IPA(情報処理推進機構)より公開された「情報セキュリティ10大脅威 2018」についてお伝えします。
以下、「JPA 情報セキュリティ10大脅威 2018」より抜粋させていただきます。
目次
日々脅威を増すサイバー攻撃、あなたは守りきれますか・・・?
「情報セキュリティ10大脅威 2018」は、2017年に発生した社会的に影響が大きかったと考えられる情報セキュリティにおける事案から、IPAが脅威候補を選出し、情報セキュリティ分野の研究者、企業の実務担当者など約100名のメンバーからなる「10大脅威選考会」が脅威候補に対して審議・投票を行い、決定したものです。
- 情報セキュリティ10大脅威 2018
(2017年において社会的影響が大きかったセキュリティ上の脅威について、「10大脅威選考会」の投票結果に基づき、「個人」「組織」における脅威を1位から10位に順位付けして解説しています) - 注目すべき脅威や懸念
(社会に影響を与える恐れがあり、現時点で注目しておきたい脅威や懸念等について解説しています)
IPAは、本資料が、読者自身のセキュリティ対策への理解と、各企業・組織の研修やセキュリティ教育等に活用されることにより、セキュリティ対策の普及の一助となることを期待しています。
情報セキュリティ10大脅威(個人編)
第1位 インターネットバンキングやクレジットカード情報等の不正利用
ウイルス感染やフィッシング詐欺により、インターネットバンキングの認証情報やクレジットカード情報が攻撃者に窃取され、不正送金や不正利用が行われている。
2017年は、インターネットバンキングの被害件数と被害額は減少傾向だが、新たに仮想通貨利用者を狙った攻撃が確認されている。
なお、1月30日にプレスリリースした「情報セキュリティ10大脅威 2018」を決定では、タイトルを 「インターネットバンキングやクレジットカード情報の不正利用」としていましたが、検討の結果、本タイトルに変更しました。
第2位 ランサムウェアによる被害
ランサムウェアとは、PC やスマートフォンにあるファイルの暗号化や画面ロック等を行い、金銭を支払えば復旧させると脅迫する犯罪行為の手口に使われるウイルスである。
そのランサムウェアに感染する被害が引き続き発生している。
さらに、ランサムウェアに感染した端末だけではなく、その端末からアクセスできる共有サーバーや外付けHDDに保存されているファイルも暗号化されるおそれがある。
2017年には、OSの脆弱性を悪用し、ネットワークを介して感染台数を増やすランサムウェアも登場した。
第3位 ネット上の誹謗・中傷
コミュニティサイト(ブログ、SNS、掲示板等)上で、個人や組織に対して誹謗・中傷や犯罪予告をする書き込みが行われている。コミュニティサイトへの書き込みは、匿名性や手軽さから安易に投稿されてしまう傾向にある。
また、SNSを使った犯罪は社会的な問題となっており、2017年は殺人事件にまで発展した事例もあった。
第4位 スマートフォンやスマートフォンアプリを狙った攻撃
公式マーケット等に公開されている不正アプリをスマートフォン利用者がインストールしてしまうことで、スマートフォン内の重要な情報を窃取されたり、不正に操作される被害が確認されている。
また、データの暗号化等を行うランサムウェアの機能を持つアプリに加えて、2017年は個人情報を公開すると脅すランサムウェアの機能を持つアプリも確認されている。
なお、1月30日にプレスリリースした「情報セキュリティ10大脅威 2018」を決定では、タイトルを 「スマートフォンやスマートフォンアプリを狙った攻撃の可能性」としていましたが、検討の結果、本タイトルに変更しました。
第5位 ウェブサービスへの不正ログイン
ウェブサービスに不正ログインされ、金銭的な被害や個人情報が窃取される等の被害が確認されている。
2017年に確認されたウェブサービスへの不正ログインの多くがパスワードリスト攻撃により行われている。
インターネットには多数のウェブサービスが存在しており、ウェブサービスの利用者が推測されやすいパスワードの使用やパスワードの使いまわしをしている場合、不正ログインが行われてしまう。
第6位 ウェブサービスからの個人情報の窃取
2017年も引き続き、ウェブサービスの脆弱性が悪用され、ウェブサービスに登録した個人情報やクレジットカード情報を窃取される事件が多発している。
窃取した情報を悪用されると不審メールを送信されたり、クレジットカード情報を不正利用されるおそれがある。
第7位 情報モラル欠如に伴う犯罪の低年齢化
2017年も未成年者がサイバー犯罪の加害者として逮捕、補導される事件が確認されている。
サイバー犯罪に悪用できるツールや知識がインターネットを通じて誰でも入手・利用できるようになったことで、情報モラルの欠如した未成年者が、サイバー犯罪に手を染めやすくなっている。
また、未成年者のPCやスマートフォンの所持も当たり前となってきているが、教員や親の監視が行き届きにくい。
第8位 ワンクリック請求等の不当請求
PCやスマートフォンを利用中にアダルトサイトの請求画面が表示され、金銭を不当に請求されるワンクリック請求の被害が依然として発生している。
1度のクリックによる請求だけでなく、複数回のクリックをさせることで、請求の正当性を主張されて不当請求されてしまう被害も確認されている。
第9位 IoT 機器の不適切な管理
昨今、インターネットに接続されている機器であるIoT機器の利用が進んでいる。
一方、利用者はIoT機器がインターネットに接続されていることを意識せずに利用しており、セキュリティ対策等の適切な管理が行われていないことがある。
管理を怠っているIoT機器が狙われ、室内の覗き見や攻撃の踏み台にされるといった被害が出ている。
第10位 偽警告によるインターネット詐欺
PCやスマートフォンでウェブサイトを閲覧中に、突然「ウイルスに感染している」等の偽警告を表示し、利用者の不安を煽り、偽警告に記載された操作を行わせ、金銭的な被害や個人情報等を窃取される被害が発生している。
偽警告は本物の警告と誤認されるように巧妙な細工が施されており、被害者は信じて指示に従ってしまう。
なお、1月30日にプレスリリースした「情報セキュリティ10大脅威 2018」を決定では、タイトルを 「偽警告」としていましたが、検討の結果、本タイトルに変更しました。
組織におけるセキュリティの脅威
組織におけるセキュリティの脅威は、個人とは少し性質の異なるものになります。「情報セキュリティ10大脅威(組織編)」は次のページで見ていきましょう。