情報処理推進機構(IPA)が発表した「情報セキュリティ10大脅威2023」によると、「ランサムウェアによる被害」が3年連続で「組織」向け脅威の1位になった。同10大脅威は、2022年に発生した社会的に影響が大きかった情報セキュリティ事案から、IPAが脅威候補を選出し、情報セキュリティ分野の研究者、企業の実務担当者など約200名のメンバーからなる「10大脅威選考会」が脅威候補に対して審議・投票を行い、決定したもの。
個人の順位では、「フィッシングによる個人情報等の詐取」が2年連続で1位となった。フィッシング詐欺は、実在の公的機関、有名企業を騙るメールやショートメッセージサービス(SMS)を送信し、正規のウェブサイトを模倣したフィッシングサイトへ誘導することで認証情報や個人情報などを入力させ詐取する手口。フィッシング対策協議会のフィッシング報告状況によると2022年の報告件数は約97万件にのぼった。
2022年は2021年の約53万件から大幅に増加しており、一層の注意が必要だ。詐取された認証情報による不正ログインを予防するために多要素認証を有効にする、被害を早期に発見するために利用サービスのログイン履歴やクレジットカード等の利用明細を日常的に確認する、といった取組みが大切になる。2位は「ネット上の誹謗・中傷・デマ」、3位は「メールやSMS等を使った脅迫・詐欺の手口による金銭要求」だった。
組織の順位では、3年連続で「ランサムウェアによる被害」が1位となった。2022年も脆弱性を悪用した事例やリモートデスクトップ経由での不正アクセスによる事例が発生している。また、情報の暗号化のみならず窃取した情報を公開すると脅す「二重脅迫」に加え、DDoS攻撃を仕掛ける、被害者の顧客や利害関係者へ連絡するとさらに脅す「四重脅迫」が新たな手口として挙げられている。
ランサムウェアの感染経路は多岐に渡るため、ウイルス対策、不正アクセス対策、脆弱性対策などの基本的な対策を、確実かつ多層的に適用することが重要。また、バックアップの取得や復旧計画を策定するといった、攻撃を受けることを想定した事前の準備が重要だ。2位は「サプライチェーンの弱点を悪用した攻撃」、3位は「標的型攻撃による機密情報の窃取」、4位は「内部不正による情報漏えい」となった。
IPAでは今年新たに、多岐に渡る脅威に対して共通する対策をまとめて具体的に解説する「共通対策」を作成する。パスワードの適切な運用方法や、適切なインシデント対応方法などを7つの項目に分類して記載し、効率的な対策を支援する。「共通対策」は「情報セキュリティ10大脅威2023」にランクインした各脅威の手口、傾向や対策などの詳しい解説とともに、2月下旬にIPAのウェブサイトで公開する予定だ。
この件は