IPA(情報処理推進機構)より「情報セキュリティ10大脅威 2020」が公開

2020年3月10日

情報セキュリティ10大脅威2020
第1位 標的型攻撃による機密情報の搾取 企業や民間団体そして官公庁等、特定の組織に対して、機密情報等を窃取することを目的とした標的型攻撃が発生している。2020年初頭には、複数の防衛関連企業が不正アクセスを受けていたという報道があった。
第2位 内部不正による情報漏洩 組織の従業員や元従業員等、組織関係者による機密情報の持ち出しや悪用等の、不正行為が発生している。また、組織の情報管理のルールを守らずに情報を持ち出し、さらにはそれを紛失し、情報漏えいにつながることもある。内部不正は、組織の社会的信用の失墜、損害賠償による経済的損失等により、組織に多大な損害を与える。
第3位 ビジネスメール詐欺による金銭被害 ビジネスメール詐欺(Business E-mail Compromise:BEC)は、海外の取引先や自社の役員等になりすまし、巧妙に細工された偽の電子メールを企業の出納担当者に送り、攻撃者が用意した口座へ送金させる詐欺の手口である。海外だけではなく日本国内でも高額な被害が確認されている。
第4位 サプライチェーンの弱点を悪用した攻撃 原材料や部品の調達、製造、在庫管理、物流、販売までの一連の商流、およびこの商流に関わる複数の組織群をサプライチェーンと呼ぶ。また、組織が特定の業務を外部組織に委託している場合、この外部組織もサプライチェーンの一環となる。業務委託先組織がセキュリティ対策を適切に実施していないと、業務委託元組織への攻撃の足がかりとして狙われる。昨今、業務委託先組織が攻撃され、預けていた個人情報が漏えいする等の被害が発生している。
第5位 ランサムウェアによる被害 ファイルの暗号化や画面ロック等を行うランサムウェアに感染し、PC(サーバー含む)やスマートフォンに保存されているファイルを利用できない状態にされ、復旧と引き換えに金銭を要求される被害が発生している。不特定多数に対して行う攻撃だけではなく、特定の国や組織を狙う標的型攻撃に近い攻撃も行われる。
第6位 予期せぬIT基盤の障害に伴う業務停止 組織がインターネット上のサービスや業務システム等で使用しているネットワークやクラウドサービス、データセンター設備等のIT基盤に予期せぬ障害が発生し、長時間にわたり利用者や従業員に対するサービスを提供できなくなるケースがある。IT基盤の停止は利用している組織の事業の妨げとなり、ビジネスに大きな影響を与えるおそれがある。
第7位 不注意による情報漏洩(規則は厳守) 組織や企業において、情報管理体制の不備や情報リテラシー不足等が原因となり、従業員が個人情報や機密情報を漏えいしてしまう事例が2019年も多く見られた。漏えいした情報が悪用される二次被害が発生するおそれもあるため、十分な対策が求められる。
第8位 インターネット上のサービスからの個人情報の窃取 ショッピングサイト(ECサイト)等のインターネット上のサービスへ脆弱性等を悪用した不正アクセスや不正ログインが行われ、サービスに登録している個人情報等の重要な情報を窃取される被害が発生している。窃取された情報を悪用されるとクレジットカードの不正利用等の二次被害につながる。
第9位 IoT機器の不正利用 ウイルスに感染させたIoT機器を踏み台として、サービスやネットワーク、サーバーに悪影響を与える大規模なDDoS(分散型サービス妨害)攻撃の被害が確認されている。今後も普及拡大することが予想されるIoT機器は、セキュリティ対策が必要な対象として認識しなければならない。
第10位 サービス妨害攻撃によるサービスの停止 攻撃者に乗っ取られた複数の機器から形成されるネットワーク(ボットネット)が踏み台となり、企業や組織が提供しているインターネット上のサービスに対して大量のアクセスを一斉に仕掛け高負荷状態にさせる、もしくは回線帯域の占有によるサービスを利用不能とさせる等のDDoS (分散型サービス妨害)攻撃が行われている。標的とされた組織は、ウェブサイト等のレスポンスの遅延や、機能停止状態となり、サービスの提供に支障が出るおそれがある。
参考 情報セキュリティ10大脅威 2020IPA(情報処理推進機構)