「前年と同じ」は良いこと？ 悪いこと？ IPAが「情報セキュリティ10大脅威 2024」を公表：組織向けは2022年と変わらずランサムウェアが1位

IPAは「情報セキュリティ10大脅威 2024」を公表した。2023年に発生した情報セキュリティ事案から、社会的に影響が大きかったトピックを「個人」の立場と「組織」の立場のそれぞれに選出した。

[＠IT]

　情報処理推進機構（IPA）は2024年1月24日、「情報セキュリティ10大脅威 2024」を公表した。2023年に発生した社会的に影響が大きかった情報セキュリティ事案から、IPAが脅威候補を選出し、情報セキュリティ分野の研究者や企業の実務担当者などからなる「10大脅威選考会」が脅威候補に対して審議、投票し、決定した。

ラインアップは同じでも、手口は巧妙化

　10大脅威は、「個人」の立場と「組織」の立場のそれぞれ選出されている。

個人

「個人」を対象とした10大脅威（提供：IPA）

• インターネット上のサービスからの個人情報の窃取
• インターネット上のサービスへの不正ログイン
• クレジットカード情報の不正利用
• スマホ決済の不正利用
• 偽警告によるインターネット詐欺
• ネット上の誹謗（ひぼう）、中傷、デマ
• フィッシングによる個人情報等の詐取
• 不正アプリによるスマートフォン利用者への被害
• メールやSMS等を使った脅迫、詐欺の手口による金銭要求
• ワンクリック請求等の不当請求による金銭被害

　今回、個人を対象とした脅威には順位が付いていない。IPAはこの理由を「下位の脅威への対策がおろそかになってはいけないため」と説明している。

組織

「個人」を対象とした10大脅威（提供：IPA）

1. ランサムウェアによる被害
2. サプライチェーンの弱点を悪用した攻撃
3. 内部不正による情報漏えい等の被害
4. 標的型攻撃による機密情報の窃取
5. 修正プログラムの公開前を狙う攻撃（ゼロデイ攻撃）
6. 不注意による情報漏えい等の被害
7. 脆弱性（ぜいじゃく）対策情報の公開に伴う悪用増加
8. ビジネスメール詐欺による金銭被害
9. テレワーク等のニューノーマルな働き方を狙った攻撃
10. 犯罪のビジネス化（アンダーグラウンドサービス）

　脅威は2022年と同じものが選出された。これについてIPAは「種類が同じであっても脅威を取り巻く環境は前年と同じというわけではなく、被害者をだます手口は常に更新されている」と警告している。

　「攻撃者は時機を見ながら、社会的に注目されているニュースや新しい技術などを駆使して攻撃を仕掛けることから、常日頃から脅威に関する最新情報に注意を払い、手口を知っておくことが重要だ」（IPA）