情報処理推進機構(IPA)は10日、「情報セキュリティ10大脅威 2020」を公開した。「情報セキュリティ10大脅威 2020」は、2019年に発生した社会的に影響が大きかったと考えられる情報セキュリティにおける事案から、IPAが脅威候補を選出し、情報セキュリティ分野の研究者、企業の実務担当者など約140名のメンバーからなる「10大脅威選考会」が脅威候補に対して審議・投票を行い、決定したもの。
それによると、上位は、個人が、「スマホ決済の不正利用」、「フィッシングによる個人情報の詐取」、「クレジットカード情報の不正利用」、「インターネットバンキングの不正利用」、「メールやSMS等を使った脅迫・詐欺の手口による金銭要求」、組織が、「標的型攻撃による機密情報の窃取」、「内部不正による情報漏えい」、「ビジネスメール詐欺による金銭被害」、「サプライチェーンの弱点を悪用した攻撃」、「ランサムウェアによる被害」となった。
個人の1位「スマホ決済の不正利用」は昨年圏外からトップとなった。近年のスマートフォンの普及に伴い、スマートフォンを利用した決済(スマホ決済)がキャッシュレス決済の手段として利用できるようになった。その後も類似のスマホ決済サービスは次々と登場し、それらの利用者が増加している一方で、利便性の反面、アカウントに不正アクセスされたことにより、第三者のなりすましによるサービスの不正利用も確認されている。
2位の「フィッシングによる個人情報の詐取」は、金融機関、ショッピングサイト等の実在する有名企業を騙るメールを送信し、偽のウェブサイトへ誘導することで、銀行口座情報、クレジットカード情報、ID、パスワード、氏名等の重要な情報を詐取する詐欺だ。3位の「クレジットカード情報の不正利用」は、キャッシュレス決済の普及に伴い、クレジットカード情報が詐取され、攻撃者によって不正利用されるという被害が発生している。
一方、組織の1位は昨年に引き続き「標的型攻撃による機密情報の窃取」。企業や民間団体そして官公庁等、特定の組織に対して、機密情報等を窃取することを目的とした標的型攻撃が発生している。2020年初頭には、複数の防衛関連企業が不正アクセスを受けていたという報道があった。2位の「内部不正による情報漏えい」は、組織の従業員や元従業員等、組織関係者による機密情報の持ち出しや悪用等の、不正行為が発生している。
3位の「ビジネスメール詐欺による金銭被害」は、海外の取引先や自社の役員等になりすまし、巧妙に細工された偽の電子メールを企業の出納担当者に送り、攻撃者が用意した口座へ送金させる詐欺の手口。4位の「サプライチェーンの弱点を悪用した攻撃」は、業務委託先組織がセキュリティ対策を適切に実施していないと、業務委託元組織への攻撃の足がかりとして狙われ、業務委託先組織に預けていた個人情報漏えい等の被害が発生している。
この件は↓