「情報セキュリティ10大脅威 2019」を決定 “組織ランキング”にサプライチェーンに関する脅威が初ランクイン

IPA(独立行政法人情報処理推進機構)は、情報セキュリティにおける脅威のうち、2018年に社会的影響が大きかったトピックなどを「10大脅威選考会」の投票によりトップ10を選出し、「情報セキュリティ10大脅威2019」として順位を決定し、公表した。
「情報セキュリティ10大脅威 2019」は、2018年に発生した社会的に影響が大きかったと考えられる情報セキュリティにおける事案をランキングしたもの。IPAが脅威候補を選出し、「10大脅威選考会(*1)」が脅威候補に対して審議・投票を行い、決定したもの。

◆「情報セキュリティ10大脅威 2019」
個人:1位:クレジットカード情報の不正利用
2位:フィッシングによる個人情報等の詐取
3位:不正アプリによるスマートフォン利用者の被害
4位:メールやSNSを使った脅迫・詐欺の手口による金銭要求
5位:ネット上の誹謗・中傷・デマ
6位:偽警告によるインターネット詐欺
7位:インターネットバンキングの不正利用
8位:インターネットサービスへの不正ログイン
9位:ランサムウェアによる被害
10位:IoT 機器の不適切な管理
組織:1位:標的型攻撃による被害
2位:ビジネスメール詐欺による被害
3位:ランサムウェアによる被害
4位:サプライチェーンの弱点を悪用した攻撃の高まり
5位:内部不正による情報漏えい
6位:サービス妨害攻撃によるサービスの停止
7位:インターネットサービスからの個人情報の窃取
8位:IoT機器の脆弱性の顕在化
9位:脆弱性対策情報の公開に伴う悪用増加
10位:不注意による情報漏えい

新たな脅威としてランクインしたのは「メールやSNSを使った脅迫・詐欺の手口による金銭要求」(個人4位)と「サプライチェーンの弱点を利用した攻撃の高まり」(組織4位)だった。
また、本年の個人ランキングでは“だましによる手口”が顕著となっている。1位~4位、6位、7位はいずれも、利用者をだまして金銭や情報を詐取する手口。必ずしもウイルスが用いらいているわけではない。
このようなだましの手口への対策には具体的に手口を知ることが一番。IPAの「安心相談窓口だより」をはじめとした情報セキュリティのページ、ネットのニュースやブログをチェックし情報収集に努めることが重要。
一方、組織の4位に新規にランクインしたサプライチェーンとは、原材料や部品の調達、製造、在庫管理、物流、販売までの一連の商流、およびこの商流に関わる複数の組織群を指す。
攻撃者はサプライチェーン内のセキュリティ対策が不十分な組織、箇所を攻撃の糸口に侵入する。そして、最終目的である標的への攻撃を試みることが指摘されています。
その手口は多様で、脆弱と考えられる子会社や委託先を突破口にし、親会社や委託元を狙います。その結果、製品やサービス、そしてその利用者である顧客にも被害が及ぶことがある。
2017年11月に公開した「サイバーセキュリティ経営ガイドライン」のVer. 2.0では、新たに「サプライチェーンセキュリティ対策の推進」の項目が加えられている。今や企業経営においては、サプライチェーン全体でセキュリティ対策を実施することが求められている。
なお、IPAでは、2月下旬に「情報セキュリティ10大脅威 2019」の詳しい解説をウェブサイトで公開する予定。

IPA(独立行政法人情報処理推進機構)
https://www.ipa.go.jp/security/vuln/10threats2019.html