情報処理推進機構がセキュリティ10大脅威2024を公開しました

無料見積サイバー保険の⼀括⾒積⽐較はこちらから

画像:情報処理推進機構(IPA)より引用

情報処理推進機構(IPA)は2024年1月24日、特に社会的影響の大きな情報セキュリティ脅威をまとめたレポート「情報セキュリティ10大脅威 2024」を公表しました。

「情報セキュリティ10大脅威 2024」はIPAが毎年公表しているセキュリティレポートです。ネットワーク社会をとりまくサイバーリスクを個人・法人別にまとめたもので、有識者約200人による審議・投票によりピックアップされています。

2024年度の10大脅威は、いずれも複数年に渡りピックアップされたものが選ばれました。法人向けでは暗号化や情報流出、脅迫行為などで身代金を要求する「ランサムウェア」がワースト1位に。脆弱な企業を足がかりにしたサイバー攻撃「サプライチェーンの弱点を悪用した攻撃」が2位、怨恨や不正利益を得るために社員が裏切る「内部不正による情報漏えい等の被害」が3位と続きました。

4位と5位は防御が難しいとされる「標的型攻撃による機密情報の窃取」、「修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃)」です。標的型攻撃はターゲット企業に特化した情報を用いる判別が難しいサイバー攻撃。ゼロデイ攻撃は脆弱性が公開~修正までの間隙を縫うため、システム的な防御が難しい攻撃です。

6位~8位はいずれも不注意や怠慢を原因とする「不注意による情報漏えい等の被害」、「脆弱性対策情報の公開に伴う悪用増加」、「ビジネスメール詐欺による金銭被害」が選ばれました。6位の「不注意による情報漏えい等の被害」は、誤送信や誤公開、紛失などによるもの。過去には札幌医科大学にて紛失したUSBメモリを何者かが取得し、道庁に匿名で送付する事案が発生しました。7位の「脆弱性対策情報の公開に伴う悪用増加」は公開された脆弱性対策パッチをなんらかの理由で適用していない企業を狙ったサイバー攻撃、8位の「ビジネスメール詐欺による金銭被害」は取引先の請求書などを装って金銭を窃取する攻撃です。

9位は「テレワーク等のニューノーマルな働き方を狙った攻撃」です。テレワークのために導入したIT機器やシステムを狙った攻撃ですが、アフターコロナによりテレワークは減少傾向。ピークの2021年度は3位(2023年は4位)でしたが今回は9位と順位を下げています。

10位は「犯罪のビジネス化(アンダーグラウンドサービス)」です。日本国内では幸い顕著な集団はありませんが、海外ではランサムウェア集団を中心として、開発を実行を別の組織が担うなどビジネス化の一途を辿っています。なかにはコンビニと加盟店の関係のように、実行側が開発側にロイヤリティを支払うというものも。内部関係に報酬と引き換えに情報漏えいを持ちかける、大胆な手口も確認されています。

情報処理推進機構(IPA)は詳細を2024年2月下旬に公開を予定。詳しい経緯や動向、選定理由も明かされるものと見られます。

参照情報セキュリティ10大脅威 2024/情報処理推進機構(IPA)