2023年1月25日に、情報処理推進機構(以下 IPA)が、情報セキュリティにおける脅威のうち、2022年に社会的影響が大きかったトピックを「情報セキュリティ10大脅威 2023」として公表しました。

「情報セキュリティ10大脅威」は毎年IPAから発表されており、その年のセキュリティ対策方針を考えるうえで重要なインプットとなります。

「情報セキュリティ10大脅威 2023」は、IPAが2022年に発生した脅威候補を選定し、情報セキュリティ分野の研究者、企業の実務担当者など約200名のメンバーで構成する「10大脅威選考会」の投票を経て決定したものです。
「個人」の立場と「組織」の立場でのランキングはそれぞれ以下のとおりです。

前年順位 個人 順位 組織 前年順位
1位 フィッシングによる個人情報等の詐取 1位 ランサムウェアによる被害 1位
2位 ネット上の誹謗・中傷・デマ 2位 サプライチェーンの弱点を悪用した攻撃 3位
3位 メールやSMS等を使った
脅迫・詐欺の手口による金銭要求
3位 標的型攻撃による機密情報の窃取 2位
4位 クレジットカード情報の不正利用 4位 内部不正による情報漏えい 5位
5位 スマホ決済の不正利用 5位 テレワーク等の
ニューノーマルな働き方を狙った攻撃
4位
7位 不正アプリによる
スマートフォン利用者への被害
6位 修正プログラムの公開前を狙う攻撃
(ゼロデイ攻撃)
7位
6位 偽警告によるインターネット詐欺 7位 ビジネスメール詐欺による金銭被害 8位
8位 インターネット上のサービスからの
個人情報の窃取
8位 脆弱性対策情報の公開に伴う悪用増加 6位
10位 インターネット上のサービスへの
不正ログイン
9位 不注意による情報漏えい等の被害 10位
圏外 ワンクリック請求等の
不当請求による金銭被害
10位 犯罪のビジネス化
(アンダーグラウンドサービス)
圏外

個人の順位では、1位は昨年同様「フィッシングによる個人情報等の詐取」で、順位の変動はあるものの、ほぼ昨年と同じになっており、
10位に「ワンクリック請求等の不当請求による金銭被害」が昨年圏外からのランクインとなりました。

組織の順位では、1位は昨年同様「ランサムウェアによる被害」で、順位の変動はあるものの、ほぼ昨年と同じになっており、10位に「犯罪のビジネス化(アンダーグラウンドサービス)」が昨年圏外からのランクインとなりました。近年のランサムウェア攻撃は、標的型攻撃と同様の手法で企業・組織のネットワークに侵入したり、データを暗号化するだけでなく窃取して公開すると脅したりして、身代金を支払わざるを得ないような状況を作り出します。標的型攻撃と同等の技術が駆使されるため、この攻撃への対策は、例えば、ウイルス対策、不正アクセス対策、脆弱性対策など、基本的な対策を、確実かつ多層的に適用することが重要です。また、どの組織でも被害に遭う可能性があることを念頭において、バックアップの取得や復旧計画を策定するなど、事前の準備が重要です。

詳細については、IPAのサイトをご確認下さい。

なお、「情報セキュリティ10大脅威 2023」にランクインした各脅威の詳細は、2月下旬にIPAのウェブサイトで公開する予定との事です。