「情報セキュリティ10大脅威 2023」を決定
~「ランサムウェアによる被害」が3年連続で「組織」向け脅威の1位に~
独立行政法人情報処理推進機構
「情報セキュリティ10大脅威 2023」を決定
~「ランサムウェアによる被害」が3年連続で「組織」向け脅威の1位に~
IPA(独立行政法人情報処理推進機構、理事長:富田達夫)は、情報セキュリティにおける脅威のうち、2022年に社会的影響が大きかったトピックを「情報セキュリティ10大脅威 2023」として公表しました。
URL:https://www.ipa.go.jp/security/vuln/10threats2023.html
IPAは情報セキュリティ対策の普及を目的として2006年から、前年に発生した情報セキュリティ事故や攻撃の状況等から脅威を選出し、上位10位を公表しています。本日公表した「情報セキュリティ10大脅威 2023」はIPAが2022年に発生した脅威候補を選定し、情報セキュリティ分野の研究者、企業の実務担当者など約200名のメンバーで構成する「10大脅威選考会」の投票を経て決定したものです。「個人」の立場と「組織」の立場でのランキングはそれぞれ以下のとおりです。
■「情報セキュリティ10大脅威 2023」
組織の順位では、3年連続で「ランサムウェアによる被害」が1位となりました。2022年も脆弱性を悪用した事例やリモートデスクトップ経由での不正アクセスによる事例が発生しています。また、情報の暗号化のみならず窃取した情報を公開すると脅す「二重脅迫」に加え、DDoS攻撃を仕掛ける、被害者の顧客や利害関係者へ連絡するとさらに脅す「四重脅迫」が新たな手口として挙げられています。ランサムウェアの感染経路は多岐に渡るため、ウイルス対策、不正アクセス対策、脆弱性対策などの基本的な対策を、確実かつ多層的に適用することが重要です。また、バックアップの取得や復旧計画を策定するといった、攻撃を受けることを想定した事前の準備が重要です。
今年は個人、組織ともに10位の脅威が入れ替わるのみで、9位までの脅威の種類は昨年と同じでした。しかし、組織10位に他の脅威を誘発しかねない「犯罪のビジネス化(アンダーグラウンドサービス)」がランクインしたように、各脅威に対して適切な対策を取ることが引き続き求められます。IPAでは今年新たに、多岐に渡る脅威に対して共通する対策をまとめて具体的に解説する「共通対策」を作成します。パスワードの適切な運用方法や、適切なインシデント対応方法などを7つの項目に分類して記載し、効率的な対策を支援します。「共通対策」は「情報セキュリティ10大脅威 2023」にランクインした各脅威の手口、傾向や対策などの詳しい解説とともに、2月下旬にIPAのウェブサイトで公開する予定です。