作成日:2014/3/24

先日、情報処理推進機構(IPA)から「2014年版 情報セキュリティ10大脅威」が発表されました。このレポートは毎年、情報セキュリティ分野の研究者、企業などの実務担当者などから構成される「10大脅威執筆者会」メンバーの審議・投票によってトップ10を選出し、各脅威についてメンバーの知見や意見を集めて解説したものです。

2013年度の10大脅威

今回選出された10大脅威は、以下の通りです。

順位セキュリティ脅威内容
1位標的型メールを用いた組織へのスパイ・諜報活動
2位不正ログイン・不正利用
3位ウェブサイトの改ざん
4位ウェブサービスからのユーザー情報の漏えい
5位オンラインバンキングからの不正送金
6位悪意あるスマートフォンアプリ
7位SNS への軽率な情報公開
8位紛失や設定不備による情報漏えい
9位ウイルスを使った詐欺
10位サービス妨害

第1位の「標的型メールを用いた組織へのスパイ・諜報活動」は、インターネットを介して組織の機密情報を盗み取るスパイ型の攻撃です。近年は、メールで実行ファイルを送りつける等の、ITの脆弱性を使わない手段や、ゼロデイアタックによるケースが増えており、従来の脆弱性対策による水際防衛が困難になってきています。また、攻撃対象も政府機関から民間企業に拡大する傾向にあり、国益や企業経営を揺るがす懸念事項となっていることが選定理由となっています。

第2位の「不正ログイン・不正利用」は、攻撃者による不正なログインと、これに伴うサービスの不正利用や情報漏えい等の事件が頻発したことに由来します。この脅威の要因の一つとして、複数サイトでのパスワード使い回しが指摘されています。様々なWebサービスが提供され、その利用が拡大する一方で、サービスを利用するための認証情報が使い回されると、どれか一つのサービスの認証情報から芋づる式に他のサービスも不正使用されることにつながります。そのため、個々人の保有する認証情報をどう管理するか考えていかなければならないことが注意喚起されています。

第3位の「ウェブサイトの改ざん」は、以前の見た目でわかるような改ざんや差し替えではなく、Webページのソースコード内にウイルスをダウンロードさせる等の不適切な攻撃コードを埋め込むよう改ざんすることで、当該Webページを閲覧したユーザーが知らない間に被害を受ける脅威です。最近では、WordPress等のコンテンツ管理システム(CMS)の普及が進んでいることから、CMSに脆弱性がある場合は同じ攻撃手法が対象となるCMSを使用するウェブサイトのすべてで適用できてしまうため、大規模な攻撃に発展しやすいと考えられます。

この他では、いわゆる「バカッター」に代表される、SNSへの不適切な投稿や、職務に関係する情報の軽率な投稿によって、企業や組織が損害を受ける脅威が第7位に入っています。また、第9位の「ウイルスを使った詐欺」とは、ランサムウェアと呼ばれる、パソコンをロックしたり暗号化したりするウイルスを感染させ、パソコン操作の回復を人質にとる形で身代金を要求するという、新しい形式の被害が増加傾向にあることに由来します。

時系列で見た10大脅威の推移

2013年度に選出された10大脅威に関して、過去5年間の推移状況は以下の通りです。

上位6項目は過去5年間も10大脅威に選出されることが多く、年とともに手段が高度化、複雑化し、被害も拡大化、重大化していると考えられます。第7位の「SNSへの軽率な情報公開」については、これまでの技術的な、あるいは管理上の問題ばかりでなく、個々人のモラルについても大きな社会問題を引き起こす可能性があるという点で特徴ある項目だと思います。

一方で、「自然災害等による予期せぬ業務停止」については、今回は圏外となりました。この10大脅威がどうしてもその年の話題性にも左右される傾向があるように感じられるのですが、業務停止の要因は自然災害ばかりでなく、サイバー空間の攻撃という可能性もあります。また、BCP対応も鈍化傾向にあるような調査結果もあるので、注意喚起も含めて選出した方がよいのではと思います。

今後の対応

今回の発表内容では、セキュリティ脅威の項目は過去から継続する内容が多いですが、その内容は高度化、複雑化が進んでいるとともに、相互の関連性も強くなっていると考えられます。また、その影響も個人や企業単体へのダメージばかりでなく、安全保障の領域にまで拡大してきています。その意味では、従来のセキュリティマネジメントの枠では収まらない、社会的、政治的な領域も考慮しなければならないと思います。

今回の1位である標的型攻撃については、ターゲットを特定する活動は必ずしもサイバー空間で行われるとは限らず、人的な情報収集も含めた複合的な手段で行われ、ターゲットとなる個人の交友関係や生活習慣から攻撃を受けるので、個々人が対応すべきセキュリティリスクも企業で使用するPCの取扱いだけでなく、生活全体で意識する必要もあると思います。

また、情報技術の進化、高度化が社会に恩恵をもたらす一方で、セキュリティ脅威も確実に増大してきています。企業におけるBYODの動きは個々人の所有するモバイル端末も企業の守るべき対象とする必要があります。BYODによる利便性の恩恵とセキュリティコストのバランスを考慮した利用方針を策定するとともに、必要に応じて組織全体のセキュリティ体系も見直す必要があると考えます。

さらに、情報端末やSNSの普及は成人した社会人と同等のアクセスを未成年者にも許してしまうことから、インターネットを使用する際のモラルについても今後は重大な社会問題になると考えられます。未成年者に対する指導は家庭や教育機関に委ねるところが大きいのでここでの意見は差し控えますが、従業員に対するセキュリティ教育にモラル的な側面を組み込むことで、家庭へフィードバックする仕組みができるのではないかと考えます。

上記内容に関連した具体的な相談や問い合わせについては、問合せフォームにてご連絡ください。
お問い合わせ