現在、ITは様々な場で利用されています。ビジネスにおいても必須のものとなり、日々技術は発展し続けています。

一方でそれに伴い、企業のデータなどを狙うサイバー攻撃も年々変化・巧妙化しています。

IPA（独立行政法人情報処理推進機構）は、セキュリティ対策の取り組みと普及の一助となることを目的として、IPAに届け出のあったセキュリティ情報や報道、攻撃の状況などから脅威を選出した「情報セキュリティ10大脅威」という資料を毎年公開しています。

今回は、この「情報セキュリティ10大脅威」の内容について詳しく見ていきましょう。

情報セキュリティ10大脅威とは

2018年「情報セキュリティ10大脅威」についての記事でも書いていますが、情報セキュリティ10大脅威は、社会的に影響が大きかったと考えられる情報セキュリティにおける事案のランキング上位10個を指したものです。

この10大脅威の選出方法は、まずIPA（情報処理推進機構）が脅威候補の選出を行います。そして、情報セキュリティ分野の研究者や企業の実務担当者など、約100名のメンバーで構成された「10大脅威選考会」が、その脅威候補に対して審議・投票を行って決定するという流れです。

IPAはこの資料について以下のように説明しています。

本書「情報セキュリティ10大脅威 2020」は、情報セキュリティ専門家を中心に構成する「10大脅威選考会」の協力により、2019年に発生したセキュリティ事故や攻撃の状況等から脅威を選出し、投票により順位付けして解説した資料である。「個人」と「組織」という異なる立場で、それぞれの脅威を順位付けし、立場毎に10大脅威を決定した。

各脅威が自分自身や自組織にどう影響するか確認しながら本書を読み進めることで、様々な脅威と対策を網羅的に把握できる。

本書が、読者自身のセキュリティ対策への取り組みと、各組織の研修やセキュリティ教育等に活用されることによるセキュリティ対策の普及の一助となることを期待する。

情報セキュリティ10大脅威 2020：IPA 独立行政法人 情報処理推進機構

最新版の「情報セキュリティ10大脅威 2020」では以下の結果となっています。

情報セキュリティ10大脅威：個人

　　　（）内は昨年順位

　　1位：スマホ決済の不正利用　（NEW）

　　2位：フィッシングによる個人情報の詐取　（2位）

　　3位：クレジットカード情報の不正利用　（1位）

　　4位：インターネットバンキングの不正利用　（7位）

　　5位：メールやSMS等を使った脅迫・詐欺の手口による金銭要求　（4位）

　　6位：不正アプリによるスマートフォン利用者への被害　（3位）

　　7位：ネット上の誹謗・中傷・デマ　（5位）

　　8位：インターネット上のサービスへの不正ログイン　（8位）

　　9位：偽警告によるインターネット詐欺　（6位）

　　10位：インターネット上のサービスからの個人情報の窃取　（12位）

情報セキュリティ10大脅威：企業

　　　（）内は昨年順位

　　1位：標的型攻撃による機密情報の窃取　（1位）

　　2位：内部不正による情報漏えい　（5位）

　　3位：ビジネスメール詐欺による金銭被害　（2位）

　　4位：サプライチェーンの弱点を悪用した攻撃　（4位）

　　5位：ランサムウェアによる被害　（3位）

　　6位：予期せぬIT基盤の障害に伴う業務停止　（16位）

　　7位：不注意による情報漏えい（規則は遵守）　（10位）

　　8位：インターネット上のサービスからの個人情報の窃取　（7位）

　　9位：IoT機器の不正利用　（8位）

　　10位：サービス妨害攻撃によるサービスの停止　（6位）

五年連続で「標的型攻撃による機密情報の窃取」が一位に

企業における脅威では、「標的型攻撃による機密情報の窃取」が一位となりました。

「標的型攻撃による機密情報の窃取」が一位となるのは今回が初めてではなく、「情報セキュリティ10大脅威 2016」から五年間連続で一位を獲得し続けています。

攻撃方法は主に以下の三つです。

メールの添付ファイル、リンクを開かせる

攻撃者から届いたメールの添付ファイルやリンクを開くとPCにウイルスを感染させます。件名や差出人は取引先や業務に関する内容などに偽装されている場合もあります。

ウェブサイトの改ざん

いわゆる水飲み場型攻撃で、標的企業がよく訪問するサイトを、そのページを閲覧するだけでウイルスに感染するよう改ざんする方法です。

不正アクセス

標的企業が利用しているクラウドサービスやWEBサーバなどの脆弱性を突き、情報の奪取や内部ネットワークへの侵入などを行います。

サイバー攻撃に対する対策は

標的型攻撃のほかにも、企業を狙うサイバー攻撃も数多くランクインしました。

例えば数年前から猛威を振るい続けるランサムウェアは5位に、取引先や自社の役員になりすまし偽口座へ送金させるビジネスメール詐欺は3位に選ばれています。また、最近被害報告が急増した「Emotet」というマルウェアの存在など、攻撃方法もより多彩に、より巧妙になっています。

企業の情報や資金などを狙うサイバー攻撃に対しては、最新の攻撃手法情報などを積極的に収集・周知し、社員に対して添付ファイルやURLを不用意に開かないなどのセキュリティ教育を実施していくなどの対策が非常に重要です。

ランサムウェアに関してはこちらの記事で対策方法をご紹介しています。

また、上記ではWEB改ざんによる攻撃方法を書きましたが、もちろん自社のWEBサーバに攻撃を受け、WEBの改ざんや情報流出などの被害を受ける可能性もあるということを忘れてはいけません。

「SQLインジェクション」や「クロスサイトスクリプティング」、「ポートスキャン」などWEBサーバへの攻撃種類は数多いのに対し、WEBサーバへの攻撃を防ぐセキュリティ機器は「ファイアウォール」「IPS/IDS」「WAF」と三種あり、それぞれ防御範囲、すなわち防げる攻撃が異なります。そのため、この三つを組み合わせた防御壁を組むことが望ましいです。

もしまだIPS/IDSやWAFを導入していない場合、いきなりそれらの導入を検討するのではなく、まず自社への攻撃があるかを確認してみてはいかがでしょうか。

当社では、クラウドサービス型の「WEBサーバ攻撃診断サービス」を無償で行っています。
「WEBサーバ攻撃診断サービス」は、一ヵ月間攻撃の測定と防御を行い、実際にWEBサーバが受けた「攻撃の日時」「攻撃手法」「攻撃基点」「攻撃の数と割合」をグラフで表した結果報告に、攻撃結果を基にしたセキュリティアドバイスを付けた「防御証明報告書」をお渡ししています。