IPAが情報セキュリティ 10大脅威 2018を決定

今年1月末に仮想通貨の流出事件が発生するなど、情報セキュリティに関する事件や事故は、依然として後を絶ちません。こうした中、IPA（独立行政法人情報処理推進機構）は1月30日に、「情報セキュリティ10大脅威 2018」を発表しました（※）。

（※）IPA「情報セキュリティ10大脅威 2018」を決定

ここでは組織の10大脅威を取り上げましたが、個人の10大脅威も発表しています。また脅威の概要等については、次のURLのページから確認いただけます。https://www.ipa.go.jp/security/vuln/10threats

標的型攻撃による情報流出が1位に

上記発表は、2017年に発生した社会的に影響が大きかったと考えられる情報セキュリ ティにおける事案から、IPAが脅威候補を選出、10大脅威選考会が決定したものです。そのうち「組織」の10大脅威をまとめると、下表のとおりです。1位は「標的型攻撃による情報流出」、2位は「ランサムウェアによる被害」となりました。

新たに選定された脅威の概要

次に、昨年のランク外から新たに10大脅威に選ばれた、「ビジネスメール詐欺」と「脆弱性対策情報の公開に伴い公知となる脆弱性

の悪用増加」の概要をIPA発表資料からご紹介します。

◆ビジネスメール詐欺

「ビジネスメール詐欺」（Business E- mail Compromise：BEC）は巧妙に細工したメールのやりとりにより、企業の担当者を騙し、攻撃者の用意した口座へ送金させる詐欺の手口である。詐欺行為の準備としてウイルス等を悪用し、企業内の従業員の情報が窃取されることもある。これまでは主に海外の組織が被害に遭ってきたが、2016年以降、海外取引をしている国内企業でも被害が確認されている。

◆脆弱性対策情報の公開に伴い公知となる脆弱性の悪用増加

脆弱性対策情報の公開は、脆弱性の脅威や対策情報を広く呼び掛けられるメリットがある。一方、その情報を攻撃者に悪用され、対策前のシステムを狙う攻撃が行われている。また、近年では脆弱性情報の公開後、その脆弱性を悪用した攻撃が本格化するまでの時間が短くなっている傾向がある。

まとめ

情報セキュリティ上の脅威には、様々なも のがあります。脅威に関する情報収集を行い、自社に必要な対応策を実施していくことが大 切です。