IPAが「情報セキュリティ10大脅威 2022」を発表：ゼロデイ攻撃が初めてランクイン

IPAは「情報セキュリティ10大脅威 2022」を発表した。1位は「フィッシングによる個人情報等の詐取」と「ランサムウェアによる被害」だった。今回初めて「修正プログラムの公開前を狙う攻撃（ゼロデイ攻撃）」が7位に入った。

[＠IT]

　情報処理推進機構（IPA）は2022年1月27日、「情報セキュリティ10大脅威 2022」を発表した。1位は「フィッシングによる個人情報等の詐取」（個人向け脅威）と「ランサムウェアによる被害」（組織向け脅威だ。今回初めて「修正プログラムの公開前を狙う攻撃（ゼロデイ攻撃）」が7位に入った。

　情報セキュリティ10大脅威は、前年に発生した情報セキュリティ事故や攻撃の状況などから脅威を選出して、「個人」向けと「組織」向けのそれぞれの脅威について上位10位を公表したもの。IPAは情報セキュリティ対策の普及を目的に、2006年から発表している。

　今回、個人向けの脅威については順位の変動はあるものの、脅威の内容は2021年や2020年と全て同じだった。1位は、2019年から2年連続で2位だった「フィッシングによる個人情報等の詐取」。2021年にも大手ECサイトや金融機関などをかたった手口が多く確認されており、IPAはメールなどで送り付けられたURLを安易にクリック、タップしないよう注意を促している。

情報セキュリティ10大脅威 2022（提供：IPA）

組織向け脅威には変化あり

　一方、組織向けの脅威には変化があった。

　2021年版で8位だった「インターネット上のサービスへの不正ログイン」に替わって、「修正プログラムの公開前を狙う攻撃（ゼロデイ攻撃）」が初登場で7位に入った。それ以外の9つについては、順位に変化はあるもののランクインした脅威は同じ。

　初めてランクインしたゼロデイ攻撃の例は2021年12月に明らかになったJava用のログ出力ライブラリ「Apache Log4j」の脆弱（ぜいじゃく）性だ。

　Apache Log4jでは、既に攻撃が観測されているとの情報と同時に脆弱性対策情報が公開されている。同ライブラリは世界中のプログラムで広く使われているため、大きな話題になった。

　ゼロデイ攻撃の場合、修正プログラムが提供された時点で既に攻撃が行われているため、脆弱性対策に加え、外部からの侵入を検知／防御する機器を導入するなどの備えが重要だと、IPAは指摘している。