情報セキュリティ10大脅威2021から読み解くサイバーテロの傾向
2021年IPA(独立行政法人 情報処理推進機構)が「情報セキュリティ10大脅威2021」を発表しました。情報セキュリティ10大脅威の発表は、その年のセキュリティ対策を検討する上で重要な指標となります。
本記事では2021年に発表された情報セキュリティ10大脅威の内容を紐解きつつ、近年の情報セキュリティ対策に重要な観点を紹介します。
セキュリティ対策にお悩みの方は参考になさってください。
目次
「情報セキュリティ10大脅威」とは何か
冒頭で「情報セキュリティ10大脅威」について重要な指針となるものと説明しましたが、具体的にはどういったものなのでしょうか。
10大脅威を発表しているIPAのサイトでは以下のように紹介されています。
“「情報セキュリテイ10大脅威」は、その年に発生した社会的に影響が大きかったと考えられる情報セキュリティにおける事案から、IPAが脅威候補を選出し、情報セキュリティ分野の研究者、企業の実務担当者など約160名のメンバーからなる「10大脅威選考会」が脅威候補に対して審議・投票を行い、決定したものです。”
IPAの公式サイトにあるように「情報セキュリティ10大脅威」は、専門家や実務経験者からなる構成員で委員会を設立し、10大脅威について話し合った結果をもとに発表しているものです。
そのため、その年の状況などを反映した内容のものが毎年発表されます。
ランキング「情報セキュリティ10大脅威2021」の 概要
続いて、実際に2021年のランキング10位までを見ていきます。
| 順位 | 昨年順位 | |
|---|---|---|
| 1位 | ランサムウェアによる被害 | 5↑ |
| 2位 | 標的型攻撃による機密情報の窃取 | 1位↓ |
| 3位 | テレワークなどのニューノーマルな働き方を狙った攻撃 | 新規 |
| 4位 | サプライチェーンの弱点を悪用した攻撃 | 4位→ |
| 5位 | ビジネスメール詐欺による金銭被害 | 3位↓ |
| 6位 | 内部不正による情報漏洩 | 2位↓ |
| 7位 | 予期せぬIT基盤の障害に伴う情報漏洩 | 6位↓ |
| 8位 | インターネット上のサービスへの不正ログイン | 16位↑ |
| 9位 | 不注意による情報漏洩などの被害 | 7位↓ |
| 10位 | 脆弱性対策情報の公開に伴う悪用増加 | 14位↑ |
上の表からも読み取れる通り、たったの1年でも大きく順位は変動します。
そのため正しく情報セキュリティ対策を行うためには、毎年最新情報をチェックする必要があります。
【個人面】
先述したランキングは組織面の物ですが、ここでは個人面の脅威と組織面の2つに分けて、ご説明します。
先に個人面の10大脅威をご紹介します。
1位 スマホ決済の不正利用
近年スマートフォンの普及が急速に進んだのと同時に、決済方法の一つにスマートフォンを利用した決済(スマホ決済)が登場するようになりました。さまざまなスマホ決済サービスが普及する中で、第三者のなりすましによる不正利用や、連携させた銀行口座からの不正な引き落としなどの被害が増加しています。
2位 フィッシングによる個人情報の搾取
フィッシング詐欺は、有名な企業や公的機関を名乗ったメールやSMSを送信し、公式のHPなどを模倣して作成したフィッシングサイトに誘導することで、個人情報を入手する詐欺です。入力された個人情報を悪用し、金銭被害につながる事例も多くあります。
3位 ネット上の誹謗・中傷・デマ
インターネットの特徴の1つである、匿名性を悪用し、特定の個人や組織に対する誹謗中傷を行tたり、デマを発信したりする事例が多く発生しています。精神的苦痛や営業妨害の被害者が多いです。
4位 メールやSMSなどを使った脅迫・詐欺の手口による金銭要求
個人情報を漏らすと脅迫したり、使用した覚えのない有料サイトの未納料金を請求する偽メールなどを用いた金銭被害が増加しています。公的機関を装った偽の相談窓口へ案内する手口も流行しています。
5位 クレジットカード情報の不正利用
キャッシュレス化に伴い、使用頻度の増えているクレジットカードは、フィッシングサイトやクレジット情報が連携されているサービスを狙った不正アクセスによってカード情報を入手し、クレジットカードを不正利用される被害が多く発生しています。
6位 インターネットバンキングの不正利用
フィッシング詐欺やウイルスへの感染によって、インターネットバンキングも認証情報を抜き取られ、不正な送金や不正利用され被害者が多く確認されています。
7位 インターネット上のサービスからの個人情報の窃取
ショッピングサイトなどのインターネットサービスから、そのサービスの脆弱性を悪用した不正ログインが行われ、登録者の個人情報が漏洩する事例が多く発生しています。個人情報が漏洩したことから、クレジットカードを不正利用される被害が生じています。
8位 偽広告によるインターネット詐欺
インターネット上のサイトにおいて、突然ウイルス感染などの偽のセキュリティ警告画面を表示し、不審なソフトのダウンロードや、偽の相談員による電話サポートを通した違法な契約案内などを行う詐欺が発生しています。
9位 不正アプリによるスマートフォン利用者への被害
スマートフォンに意図せず不正アプリをインストールしてしまい、端末上の個人情報が漏洩する被害が生じています。公式サイトや偽SMS内に不正アプリにつながる情報が盛り込まれていることが多いです。
10位 インターネット上のサービスへの不正ログイン
同じパスワードを使い回して登録している人を狙い、インターネット上のサービスに不正ログインされ、金銭情報や個人情報を抜き取られる被害が増えています。
【組織面】
続いて組織面での10大脅威をご説明します。
1位 ランサムウェアによる被害
ランサムウェアとは、ウイルスの一種でP Cやサーバー、スマートフォン端末がウイルスに感染すると、蓄積されている情報が暗号化され、使用できなくなったり、画面がフリーズして端末の利用ができなくなります。そしてそれらの修復を担う代わりに金銭を要求する被害が生じています。
2位 標的型攻撃による機密情報の窃取
特定の企業や民間団体や観光料などの公的機関などから機密情報を窃取することを目的とした標的型攻撃の被害が継続的に生じています。
3位 テレワークなどのニューノーマルな働き方を狙った攻撃
新型コロナウイルスが世界的に蔓延に伴い増加したテレワークなどのニューノーマルな働き方を悪用し、Web会議サービスやVPNなどの活用機会を狙って攻撃をされる被害が生じています。
4位 サプライチェーンの弱点を悪用した攻撃
セキュリティー対策がしっかり行われている企業を直接攻撃するのではなく、その企業が構成するサプライチェーンの中で、セキュリティ対策が脆弱な取引先などをターゲットにした手口による被害が増加しています。
5位 ビジネスメール詐欺による金銭被害
ビジネスメール詐欺では、偽のメールを企業に送信し、従業員を騙して送金取引に関連する資金や情報を窃取されるなどの金銭被害をもたらします。
6位 内部不正による情報漏洩
組織に勤務している従業員や元従業員などによる機密情報の外部への持ち出しや、悪用などの不正が増加しています。組織内の情報管理のルールを守らなかったために、情報を外部に持ち出し、紛失や情報漏洩につながる事例も発生しています。
7位 予期せぬIT基盤の障害に伴う情報漏洩
組織が業務内で使用しているネットワークやクラウドサービスなどのIT基盤にエラーが生じ、長時間利用者や従業員がサービスを利用できなくなる事例があります。IT基盤の障害はシステムの可用性を侵害する恐れのある情報セキュリティリスクです。
8位 インターネット上のサービスへの不正ログイン
組織が利用・提供しているサービスに対して不正操作が行われ、登録者の情報などの個人情報の接種や、不正に操作される被害が生じています。
9位 不注意による情報漏洩などの被害
組織内の情報管理体制の不備や、情報リテラシー不足によって、個人情報や機密情報が漏洩してしまう事例が発生しています。
テレワークなどの働きかたが導入されたことによって、増加傾向にあります。
10位 脆弱性対策情報の公開に伴う悪用増加
ソフトウェアの脆弱性対策情報を公開することによって、攻撃者に利用されてしまい、対策を行なっていないシステムを特定に狙った攻撃を受ける被害が生じています。
ランキングから見るサイバーテロの特徴
ランサムウェアや標的型攻撃などのサイバーテロが上位にランクインしていることから、無差別なサイバー攻撃から標的を明確に定めた攻撃方法に変化している傾向にあります。
また、テレワークの導入など、新たな働き方が導入されるようになり、業務環境の急激な変化に追いつかず、対策が手薄になっている企業を狙った攻撃も増加傾向にあります。
こういった傾向を踏まえて、近年のサイバーテロへの対策を強固なものにしましょう。
注意すべき攻撃と対策
先述したように、近年はランサムウェアや標的型攻撃などの攻撃方法が主要になっています。業務で使用するパソコンや端末のOSやソフトウェアをはじめ、ルーターやネットワーク機器の最新バージョンを調べ、バージョンアップを行うなど、定期的なチェックを行いましょう。
そして何より重要なことは、組織内のセキュリティ意識やリテラシーの向上を図ることです。現在のサイバー攻撃はメールやSMSなどを経由した攻撃が非常に多く、社内の顔見知りからのメール連絡なども注意をし、少しでも違和感を覚えた場合は本人確認を取るなど、セキュリティ意識を高くもち、慎重に行いましょう。
まとめ
いかがでしたか?
本記事では2021年のセキュリティ10大脅威について、概要やそれぞれの特徴などについてご紹介しました。
情報を扱う企業の増加に伴い、サイバーテロや情報漏洩事故も増加している今、情報を扱う上で情報セキュリティ管理は欠かせません。
近年のサイバーテロの情報を把握し、正しい情報セキュリティ対策を講じましょう。
情報セキュリティ管理に関して不安を抱えていらっしゃる事業者様は、コンサルティング会社へ相談してみるのも一つの手です。
株式会社UPFでは、数多くの企業様の情報セキュリティ管理に関してサポートしてきた実績があります。
情報セキュリティ管理に関してお悩みの企業様・ご担当社様は、Pマーク取得の実績No.1のコンサル会社UPFまでどうぞお気軽にお問い合わせください。
この記事を書いた人
株式会社UPF
同じテーマの記事はこちら
JIS Q 15001とは何か?Pマークとの関連性から活用メリットまで解説します
JIS Q 15001とはどのように活用されるものなのでしょうか。また、JIS Q 15001について調べると必ず目にするPマークはどのようなもので、JIS Q 15001とはどの […]
ISMAP管理基準とは?徹底的に解説!
日本初の情報セキュリティ評価制度ISMAPについてご存じでしょうか? 近年テレワークの拡大やDX化の促進によりクラウドサービスへの関心が高まっています。 本記事ではISMAPの概要 […]
ISMAPクラウドサービスリストとは?徹底的に解説!
日本初の情報セキュリティ評価制度ISMAPについてご存じでしょうか? まだまだ馴染みのない言葉だと思います。今後デジタル化がさらに加速する中で多くのクラウドサービスが開発されていく […]
isms認証とiso27001認証との違いを徹底解説!
情報セキュリティの管理を考える上で、無視できないのがISMS認証です。この名称を聞いたことがある人も多いのではないでしょうか。その他にはISO27001認証、Pマーク等、ISMS認 […]
ISMAPのメリット、登録方法まで徹底解説!
ISMAPは2020年6月から運用が始まっています。2021年3月に初めてISMAPのクラウドサービスリストが公開され、四半期ごとに更新されています。 この記事では、ISMAPの解 […]
