組織の脅威１位に「標的型攻撃による情報流出」

　「情報セキュリティ１０大脅威２０１８」は、昨年に発生した情報セキュリティ事案から、特に社会的に影響が大きかったと考えられるものをＩＰＡが脅威候補として選出し、情報セキュリティ分野の研究者、企業の実務担当者からなる「１０大脅威選考会」で審議・決定したもの。

　「組織の１０大脅威」では、１位に「標的型攻撃による情報流出」、２位「ランサムウェアによる被害」、３位「ビジネスメール詐欺」、４位「脆弱性対策情報の公開に伴い公知となる脆弱性の悪用増加」、５位「セキュリティ人材の不足」がランクインした。３位から５位は、昨年のランク外から１年で脅威度が急上昇した。

　「個人の１０大脅威」では、１位「インターネットバンキングやクレジットカード情報の不正利用」、２位「ランサムウェアによる被害」、３位「ネット上の誹謗・中傷」、４位「スマートフォンやスマートフォンアプリを狙った攻撃の可能性」、５位「ウェブサービスへの不正ログイン」の順となった。

　このうち、組織の脅威第３位の「ビジネスメール詐欺」は、巧妙に細工したメールのやりとりにより、企業の担当者を騙し、攻撃者の用意した口座へ送金させる詐欺の手口で、詐欺行為の準備としてウイルスなどを悪用し、企業内の従業員の情報を窃取する場合もある。これまでは主に海外の組織が被害に遭ってきたが、ここ数年間に海外取引をしている国内企業でも被害が確認されている。

セキュリティ人材が圧倒的に不足

　さらに、組織の脅威第５位「セキュリティ人材の不足」も深刻な問題となっており、セキュリティ上の脅威が今後さらに増大する中、セキュリティの知識、技術を有するセキュリティ人材が圧倒的に不足している。そのためにセキュリティ人材が手薄の組織では、十分なセキュリティ対策、対応をとることが難しく、脅威の増大に伴って実被害につながることが予測されている。

　他に新たな脅威として、公開された脆弱性対策情報をもとに対策前のシステムを狙う「脆弱性の悪用」（組織の脅威第４位）や、ウェブサイトを閲覧中に「ウイルスに感染している」などの偽警告を表示し、個人情報等を窃取する「偽警告」（個人の脅威第１０位）が上がっている。

　ＩＰＡでは３月下旬に「情報セキュリティ１０大脅威２０１８」の詳しい解説をウェブサイト上で公開し、国民に注意を呼び掛ける。

■（独）情報処理推進機構