IPAが「情報セキュリティ10大脅威 2020」を発表：「スマホ決済の不正利用」が初登場で1位

IPAは「情報セキュリティ10大脅威 2020」を発表した。個人の1位は「スマホ決済の不正利用」。組織の1位は「標的型攻撃による機密情報の窃取」。組織の6位には、7年ぶりに「予期せぬIT基盤の障害に伴う業務停止」が復活ランクインした。

[＠IT]

　独立行政法人 情報処理推進機構（IPA）は2020年1月29日、「情報セキュリティ10大脅威 2020」を発表した。組織と個人を対象とする、それぞれ10種類の脅威を選んだ。

情報セキュリティ10大脅威2020（出典：IPA　※編集部にて一部加工）

「組織」の1位は「標的型攻撃による機密情報の窃取」

　組織の1位は2019年と同じく、「標的型攻撃による機密情報の窃取」。2位には、2019年の5位から上昇した「内部不正による情報漏えい」が選ばれた。

　内部不正による情報漏えいに関しては、情報機器リユース業者の社員が廃棄予定のHDDを不正に持ち出し、ネットオークションで転売した事案が記憶に新しい。そのHDDに多くの個人情報が残っていたことが発覚して、大きな社会問題になった。IPAは「内部不正を予防するには、経営者が積極的に関与して重要情報の管理と保護を徹底し、従業員に情報教育を実施してモラルを向上させることが必要だ」としている。

　組織のランキングの中でも6位に入った「予期せぬIT基盤の障害に伴う業務停止」が目を引く。2013年を最後に圏外だった脅威が復活ランクインしたためだ。2019年は複数の大規模自然災害や、大手クラウドベンダーの人為的ミスによって、長時間のサービス停止が発生した。IPAは「こうした大規模システム障害が事業に与えた影響の大きさから、BCP（事業継続計画）を見直すきっかけを与えた」としている。

　なお、3位は、2019年の2位に入った「ビジネスメール詐欺による金銭被害」。4位は、同4位の「サプライチェーンの弱点を悪用した攻撃」。5位は、同3位の「ランサムウェアによる被害」だった。

「個人」の1位は「スマホ決済の不正利用」

　一方、個人の1位に入ったのは「スマホ決済の不正利用」。この事案が情報セキュリティ10大脅威に選ばれるのは初めて。決済方法の不備によって一部のスマホ決済サービスで、利用者が金銭被害に遭う事案が発生した。IPAは、新たなサービスを利用する際には、提供されているセキュリティ機能を利用することに加え、決済情報や利用明細によって不正利用されていないことを確認するよう注意を促している。

　2位は、2019年と同様で「フィッシングによる個人情報の詐取」。3位は、2019年に1位に入った「クレジットカード情報の不正利用」が選ばれた。4位は、同7位の「インターネットバンキングの不正利用」。5位は、同4位の「メールやSMS等を使った脅迫・詐欺の手口による金銭要求」だった。

　なお、「情報セキュリティ10大脅威 2020」は、社会的に影響が大きかった2019年の情報セキュリティ事案の中からIPAが候補を選出し、「10大脅威選考会」が審議して決定した。選考会には、情報セキュリティ分野の研究者や企業の実務担当者など約140人が所属している。