作成日:2015/3/5
2016年版の情報セキュリティ10大脅威に関するブログについては、 「情報セキュリティ10大脅威2016」 をご覧ください。 |
先月、情報処理推進機構(IPA)から「2015年版 情報セキュリティ10大脅威」が発表されました。このレポートは毎年、情報セキュリティ分野の研究者、企業などの実務担当者などから構成される「10大脅威執筆者会」メンバーの審議・投票によって、その年度で社会的影響が大きかった情報セキュリティ上の脅威トップ10を選出し、各脅威についてメンバーの知見や意見を集めて解説したものです。
今回も昨年と同様に内容を確認します。
2014年度の10大脅威
今回選出された10大脅威は、以下の通りです。
順位 | セキュリティ脅威内容 | 昨年順位 |
1位 | 「オンラインバンキングやクレジットカード情報の不正利用」 | 5位 |
2位 | 「内部不正による情報漏えい」 | 11位 |
3位 | 「標的型攻撃による諜報活動」 | 1位 |
4位 | 「ウェブサービスへの不正ログイン」 | 2位 |
5位 | 「ウェブサービスからの顧客情報の窃取」 | 4位 |
6位 | 「ハッカー集団によるサイバーテロ」 | ランク外 |
7位 | 「ウェブサイトの改ざん」 | 3位 |
8位 | 「インターネット基盤技術の悪用」 | ランク外 |
9位 | 「脆弱性公表に伴う攻撃の発生」 | ランク外 |
10位 | 「悪意のあるスマートフォンアプリ」 | 6位 |
第1位の「オンラインバンキングやクレジットカード情報の不正利用」とは、ウィルスやフィッシング詐欺によってオンラインバンキングの認証情報やクレジットカード情報が窃取され、本人になりすますことで不正利用や不正送金が行われた送金が行われた事件が多発したことによります。特に2014年度は、ターゲットが個人口座から法人口座に移った結果、被害金額が急増しました。
第2位の「内部不正による情報漏えい」は、ベネッセコーポレーションの顧客情報漏えい事件や東芝の技術情報漏えい事件に代表されるように、企業内部の重要情報を、アクセス権限のある内部の従業者(社員、委託先、等)が外部に漏えいした事件が社会的問題となったことによります。また、この影響により営業秘密の管理について注目されています。
第3位の「標的型攻撃による諜報活動」は、ウィルス感染したPCを外部からの遠隔操作によって組織の機密情報を盗み取るスパイ型の攻撃です。前年度から順位を落としましたが被害が減ったわけではなく、最近ではセキュリティの脆弱な取引先や関連組織の環境を踏み台にした攻撃を行う等、手口が巧妙化する傾向にあります。
今年度新たにランクインした項目を確認すると、第6位の「ハッカー集団によるサイバーテロ」は昨年末のソニー・ピクチャーズ・エンタテインメント(Sony Pictures Entertainment Inc.)に対するハッキング事件が記憶に新しいところです。この項目については、例えば社会インフラに関わるものがターゲットになった場合、大きな社会不安を起こすことにも成りかねません。また、国家レベルの組織がプレーヤーとなった場合、攻撃や被害の規模が大きくなることが予想されます。今後、注目する項目の一つだと思います。
第8位の「インターネット基盤技術の悪用」ですが、インターネットはもともと学術目的から実用化されてきた経緯もあるので、インターネットを構成する要素技術を悪用するという発想がそもそもなかったことに由来します。DNSや電子証明書の技術を悪用し、ウィルス感染されたサイトに誘導する等の攻撃がありました。
第9位の「脆弱性公表に伴う攻撃の発生」について、昨年度はOpen SSLやbashなどの脆弱性が公表されましたが、対策のされていないサイトに対する攻撃が頻発しました。サイト管理者はこれまで以上に、公表された脆弱性の対策を迅速に行う必要があります。
その他の項目も前年度から順位が落ちていますが、リスクが低くなった訳ではなく、むしろ手口が巧妙化、複雑化するとともに、被害が拡大する傾向にあります。また、攻撃の目的も愉快犯的な内容は少なくなり、一方で金銭的な目的が顕著に表れてきたと考えられます。また、第6位の「ハッカー集団によるサイバーテロ」見られるように、イデオロギー的な目的も今後増加する可能性があります。
時系列で見た10大脅威の推移
2014年度に選出された10大脅威の過去からの推移状況は以下の通りです。
2014年度の特徴として、前年度までの上位項目が軒並み順位を落としたこと、逆に前年度まで低い順位だったり圏外だったりした項目が、比較的高い順位に入ったことがあげられます。このランキングについては、どうしてもその年の話題性に左右される傾向にあるのですが今回も第1位、第2位は社会的話題性の大きさに由来するものと感じられます。一方で、継続的にランクインしている項目は前述の通り、リスクが低くなった訳ではなく、むしろその手口は巧妙化し、被害も大きくなっている傾向にあります。その意味では、個人ユーザへの攻撃よりは企業等の組織に対する攻撃に関する項目が増加したように感じます。
いずれにしろ、こうした攻撃の被害に遭わないためには、ウィルス定義の適時更新等、従前から言われている対策をしっかり行うとともに、新しい攻撃の手口がわかった時点で迅速に対応していくことが重要です。
上記内容に関する相談や問い合わせについては、問合せフォームにてご連絡ください。