IPA(情報処理推進機構)公式サイトより
IPA(情報処理推進機構)は1月25日、情報セキュリティーにおける脅威のうち、2022年に社会的影響が大きかったトピックを「情報セキュリティ10大脅威 2023」として発表した。
IPAは情報セキュリティー対策の普及を目的として2006年から、前年に発生した情報セキュリティー事故や攻撃の状況等から脅威を選出し、上位10位を公表している。情報セキュリティ10大脅威 2023は、IPAが2022年に発生した脅威候補を選定し、情報セキュリティー分野の研究者、企業の実務担当者などおよそ200名のメンバーで構成する「10大脅威選考会」の投票を経て決定したもの。「個人」の立場と「組織」の立場でのランキングはそれぞれ以下のとおり。
「情報セキュリティ10大脅威 2023」
個人の順位では、「フィッシングによる個人情報等の詐取」が2年連続で1位となった。フィッシング対策協議会のフィッシング報告状況によると2022年の報告件数はおよそ97万件と、2021年のおよそ53万件から大幅に増加しており、一層の注意が必要だという。詐取された認証情報による不正ログインを予防するために多要素認証を有効にする、被害を早期に発見するために利用サービスのログイン履歴やクレジットカード等の利用明細を日常的に確認する、といった取り組みが大切となる。
組織の順位では、3年連続で「ランサムウェアによる被害」が1位になった。情報の暗号化のみならず窃取した情報を公開すると脅す「二重脅迫」に加え、DDoS攻撃を仕掛ける、被害者の顧客や利害関係者へ連絡するとさらに脅す「四重脅迫」が新たな手口として挙げられている。ランサムウェアの感染経路は多岐に渡るため、ウイルス対策、不正アクセス対策、脆弱性対策などの基本的な対策を、確実かつ多層的に適用することが重要となる。また、バックアップの取得や復旧計画を策定するといった、攻撃を受けることを想定した事前の準備が重要だとしている。
IPAでは今年新たに、多岐に渡る脅威に対して共通する対策をまとめて具体的に解説する「共通対策」を作成し、情報セキュリティ10大脅威 2023にランクインした各脅威の手口、傾向や対策などの詳しい解説とともに、2月下旬にIPAのウェブサイトで公開する予定。
