「情報セキュリティ10大脅威」、2017年は「ビジネスメール詐欺」「セキュリティ人材の不足」など新たな問題が

標的型攻撃やランサムウェアが、前年に引き続き上位に。

[沓澤真二，ねとらぼ]

　IPA（情報処理推進機構）が「情報セキュリティ10大脅威 2018」を発表しました。「ビジネスメール詐欺」や「セキュリティ人材の不足」など、新たな問題が目立つ結果となっています。

情報セキュリティ10大脅威 2018。情報セキュリティ分野の研究者や企業の実務担当者などによる「10大脅威選考会」の審議と投票で決定

　2017年に発生した、社会的な影響が大きいとされる情報セキュリティ事案を、「個人」と「組織」の異なる視点でランク付けしたもの。個人部門では「インターネットバンキングやクレジットカード情報の不正利用」、組織部門では「標的型攻撃による情報流出」が、ここ3年連続の1位となりました。また、両部門とも「ランサムウェアによる被害」が前年と同じく2位に着けています。

　個人部門にあまり大きな動きはありませんが、「ネット上の誹謗・中傷」が7位から3位へ上がったのは注目すべきところ。また、ブラウザにうそのウイルス感染警告などを表示してユーザーの不安をあおり、偽のサポートセンターに誘導して個人情報等を盗むといった「偽警告」の手口が10位へ新たにランクインしています（関連記事）。

「サポート詐欺」とも呼ばれる手口（「サポート詐欺」の報告が増大　うその警告で不安をあおり偽のサポートセンターに電話させてだます手口より）

　組織部門の3〜5位は、いずれも前年のランク外から急上昇したもの。3位の「ビジネスメール詐欺」は、巧妙に細工したメールで企業の担当者をだまし、攻撃者の用意した口座へ送金させる手口です。これまでは主に海外の組織が被害に遭ってきましたが、2016年以降は海外取引をしている国内企業での事例も確認されてきているのだそうです。

　4位の「脆弱性対策情報の公開に伴い公知となる脆弱性の悪用増加」は、公開された脆弱性対策情報を悪用して、対策前のシステムを狙う攻撃のこと。近年は脆弱性情報の公開後、攻撃が本格化するまでの時間が短くなっている傾向があるとのことです。

　「セキュリティ人材の不足」が5位となっているのは、脅威の増加とともに対策できる人材の需要は高まり、その不足が問題視されていることを示します。なお、IPAはこのランキングについて、3月下旬にくわしい解説をサイトで公開するとのことです。

参考：前年のランキング

（沓澤真二）