IPA、社会的影響大の事案から選んだ「情報セキュリティ10大脅威 2021」発表

情報処理推進機構（IPA）は、「情報セキュリティ10大脅威 2021」の個人部門と組織部門のランキングを発表した。

本データは、2020年に発生した情報セキュリティにおける事案の中から、社会的に影響が大きかったと考えられるものを驚異候補としてIPAが選出。

選出候補は、情報セキュリティ分野の研究者、企業の実務担当者など約160名のメンバーからなる「10大脅威選考会」が審議・投票を行い、「情報セキュリティ10大脅威 2021」として決定した。

順位 個人 昨年順位 1位 スマホ決済の不正利用 1位 2位 フィッシングによる個人情報等の詐取 2位 3位 ネット上の誹謗・中傷・デマ 7位 4位 メールやSMS等を使った脅迫・詐欺の手口による金銭要求 5位 5位 クレジットカード情報の不正利用 3位 6位 インターネットバンキングの不正利用 4位 7位 インターネット上のサービスからの個人情報の窃取 10位 8位 偽警告によるインターネット詐欺 9位 9位 不正アプリによるスマートフォン利用者への被害 6位 10位 インターネット上のサービスへの不正ログイン 8位

個人部門では2年連続で「スマホ決済の不正利用」「フィッシングによる個人情報等の詐取」のワンツーフィニッシュとなった。

スマホ決済は、ここ数年で一気に拡大したが、そのために問題も多く、2019年には不正アクセスとその後の対応のまずさでサービス終了してしまった「7pay（セブンペイ）」が大きな問題となり、2020年もPayPayのサーバが不正アクセス被害を受けたりと個人情報の流出の懸念がつきまとう。

また、「フィッシングによる個人情報等の詐取」についても、攻撃者のメール偽装などが巧みになり、騙される人が後をたたない。

順位 組織 昨年順位 1位 ランサムウェアによる被害 5位 2位 標的型攻撃による機密情報の窃取 1位 3位 テレワーク等のニューノーマルな働き方を狙った攻撃 NEW 4位 サプライチェーンの弱点を悪用した攻撃 4位 5位 ビジネスメール詐欺による金銭被害 3位 6位 内部不正による情報漏えい 2位 7位 予期せぬIT基盤の障害に伴う業務停止 6位 8位 インターネット上のサービスへの不正ログイン 16位 9位 不注意による情報漏えい等の被害 7位 10位 脆弱性対策情報の公開に伴う悪用増加 14位

1位になったランサムウェアによるデータ詐取は猛威を振るい、カプコンが社内データを盗まれたり、社内システムのデータを暗号化されてメールやファイルサーバーが使えなくなるという業務被害を受けたあげく、11億円ものデータ身代金の要求を受けたというニュースは記憶に新しい。

2020年はコロナ感染拡大によりテレワークなど、昨年までとは異なる組織の働き方、使用ツールの需要の高まりがあったことから「テレワーク等のニューノーマルな働き方を狙った攻撃」が新しく3位にランクイン。

一気にシェアを拡大したZoomがセキュリティの脆弱性を指摘されたり、VPN機器の脆弱性を突かれて不正アクセス被害を受けたりと、攻撃者の標的になっていた。

また、2021年の最新ニュースでは、システムエンジニアが年収診断のためにソフトウェア開発プラットフォームGithubへ三井住友銀行（SMBC）などのソースコードを公開していたという問題も発覚し、組織がいくら情報セキュリティ対策をしても、セキュリティに対する意識の低い個人により、重要な情報が漏洩してしまうという事も明らかになっている。

発表資料
URL:https://www.ipa.go.jp/security/vuln/10threats2021.html
2021/01/29