～「ランサムウェアによる被害」が3年連続で「組織」向け脅威の1位に～

IPA（独立行政法人情報処理推進機構、理事長：富田達夫）は、情報セキュリティにおける脅威のうち、2022年に社会的影響が大きかったトピックを「情報セキュリティ10大脅威 2023」として公表しました。　
　URL：https://www.ipa.go.jp/security/vuln/10threats2023.html　

IPAは情報セキュリティ対策の普及を目的として2006年から、前年に発生した情報セキュリティ事故や攻撃の状況等から脅威を選出し、上位10位を公表しています。本日公表した「情報セキュリティ10大脅威 2023」はIPAが2022年に発生した脅威候補を選定し、情報セキュリティ分野の研究者、企業の実務担当者など約200名のメンバーで構成する「10大脅威選考会」の投票を経て決定したものです。「個人」の立場と「組織」の立場でのランキングはそれぞれ以下のとおりです。

■「情報セキュリティ10大脅威 2023」 　個人の順位では、「フィッシングによる個人情報等の詐取」が2年連続で１位となりました。フィッシング詐欺は、実在の公的機関、有名企業を騙るメールやショートメッセージサービス(SMS)を送信し、正規のウェブサイトを模倣したフィッシングサイトへ誘導することで認証情報や個人情報などを入力させ詐取する手口です。フィッシング対策協議会のフィッシング報告状況によると2022年の報告件数は約97万件と、2021年の約53万件から大幅に増加しており、一層の注意が必要です。詐取された認証情報による不正ログインを予防するために多要素認証を有効にする、被害を早期に発見するために利用サービスのログイン履歴やクレジットカード等の利用明細を日常的に確認する、といった取り組みが大切です。

　組織の順位では、3年連続で「ランサムウェアによる被害」が1位となりました。2022年も脆弱性を悪用した事例やリモートデスクトップ経由での不正アクセスによる事例が発生しています。また、情報の暗号化のみならず窃取した情報を公開すると脅す「二重脅迫」に加え、DDoS攻撃を仕掛ける、被害者の顧客や利害関係者へ連絡するとさらに脅す「四重脅迫」が新たな手口として挙げられています。ランサムウェアの感染経路は多岐に渡るため、ウイルス対策、不正アクセス対策、脆弱性対策などの基本的な対策を、確実かつ多層的に適用することが重要です。また、バックアップの取得や復旧計画を策定するといった、攻撃を受けることを想定した事前の準備が重要です。

　今年は個人、組織ともに10位の脅威が入れ替わるのみで、９位までの脅威の種類は昨年と同じでした。しかし、組織10位に他の脅威を誘発しかねない「犯罪のビジネス化（アンダーグラウンドサービス）」がランクインしたように、各脅威に対して適切な対策を取ることが引き続き求められます。IPAでは今年新たに、多岐に渡る脅威に対して共通する対策をまとめて具体的に解説する「共通対策」を作成します。パスワードの適切な運用方法や、適切なインシデント対応方法などを７つの項目に分類して記載し、効率的な対策を支援します。「共通対策」は「情報セキュリティ10大脅威 2023」にランクインした各脅威の手口、傾向や対策などの詳しい解説とともに、2月下旬にIPAのウェブサイトで公開する予定です。