IPA「情報セキュリティ10大脅威2023(組織)」のランキングから見るサイバー攻撃の傾向|サイバーセキュリティ.com

IPA「情報セキュリティ10大脅威2023(組織)」のランキングから見るサイバー攻撃の傾向



毎年恒例の「情報セキュリティ10大脅威」が2023年1月25日にIPA(情報処理推進機構)から発表されました。相変わらずランサムウェアが猛威を振る状況です。新しくランキングされた脅威は「犯罪のビジネス化」のみでしたがこれも、ランサムウェアの攻撃スタイルの変化によるものです。詳しくは本文で解説させていただきました。

また、2019年からの10大脅威の推移をグラフでご紹介します。脅威の傾向を確認いただき、今後のセキュリティ戦略の参考にしてください。

出典:「情報セキュリティ10大脅威 2023」を公開/IPA(情報処理推進機構)

「情報セキュリティ10大脅威2023」とは

日本のIT国家戦略を技術面・人材面から支えるために設立された経済産業省所管の独立行政法人であるIPAが、情報セキュリティ対策の普及を目的として、情報セキュリティ事故や攻撃の状況等から脅威を選出し、2006年から毎年上位10位を公表しているのが、「情報セキュリティ10大脅威 2023」です。

2022年に発生した社会的に影響が大きかったと考えられる情報セキュリティにおける事案から、IPAが脅威候補を選出し、情報セキュリティ分野の研究者、企業の実務担当者など約200名のメンバーで構成する「10大脅威選考会」の投票を経て決定したものです。

ランキングには「個人」と「組織:企業、政府機関、公共団体等の組織およびその組織に所属している人」という立場でそれぞれランキングしていますが、ここでは「組織」のみを扱います。

「情報セキュリティ10大脅威2023」のランキング

順位 脅威 昨年順位
1位 ランサムウェアによる被害 1位
2位 サプライチェーンの弱点を悪用した攻撃 3位
3位 標的型攻撃による機密情報の窃取 2位
4位 内部不正による情報漏えい 5位
5位 テレワーク等のニューノーマルな働き方を狙った攻撃 4位
6位 修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃) 7位
7位 ビジネスメール詐欺による金銭被害 8位
8位 脆弱性対策情報の公開に伴う悪用増加 6位
9位 不注意による情報漏えい等の被害 10位
10位 犯罪のビジネス化(アンダーグラウンドサービス) NEW

ランキングから見るサイバー攻撃の遷移

脅威 2023年 2022年 2021年 2020年 2019年
ランサムウェアによる被害 1 1 1 5 3
サプライチェーンの弱点を悪用した攻撃 2 3 4 4 4
標的型攻撃による機密情報の窃取 3 2 2 1 1
内部不正による情報漏えい 4 5 6 2 5
テレワーク等のニューノーマルな働き方を狙った攻撃 5 4 3 圏外 圏外
修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃) 6 7 圏外 圏外 圏外
ビジネスメール詐欺による金銭被害 7 8 5 3 2
脆弱性対策情報の公開に伴う悪用増加 8 6 10 圏外 9
不注意による情報漏えい等の被害 9 10 9 7 10
犯罪のビジネス化(アンダーグラウンドサービス) 10 圏外 圏外 圏外 圏外
予期せぬIT基盤の障害に伴う業務停止 圏外 9 7 6 圏外
インターネット上のサービスへの不正ログイン 圏外 圏外 8 圏外 圏外
インターネット上のサービスからの個人情報の窃取 圏外 圏外 圏外 8 7
IoT機器の不正利用 圏外 圏外 圏外 9 8
サービス妨害攻撃によるサービスの停止 圏外 圏外 圏外 10 6

※ 赤い数字は新登場、圏外は10位圏外です。
ランキングから見るサイバー攻撃の遷移

1位 ランサムウェアによる被害

「ランサムウェアによる被害」が2021年から2023年まで3年連続の1位となりました。
警察庁に報告されたランサムウェアの被害は、2020年下期に21件でしたが、2021年上期が61件、下期が85件、2022年上期は114件と前年同期比187%となっています。
また、ソフォスのレポート「日本のランサムウェアの現状」によると、2021年に日本の組織が支払った身代金の平均支払額は4,327,024米ドル(約5億8600万円)となりました。これは、すべての調査対象国の中で最も高い金額で、世界の身代金の平均支払額812,360米ドルの5.3倍に相当します。

5位 テレワーク等のニューノーマルな働き方を狙った攻撃

「テレワーク等のニューノーマルな働き方を狙った攻撃」は、新型コロナウイルスの流用により、日本の企業の多くが在宅勤務によるテレワークがスタートた2020年(ランキングとしては2021年)に3位に新登場して以来、4位、5位とランキングを落としています。当初セキュリティ対策が不十分なままテレワークをスタートさせた企業の多くがサイバー攻撃の標的にされていましたが、年々少しずつ改善された結果だと推測できます。しかし、従来から報告されているテレワークに利用しているVPNの脆弱性をターゲットにしたサイバー攻撃による被害が、2022年も多く発生しています。

10位 犯罪のビジネス化が新登場

ソフォスが2022年12月に公開した「ソフォス脅威レポート2023年版」では「ランサムウェアの進化」というタイトルで、今回10位にランキングした「犯罪のビジネス化」によるランサムウェアの攻撃手法の変化を特集にしています。
闇マーケットでは、高度なスキルを持たないサイバー犯罪者でもマルウェアやマルウェアを配信するパッケージを購入し、盗んだ認証情報やその他のデータを大量に販売できます。アクセスブローカーは、脆弱なソフトウェアエクスプロイトや認証情報を他の犯罪組織に販売することをますます強化しています。
このランサムウェアが産業化したことで、ランサムウェアの「提携者」は、悪用を専門とする専門的な活動へと進化してきています。これらは特定のランサムウェアのオペレーションや国家によるスパイ活動などの目的に限定されておらず、さまざまな攻撃が展開されています。


NEW

サイバーセキュリティお助け隊サービス
AXIS総合セキュリティパックのご紹介

AXIS総合セキュリティパック

「AXIS総合セキュリティパック」は、Sophosの最新製品を採用した次世代型セキュリティシステム(Sophos Firewall XGS、Sophos Intercept X)に24時間年中無休のマネージドサービス(Sophos MDR)さらに導入コンサルティングサービスとサイバー保険をワンパッケージにした最高レベルの総合セキュリティサービスです。


株式会社アクシスは、Sophos Gold Partnerです。
さらに、Sophos Central Endpoint and Server製品の幅広い販売能力と高い技術的な製品知識を有していることをSophosが証明するSophos Central Endpoint and Server Partner認定企業です。

SNSでもご購読できます。