検索
特集

過去10年の「10大脅威」、決して変わらないセキュリティ対策とは特集:セキュリティリポート裏話(2)(1/2 ページ)

情報処理推進機構(IPA)が約10年にわたってまとめ、公表してきた「10大脅威」を参考に、セキュリティ脅威を取り巻く状況において何が変わり、何が変わらないのかを確認してみた。

Share
Tweet
LINE
Hatena

 先の記事「読んでおきたいセキュリティリポート・調査結果まとめ」では、さまざまなセキュリティ関連機関やベンダーが公表している調査結果や分析リポートを確認することによって、自分たちがどのような脅威に直面しているかを理解し、対策立案の指針として活用できることを紹介しました。

 このように幅広くさまざまな情報を得ることと同時に、過去にさかのぼって脅威や手口がどのように変化してきたかを理解し、「歴史」に学ぶことも有用です。そこで一つのヒントとして、情報処理推進機構(IPA)が約10年にわたってまとめ、公表してきた「10大脅威」を参考にしてみたいと思います。

 この「10大脅威」は、2006年3月から、基本的に年度末に公開されてきました。情報セキュリティの専門家、約100人からなる「10大脅威執筆者会」の協力を得て、その前年に発生したセキュリティ攻撃や事故の中から影響度が大きいと考えられるものを投票で選出し、対策とともにまとめています。

 この作成を担当しているIPA 技術本部 セキュリティセンター 情報セキュリティ技術ラボラトリー 研究員の土屋正氏によると、選出の基準となるのは、脅威の「影響度」。被害額や被害人数、メディアでの取り上げられ方も加味されますが、ユーザーや企業に与える影響を重視して選出されているそうです。

最新版の「10大脅威」、上位に並ぶのは「昔からある脅威」

 まず、現時点での最新版である「10大脅威 2015」では、どんな脅威が取り上げられていたかを確認してみましょう。

第1位 インターネットバンキングやクレジットカード情報の不正利用
第2位 内部不正による情報漏えい
第3位 標的型攻撃による諜報活動
第4位 Webサービスへの不正ログイン
第5位 Webサービスからの顧客情報の窃取
第6位 ハッカー集団によるサイバーテロ
第7位 Webサイトの改ざん
第8位 インターネット基盤技術の悪用
第9位 脆弱性公表に伴う攻撃
第10位 悪意のあるスマートフォンアプリ

 第一位は「インターネットバンキングやクレジットカード情報の不正利用」でした。「Banking Trojan」と呼ばれる、インターネットバンキングの利用者をターゲットにしたマルウエアによる不正送金被害、あるいはフィッシング詐欺による金銭的な被害です。警察庁によれば、2014年のインターネットバンキングによる不正送金被害額は、前年の約2倍に上る29億1000万円に達しました。たび重なる注意喚起にもかかわらず、個人だけでなく法人口座でも被害が広がっていることを受け、一位となったそうです。

 なお最新の2015年上半期の統計によれば、被害額はやや減少に転じたものの15億4400万円となっています。しかも都市銀行だけでなく、信用金庫や信用組合、農協などでの被害が増加しており「いまだに被害が発生している」(土屋氏)状況です。

 第二位は「内部不正による情報漏えい」、そして第三位は、2015年、日本年金機構における情報漏えい事件を機に大きくメディアで報じられた「標的型攻撃による諜報活動」でした。今年話題になった標的型攻撃では最初のトリガーとして、メールの添付ファイルが用いられましたが、その手口は昨年と変わらないようです。IPAでは2014年8月から10月にかけて、少なくとも国内5つの組織に対する標的型攻撃を確認していた他、日本語ワープロソフト「一太郎」の脆弱性を悪用してウイルスに感染させる攻撃も確認していました。

 土屋氏によると、これらはいずれも「昔からある脅威」だそうです。その時々で話題となっている攻撃や手口は変わりますが「脅威は大きく変わらない」と土屋氏は指摘します。

Copyright © ITmedia, Inc. All Rights Reserved.

       | 次のページへ

Security & Trust 記事ランキング

  1. 日本人の約半数が「1年前より危険」と考えるオンライン詐欺とは マカフィーがホリデーショッピング詐欺に関して調査
  2. 増える標的型ランサムウェア被害、現場支援から見えてきた実態と、脆弱性対応が「限界」の理由
  3. Google Cloudがサイバーフィジカルシステムのレジリエンスを高める10の指標を解説 最初にすべきことは?
  4. ランサムウェア攻撃を受けた企業、約6割が「サプライチェーンのパートナー経由で影響を受けた」 OpenText調査
  5. 長続きする高度セキュリティ人材育成の秘訣を「第19回情報危機管理コンテスト」から探る
  6. NIST、3つのポスト量子暗号(PQC)標準(FIPS 203〜205)を発表 量子コンピュータ悪用に耐える暗号化アルゴリズム、どう決めた?
  7. 米国/英国政府が勧告する25の脆弱性、活発に悪用されている9件のCVEとは、その対処法は? GreyNoise Intelligence調査
  8. インサイダーが原因の情報漏えいを経験した国内企業が約3割の今、対策における「責任の所在」の誤解とは
  9. セキュリティ担当者の54%が「脅威検知ツールのせいで仕事が増える」と回答、懸念の正体とは? Vectra AI調査
  10. 「このままゼロトラストへ進んでいいの?」と迷う企業やこれから入門する企業も必見、ゼロトラストの本質、始め方/進め方が分かる無料の電子書籍
ページトップに戻る