡散も早い環境と言われます。しかし受けた側には深刻なダメージがあり、ネットの誹謗・中傷が原因で自ら命を断つという痛ましい事件も起こっているのが現状です。また、誹謗・中傷と同様にデマも拡散しやすく、2020年にはデマによってトイレットペーパーが店頭から消えるといった現象も起こりました。これらの対策は、情報モラルやリテラシーの向上が一番です。発信する情報に責任を持ち、また、得た情報の真偽を見極める目を持つことが大切です。
新型コロナウイルス 感染症により、働き方が大きく変わった2020年。脅威項目にも初めてランクインしたものがあるなど、前年から大きな変動がありました。
第1位 ランサムウェアによる被害
前年の5位から1位となったのは「ランサムウェアによる被害」です。ランサムウェアとは、画面ロックやデータ暗号化などでデバイスを使用できない状態にした上で、復旧する代わりに金銭を要求するマルウェアの一種です。2020年は特定の組織をターゲットとした標的型攻撃と同様の手法も増加しました。ランサムウェアに対する対策は、何と言ってもバックアップです。3-2-1ルール(※1)などを参考に、組織内でのバックアップ方法を決めておくことをおすすめします。また、不審なURLや添付ファイルを開かない、ウイルス対策や不正アクセス対策をしておく、使用OSやソフトは最新のものを使うなど、基本的なセキュリティ対策を怠らないことが大切です。
※1 3-2-1ルール:オリジナルデータのほかにコピーを2つ作る(合計3つ)、2つのコピーは別々の場所・媒体に保存する、その内1つは遠隔地(クラウドストレージなど)で保管する、という法則です。
第2位 標的型攻撃による機密情報の窃取
企業や官公庁など特定の組織を狙ってメールを送る、よく利用するウェブサイトを調査し改ざんする、不正アクセスで社内システムに侵入する、などの手口でウイルス感染させ、機密情報を窃取します。しばらく攻撃に気づかないほど巧妙なケースも報告されており、ネットワークの監視やセキュリティ対策の強化や定期的な見直しが必要と言われています。また、スタッフのITリテラシー(※2)向上も重要です。
※2 ITリテラシー:情報、コンピュータ、ネットの三分野に分ける場合もありますが、ITに関連する操作や知識についての理解力、応用力を指します。
第3位 テレワーク等のニューノーマルな働き方を狙った攻撃
2020年は新型コロナウイルス感染症が拡大したことで働き方が見直され、テレワークに移行した組織が多く見られました。自宅から勤務先への接続にVPNの活用やWeb会議サービスを多用することで、それらの脆弱性を突いた攻撃がされるようになったほか、私物のパソコンや自宅のネットワークを使うといったテレワーク環境の整備不足からウイルス感染が広がるなど、今までにない原因からくるトラブルが相次ぎました。スタッフ個々のセキュリティ意識を育てると共に、利用する機器は常に最新の状態にするといった環境整備が対策の一つとなっています。
今回ご紹介したものはほんの一部です。また、ランクインしていない脅威は「脅威じゃない」ということではありません。ランキング自体も自分が使う環境や立場と照らし合わせて何が脅威となるのか、考えるための参考資料として活用することをおすすめします。
電子化によって仕事がより効率的に進むようになりましたが、常に脅威もあるということを念頭に置き、適切なセキュリティ体勢を整えておきましょう。
関連記事:3-2-1ルール
ITリテラシー(アイ・ティー・リテラシー)
- 情報セキュリティ10大脅威 2021(IPA 独立行政法人 情報処理推進機構)
https://www.ipa.go.jp/security/vuln/10threats2021.html
