「情報セキュリティ10大脅威 2021」は、2020年に発生した社会的に影響が大きかったと考えられる情報セキュリティにおける事案から、IPAが脅威候補を選出し、情報セキュリティ分野の研究者、企業の実務担当者など約160名のメンバーからなる「10大脅威選考会」が脅威候補に対して審議・投票を行い、決定したものです。
情報セキュリティ10大脅威 2021 組織版
1位:ランサムウェアによる被害(5位)
2位:標的型攻撃による機密情報の窃取(1位)
3位:テレワーク等のニューノーマルな働き方を狙った攻撃(NEW)
4位:サプライチェーンの弱点を悪用した攻撃(4位)
5位:ビジネスメール詐欺による金銭被害(3位)
6位:内部不正による情報漏えい(2位)
7位:予期せぬIT基盤の障害に伴う業務停止(6位)
8位:インターネット上のサービスへの不正ログイン(16位)
9位:不注意による情報漏えい等の被害(7位)
10位:脆弱性対策情報の公開に伴う悪用増加(14位)
*()は昨年の順位
今回は「ランサムウェアによる被害」が1位となりました。従来はウイルスメールをばらまくなどの方法で広く無差別に攻撃が行われていましたが、新たな攻撃者は、明確に標的を企業・組織に定めています。標的型攻撃と同様の手法で企業・組織のネットワークに侵入したり、データを暗号化するだけでなく窃取して公開すると脅したりして、身代金を支払わざるを得ないような状況を作り出します。
新たにランクイン!テレワークに関する攻撃
「テレワーク等のニューノーマルな働き方を狙った攻撃」が初登場で3位となりました。昨年は新型コロナウイルス感染症の世界的な蔓延に伴い、感染症対策の一環として政府機関からテレワークが推奨されました。テレワークへの移行に伴い、自宅などからVPN経由で社内システムにアクセスしたり、Web会議サービスを利用したりする機会が増えました。また、私物PCや自宅ネットワークの利用や、初めて使うソフトウェアの導入など、以前までは緊急用として使っていた仕組みを恒常的に使う必要性がでてきたため、業務環境の急激な変化を狙った攻撃が懸念されています。基本的な対策のほか、テレワークの規定や運用ルールの整備、セキュリティ教育の実施などが重要です。
サイバー攻撃の脅威は常に進化し続けており、いつ新たな脅威が生じるかわかりません。今すぐセキュリティ対策を見直して行く必要があります!
(参考:IPA情報処理推進機構『情報セキュリティ10大脅威 2021』)