IPA(情報処理推進機構)は情報セキュリティ対策の普及を目的として2006年から、前年に発生した情報セキュリティ事故や攻撃の状況等から脅威を選出し、上位10位を公表している。今回公表した「情報セキュリティ10大脅威2021」は、IPAが2020年に発生した脅威候補を選定し、情報セキュリティ分野の研究者、企業の実務担当者など約160名のメンバーで構成する「10大脅威選考会」の投票を経て決定したもの。
個人の順位では、昨年に引き続き、「スマホ決済の不正利用」が1位となった。スマホ決済サービスを悪用して他人の銀行口座から残高をチャージ(他人の口座からの金銭窃取)する事案などが引き続き発生している。スマホ決済サービスの利用者は、二要素認証を利用するなどの不正ログイン対策の実施や、被害を受けた際に早期に気付くことができるように、スマホ決済サービスの利用状況を確認することが重要となる。
また、スマホ決済サービスの利用者以外でも、スマホ決済サービスと連携可能な銀行口座を持つ人は被害に遭う場合もあるため、口座からの出金履歴を適宜確認するといった心構えが重要だ。個人では、以下、「フィッシングによる個人情報等の詐取」、「ネット上の誹謗・中傷・デマ」、「メールやSNS等を使った脅迫・詐欺の手口による金銭要求」、「クレジットカード情報の不正利用」と続く。
一方、組織の順位では、「ランサムウェアによる被害」が昨年の5位から1位に上昇。昨年8月にIPAは、ランサムウェアを用いた新たな攻撃の手口として「人手によるランサムウェア攻撃」と「二重の脅迫」について注意喚起を行った。新たなランサムウェア攻撃は、標的型攻撃と同等の技術が駆使されるため、例えば、ウイルス対策、不正アクセス対策、脆弱性対策など、基本的な対策を、確実かつ多層的に適用することが重要だ。
また、2位の「標的型攻撃による機密情報の窃取」に続いて、「テレワーク等のニューノーマルな働き方を狙った攻撃」が初登場で3位となった。新型コロナ感染症対策の一環として政府機関からテレワークが推奨されたたが、テレワークへの移行に伴い、業務環境の急激な変化を狙った攻撃が懸念されている。基本的な対策のほか、テレワークの規定や運用ルールの整備、セキュリティ教育の実施などが重要となる。
この件は↓