IPAが「情報セキュリティ10大脅威 2023」を発表 ランサムウェアやフィッシングはどの程度危険？

IPAが「情報セキュリティ10大脅威 2023」を発表した。個人に対する脅威と組織に対する脅威に分かれており、ランサムウェアやサプライチェーン攻撃、標的型攻撃などさまざまな脅威が登場した。2022年版と比較して状況はどのように変わったのだろうか。

[畑陽一郎，キーマンズネット]

　情報処理推進機構（IPA）は2023年1月25日、「情報セキュリティ10大脅威 2023」を発表した。フィッシング攻撃や不正アプリケーション、標的型攻撃、内部不正、ビジネスメール詐欺などの脅威が挙がった。

　IPAは情報セキュリティ対策の普及を目的に、2006年から10大脅威を発表している。2022年版と比較して、注意すべき脅威動向はどう変化したのだろうか。2023年の10大セキュリティ脅威をまとめたものが、以下の図だ。

情報セキュリティ10大脅威 2023（出典：IPAの発表資料）

組織に対する脅威は？

　今回、組織に対する脅威に新しい項目が加わった。

　10位の「犯罪のビジネス化（アンダーグラウンドサービス）」だ。ダークWebなどでは、攻撃用のツールや攻撃ターゲットのリストが販売されているため、経験の少ない犯罪者でも比較的高度な攻撃を仕掛けることができる。

　1位のランサムウェアによる被害は2019年時点で3位、2020年には5位だったものの、2021以降は1位の座を守っている。2位の「サプライチェーンの弱点を悪用した攻撃」は2019〜2021年に4位、2022年に3位であり、危険性が増していることが分かる。

　IPAはランサムウェア攻撃の「侵入口」を4つ挙げている。メールの添付ファイルやリンク、改ざんされた第三者のWebサイト、ソフトウェアの脆弱（ぜいじゃく）性、攻撃対象となった企業サーバに対する不正アクセスだ。予防策がそれぞれ異なるため、リストを作って順につぶしていく必要がある。

個人に対する脅威は？

　個人に対する脅威については10位に「ワンクリック請求等の不当請求による金銭被害」が加わったものの、順位の変動はわずかだった。

　1位の「フィッシングによる個人情報等の詐取」は2019〜2021年は2位、2022年は1位であり、上位を維持している。2位の「ネット上の誹謗・中傷・デマ」は2019年に5位、2020年に7位、2021年に3位、2022年は2位であり、順位が上昇傾向にある。

　IPAは「情報セキュリティ10大脅威 2022」解説書で、フィッシングについて被害の予防や早期検知の方法、事後対応を紹介している。例えば予防策として重要情報を扱うWebサイトはブックマークからアクセスする他、多要素認証を有効にすることを挙げている。

　なお、経済産業省は「クレジットカード決済システムのセキュリティ対策強化検討会」において、フィッシング攻撃によるクレジットカード番号の奪取などを防ぐ対策をまとめている。利用者個人だけで取り得る対策には限界があるため、クレジットカード会社になりすましを検知する機能の導入を求めている。

　情報セキュリティ10大脅威 2023は、2022年に発生した社会的に影響が大きかったと考えられる事案を基にしている。IPAが脅威候補を選出し、情報セキュリティ分野の研究者、企業の実務担当者など約200人のメンバーからなる「10大脅威選考会」が審議、投票後、決定した。

　なお、IPAは2023年2月下旬に無償の「情報セキュリティ10大脅威 2023」解説書を公開し、その後、順次「情報セキュリティ10大脅威の活用法」「情報セキュリティ10大脅威 2023 知っておきたい用語や仕組み」などの関連情報が続く予定だ。

情報セキュリティ10大脅威 2023