今年も独立行政法人情報処理推進機構(IPA)から「情報セキュリティ10大脅威2016」が発表されました。このレポートは毎年、情報セキュリティ分野の研究者、企業などの実務担当者などから構成される「10大脅威選考会」メンバーの審議・投票によって、その年度で社会的影響が大きかった情報セキュリティ上の脅威トップ10を選出したものです。
今年は新しい試みとして、従来の10大脅威とともに、影響を受ける対象別に「個人」と「組織」それぞれの分類で10大脅威が選定されています。
今回の発表は順位と概要のみで、詳しい解説は来月発表予定です。今回は現時点の発表内容に基づき、情報セキュリティ上の脅威の動向等について確認します。

2015年度の10大脅威

今回選出された10大脅威は、以下の通りです。
情報セキュリティ10大脅威2016
第1位は昨年に引き続き「インターネットバンキングやクレジットカード情報の不正利用」でした。ウィルスやフィッシング詐欺によってインターネットバンキングの認証情報やクレジットカード情報が窃取され、なりすましによって不正利用されてしまう事象です。弊社ブログ「インターネットバンキングの被害状況と対策」でも紹介しましたが、2015年上半期には攻撃対象が信用金庫や信用組合等の地域金融機関に拡大したことが特徴的でした。警察庁や金融機関では不正送金を阻止するための施策を実施していますが、不正送金の手口も複雑化、巧妙化しており、今後も被害が大きく減ることはないように考えられます。

第2位の「標的型攻撃による情報流出」は、昨年から順位が上昇しました。攻撃対象となる企業や組織のPCにウィルスを感染させ、外部からPC を遠隔操作して内部情報を窃取する等のサイバー攻撃になります。2015年6月に発生した日本年金機構の情報漏えい事件によって、「標的型攻撃」という言葉が大きく広まったことは記憶に新しいところです。弊社ブログ「日本年金機構の個人情報流出における課題」でもこの事件の概要や課題等について提示しました。

第3位の「ランサムウェアを使った詐欺・恐喝」とは、マルウェアの一種であるランサムウェアをPCに感染させてファイルを暗号化し、暗号解除のための金銭を要求するメッセージ表示がされる攻撃です。暗号化されたファイルはPCの所有者が使用することはできなくなり、かつ金銭を払ってもファイルが元通りになる保証はありません。国内では2014年に確認されていましたが、2015年に入ると被害が急増しており、今後もこの傾向は続くと予想されています。

第4位の「ウェブサービスからの個人情報の窃取」は、ウェブサービスを提供するサイトの脆弱性を突いて個人情報などを窃取する攻撃です。攻撃の手口も高度化していますが、一方で基本的なセキュリティ対策もされていないサイトも多数存在するため、被害がなかなか減らない状況です。

第5位の「ウェブサービスへの不正ログイン」は、管理が万全でないウェブサービスから窃取したID とパスワードを使うことで、なりすまされてログインされ、サービスを不正利用される被害が発生しています。また、パスワードが使い回されていることで、他のウェブサービスでも同じIDとパスワードでログインされることにより二次被害が発生することも多い状況です。ウェブサービスの利用者に対するパスワード管理の重要性が再認識されています。

第6位の「ウェブサイトの改ざん」ですが、最近の傾向として、従来の愉快犯等による表面的な改ざんばかりではなく、ホームページのスクリプトリンク設定などの目に見えない部分を改ざんすることで、閲覧するだけでウィルス感染させたり、フィッシングサイトに誘導したりする攻撃が増加しています。こうしたウェブサイトの改ざんは、サイトの所有者にとっては被害者となるとともに、サイトにアクセスしたユーザーに対しては加害者となるため、企業や組織に与えるダメージは大きくなります。

第7位の「審査をすり抜け公式マーケットに紛れ込んだスマートフォンアプリ」について、以前から不正なスマートフォンアプリは存在していましたが、昨年は安全とされていた公式マーケットにも不正アプリが紛れ込み、ダウンロードされたという事象が確認されました。公式マーケットのアプリについても、開発者、機能、アクセス権限等の確認が求められます。

第8位の「内部不正による情報漏えい」は昨年の2位から順位が落ちましたが、決してこうした事件が減少している訳ではありません。これまでと同様、外部からの不正アクセスによる情報漏えいよりも、悪意のある組織内部の人間によって外部に情報が持出されることが多いと考えられています。情報の重要度に応じたアクセス権の設定、アクセスログのモニタリング、重要情報にアクセス可能な委託業者等の適切な監督、といった対策が求められます。

第9位の「悪質化するワンクリック請求」ですが、手口が年々巧妙化しています。特にソーシャルエンジニアリングの手法を適用してユーザーの不安や焦燥感を煽り、不正請求に対する支払いを誘発させるような手口が出現しています。(参考:「ソーシャルエンジニアリングについて」)

第10位の「対策情報の公開に伴い公知となる脆弱性の悪用増加」についてですが、随時公開される脆弱性情報は悪意のある攻撃者にとっても有益な情報であり、脆弱性の対策が遅れているサイトに対して素早く攻撃を行うことで、攻撃の成功確率を上げることが可能になります。セキュリティ担当者は脆弱性情報に注目し、発表され次第速やかに対応することが必要です。

時系列で見た10大脅威の推移

今回選出された10大脅威の過去からの推移状況は以下の通りです。
情報セキュリティ10大脅威推移
今年度版を見ると、概ね昨年の順位からの変動が少ないものが多いのですが、一方で大きく順位が変動したのが以下の3項目です。

第3位:「ランサムウェアを使った詐欺・恐喝」
第8位:「内部不正による情報漏えい」
第9位:「巧妙・悪質化するワンクリック請求」

最近注目され始めた第3位のランサムウェア以外の項目は、いわゆるネット犯罪が注目され始めてから継続して行われている事象です。昨年も申し上げましたが、このランキングについては、どうしてもその年の話題性に左右される傾向があります。「内部不正による情報漏えい」は一昨年のベネッセコーポレーションの顧客情報漏えいに匹敵する事件が無いから順位を下げたと思われても仕方のない動きです。「内部不正による情報漏えい」も「巧妙・悪質化するワンクリック請求」も規模の大小にかかわらず継続して行われていることであり、発生状況や被害が減少したとは言えない状況です。
その意味ではランキングに惑わされることなく、自分の周りの仕事環境や生活環境から起こりうる事象を中心に、ウィルス定義やセキュリティパッチの随時更新等、当たり前のように言われている対策を地道に継続していくことが重要です。

対象別で見た10大脅威

今回は前回までの総合的な10大脅威に加えて、被害等の影響を受ける対象として以下の分類ごとの10大脅威も併せて発表されています。
・「組織」:企業 、政府機関・公共団体などの組織、およびその組織内のユーザー
・「個人」:スマートフォンやパソコンでインターネットを利用する一般ユーザー
対象別の10大脅威は以下の通りです。
対象別10大脅威2016

両者を並べてみると、影響を受ける対象によって、脅威の重大性の違いが明確になっています。組織の10大脅威の1位「標的型攻撃による情報流出」、2位「内部不正による情報漏えい」は一般に個人に対して行われるものではないので、個人のランキングに入っていません。一方でPCやスマートフォンで操作するウェブサービスに関する脅威が個人の10大脅威の上位にランキングされています。

組織の10大脅威第4位の「サービス妨害攻撃によるサービス停止」とは、一般にDDoS攻撃として知られているもので、標的とするWebサイトなどに処理能力を上回るデータを送信することでWebサイトのサービス提供を妨害する攻撃です。昨年後半から今年にかけて、官公庁や大企業のサイトが相次いでDDoS攻撃を受けています。こうした攻撃は政治的、思想的な背景に基づいて行われていることもあり、今後も行われる可能背が高いと考えられます。

個人の10大脅威では第6位の「匿名によるネット上の誹謗・中傷」、第8位の「情報モラル不足によるサイバー犯罪の低年齢化」、第9位の「職業倫理欠如による不適切な情報公開」といった、ネットユーザーのモラルに関する内容が複数取り上げられています。報道等では未成年者や若年層による不適切行為が話題になっていることが多いですが、実際にはあらゆる世代のネットユーザーの一部によって、倫理観の欠如した様々な行為が行われています。学校などの教育現場ではIT教育が行われていますが、インターネットにアクセスするにあたってのモラルや法令遵守に関する教育に時間を割いてもらいたいものです。同様に、社会人などに対しても企業や様々なコミュニティでの注意喚起や教育を行っていかなければならないでしょう。

我が国では今年も2月1日~3月18日までを「サイバーセキュリティ月間」とし、サイバーセキュリティに関する普及啓発が強化されています。この機会に発表された情報セキュリティ10大脅威を参考にして自組織のセキュリティ対策状況を確認してみては如何でしょうか。

上記内容に関するご相談やお問い合わせについては、「お問い合せ」のページからご連絡ください。

デルタエッジコンサルタントではサイバーセキュリティや情報セキュリティに関する
・セキュリティ簡易診断
・規程や手順書の策定、見直し支援
・セキュリティ対策状況の現状評価と改善提案
・従業員等に対するセキュリティ研修の支援
といったコンサルティングサービスを提供しております。

また、経営者や事業責任者を対象にしたセキュリティに関するアドバイザリサービスを提供しています。

詳細はこちらをご覧ください。
==>「コンサルティングサービス-リスク管理」のページ

興味や関心がございましたら、ぜひご連絡ください。

コンサルティングサービス-リスク管理
お問い合わせ