IPA(情報処理推進機構)は情報セキュリティ対策の普及を目的として2006年から、前年に発生した情報セキュリティ事故や攻撃の状況等から脅威を選出し、上位10位を公表している。今回公表した「情報セキュリティ10大脅威2022」は、IPAが2021年に発生した脅威候補を選定し、情報セキュリティ分野の研究者、企業の実務担当者など約150名のメンバーで構成する「10大脅威選考会」の投票を経て決定したもの。
個人の順位では、順位の変動はあるものの、脅威の内容は昨年、一昨年と全て同じ。2019年から2年連続2位にランクインしていた「フィッシングによる個人情報等の詐取」が今回初めて1位になった。フィッシング詐欺は、実在する公的機関や有名企業を騙ったメールやショートメッセージサービス(SMS)等を送信し、正規のウェブサイトを模倣したフィッシングサイトへ誘導することで、個人情報や認証情報等を入力させる詐欺。
2021年も大手ECサイトや金融機関などを騙った手口が多く確認された。安易にURLをクリック・タップしない、サービスを利用する際は自身のブックマークや公式アプリからアクセスするなど、利用者は日ごろから注意が必要だ。以下、「ネット上の誹謗・中傷・デマ」、「メールやSNS等を使った脅迫・詐欺の手口による金銭要求」、「クレジットカード情報の不正利用」、「スマホ決済の不正利用」と続いた。
一方、組織の順位では、10の脅威のうち9個が昨年と同じ。昨年8位だった「インターネット上のサービスへの不正ログイン」に替わって、「修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃)」が初登場で7位に。ゼロデイ攻撃は、修正プログラムが提供される前の脆弱性を悪用した攻撃。昨年12月には Java 用のログ出力ライブラリである「Apache Log4j」の脆弱性対策情報が、すでに攻撃が観測されているとの情報と同時に公開された。
「Apache Log4j」は、ウェブサイトのバックエンドにあるウェブサーバーなどで行われた操作を記録する機能をもつプログラムの部品のようなもので、世界中のプログラムで広く使われているため、大きな話題となった。組織の1位は、昨年に引き続き「ランサムウェアによる被害」。2021年も国内の企業や病院などのランサムウェア被害が報道され、大きな話題となった。
近年のランサムウェア攻撃は、標的型攻撃と同様の手法で企業・組織のネットワークに侵入したり、データを暗号化するだけでなく窃取して公開すると脅したりして、身代金を支払わざるを得ないような状況を作り出す。標的型攻撃と同等の技術が駆使されるため、この攻撃への対策は、例えば、ウイルス対策、不正アクセス対策、脆弱性対策など、基本的な対策を、確実かつ多層的に適用することが重要となる。
この件は↓