IPAが「情報セキュリティ10大脅威 2019」を発表、利用者をだます脅威が台頭：サプライチェーン攻撃が新たな脅威に

IPAが2019年1月30日に発表した「情報セキュリティ10大脅威 2019」には、利用者をだまして金銭や情報を詐取する脅威が多くランクインした。セキュリティ上の脅威には、必ずしもウイルスなどのマルウェアが関係しているのではないことが分かる。

[＠IT]

　独立行政法人情報処理推進機構（IPA）は2019年1月30日、「情報セキュリティ10大脅威 2019」を発表した。これは、2018年に社会的影響が大きかった情報セキュリティ上の脅威について、IPAが32の候補を選出し、情報セキュリティ分野の研究者や企業の実務担当者など約120人で構成される「10大脅威選考会」の投票によってトップ10を選出したもの。個人と組織を対象にしたそれぞれの脅威を選んだ。

　ランクインした脅威の1〜3位は次の通り。

1〜3位の内容（出典：IPA）

　4〜10位は次の通り。

4〜10位の内容（出典：IPA）

　今回新たにランクインした脅威は、2つ。個人の4位「メールやSNSを使った脅迫・詐欺の手口による金銭要求」と、組織の4位「サプライチェーンの弱点を利用した攻撃の高まり」だ。

　サプライチェーンとは、原材料や部品の調達から、製造、在庫管理、物流、販売までの一連の商流と、この商流に関わる複数の組織群を指す。攻撃の手口は多様で、例えばセキュリティが脆弱（ぜいじゃく）な子会社や委託先を突破口にして、親会社や委託元を狙う。場合によっては、製品やサービスの利用者である顧客にも被害が及ぶことがある。

　また、利用者をだまして金銭や情報を詐取する脅威が多くランクインしたことが目立った。セキュリティ上の脅威には、必ずしもウイルスが用いられているわけではない。IPAでは、だましの手口への対策には具体的な手口を知ることが一番だとしており、IPAの「安心相談窓口だより」など、セキュリティに関する情報収集に努めるよう啓発している。

　なお、個人の1位、2位、7位にランクインした3つの脅威は、いずれも「情報セキュリティ10大脅威 2018」の個人1位になった「インターネットバンキングやクレジットカード情報等の不正利用」である。

　クレジットカード被害の増加とフィッシング手口の多様化を考慮して、2019年のランキングでは、「インターネットバンキングの不正利用」「クレジットカード情報の不正利用」「仮想通貨交換所を狙った攻撃」「仮想通貨採掘に加担させる手口」「フィッシングによる個人情報等の詐取」の5つに分割した。