無料会員登録
毎年恒例の「情報セキュリティ10大脅威」が2023年1月25日にIPA(情報処理推進機構)から発表されました。相変わらずランサムウェアが猛威を振る状況です。新しくランキングされた脅威は「犯罪のビジネス化」のみでしたがこれも、ランサムウェアの攻撃スタイルの変化によるものです。詳しくは本文で解説させていただきました。
また、2019年からの10大脅威の推移をグラフでご紹介します。脅威の傾向を確認いただき、今後のセキュリティ戦略の参考にしてください。
出典:「情報セキュリティ10大脅威 2023」を公開/IPA(情報処理推進機構)
書籍「セキュリティ対策の基礎知識」
メルマガ登録でプレゼント!
セキュリティ対策で何をして良いかわからない
企業の情シス部門の方必見!
こちらから
「情報セキュリティ10大脅威2023」とは
日本のIT国家戦略を技術面・人材面から支えるために設立された経済産業省所管の独立行政法人であるIPAが、情報セキュリティ対策の普及を目的として、情報セキュリティ事故や攻撃の状況等から脅威を選出し、2006年から毎年上位10位を公表しているのが、「情報セキュリティ10大脅威 2023」です。
2022年に発生した社会的に影響が大きかったと考えられる情報セキュリティにおける事案から、IPAが脅威候補を選出し、情報セキュリティ分野の研究者、企業の実務担当者など約200名のメンバーで構成する「10大脅威選考会」の投票を経て決定したものです。
ランキングには「個人」と「組織:企業、政府機関、公共団体等の組織およびその組織に所属している人」という立場でそれぞれランキングしていますが、ここでは「組織」のみを扱います。
「情報セキュリティ10大脅威2023」のランキング
| 順位 | 脅威 | 昨年順位 |
|---|---|---|
| 1位 | ランサムウェアによる被害 | 1位 |
| 2位 | サプライチェーンの弱点を悪用した攻撃 | 3位 |
| 3位 | 標的型攻撃による機密情報の窃取 | 2位 |
| 4位 | 内部不正による情報漏えい | 5位 |
| 5位 | テレワーク等のニューノーマルな働き方を狙った攻撃 | 4位 |
| 6位 | 修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃) | 7位 |
| 7位 | ビジネスメール詐欺による金銭被害 | 8位 |
| 8位 | 脆弱性対策情報の公開に伴う悪用増加 | 6位 |
| 9位 | 不注意による情報漏えい等の被害 | 10位 |
| 10位 | 犯罪のビジネス化(アンダーグラウンドサービス) | NEW |
ランキングから見るサイバー攻撃の遷移
| 脅威 | 2023年 | 2022年 | 2021年 | 2020年 | 2019年 |
|---|---|---|---|---|---|
| ランサムウェアによる被害 | 1 | 1 | 1 | 5 | 3 |
| サプライチェーンの弱点を悪用した攻撃 | 2 | 3 | 4 | 4 | 4 |
| 標的型攻撃による機密情報の窃取 | 3 | 2 | 2 | 1 | 1 |
| 内部不正による情報漏えい | 4 | 5 | 6 | 2 | 5 |
| テレワーク等のニューノーマルな働き方を狙った攻撃 | 5 | 4 | 3 | 圏外 | 圏外 |
| 修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃) | 6 | 7 | 圏外 | 圏外 | 圏外 |
| ビジネスメール詐欺による金銭被害 | 7 | 8 | 5 | 3 | 2 |
| 脆弱性対策情報の公開に伴う悪用増加 | 8 | 6 | 10 | 圏外 | 9 |
| 不注意による情報漏えい等の被害 | 9 | 10 | 9 | 7 | 10 |
| 犯罪のビジネス化(アンダーグラウンドサービス) | 10 | 圏外 | 圏外 | 圏外 | 圏外 |
| 予期せぬIT基盤の障害に伴う業務停止 | 圏外 | 9 | 7 | 6 | 圏外 |
| インターネット上のサービスへの不正ログイン | 圏外 | 圏外 | 8 | 圏外 | 圏外 |
| インターネット上のサービスからの個人情報の窃取 | 圏外 | 圏外 | 圏外 | 8 | 7 |
| IoT機器の不正利用 | 圏外 | 圏外 | 圏外 | 9 | 8 |
| サービス妨害攻撃によるサービスの停止 | 圏外 | 圏外 | 圏外 | 10 | 6 |
※ 赤い数字は新登場、圏外は10位圏外です。
1位 ランサムウェアによる被害
「ランサムウェアによる被害」が2021年から2023年まで3年連続の1位となりました。
警察庁に報告されたランサムウェアの被害は、2020年下期に21件でしたが、2021年上期が61件、下期が85件、2022年上期は114件と前年同期比187%となっています。
また、ソフォスのレポート「日本のランサムウェアの現状」によると、2021年に日本の組織が支払った身代金の平均支払額は4,327,024米ドル(約5億8600万円)となりました。これは、すべての調査対象国の中で最も高い金額で、世界の身代金の平均支払額812,360米ドルの5.3倍に相当します。
5位 テレワーク等のニューノーマルな働き方を狙った攻撃
「テレワーク等のニューノーマルな働き方を狙った攻撃」は、新型コロナウイルスの流用により、日本の企業の多くが在宅勤務によるテレワークがスタートた2020年(ランキングとしては2021年)に3位に新登場して以来、4位、5位とランキングを落としています。当初セキュリティ対策が不十分なままテレワークをスタートさせた企業の多くがサイバー攻撃の標的にされていましたが、年々少しずつ改善された結果だと推測できます。しかし、従来から報告されているテレワークに利用しているVPNの脆弱性をターゲットにしたサイバー攻撃による被害が、2022年も多く発生しています。
10位 犯罪のビジネス化が新登場
ソフォスが2022年12月に公開した「ソフォス脅威レポート2023年版」では「ランサムウェアの進化」というタイトルで、今回10位にランキングした「犯罪のビジネス化」によるランサムウェアの攻撃手法の変化を特集にしています。
闇マーケットでは、高度なスキルを持たないサイバー犯罪者でもマルウェアやマルウェアを配信するパッケージを購入し、盗んだ認証情報やその他のデータを大量に販売できます。アクセスブローカーは、脆弱なソフトウェアエクスプロイトや認証情報を他の犯罪組織に販売することをますます強化しています。
このランサムウェアが産業化したことで、ランサムウェアの「提携者」は、悪用を専門とする専門的な活動へと進化してきています。これらは特定のランサムウェアのオペレーションや国家によるスパイ活動などの目的に限定されておらず、さまざまな攻撃が展開されています。
サイバーセキュリティお助け隊サービス
AXIS総合セキュリティパックのご紹介
「AXIS総合セキュリティパック」は、Sophosの最新製品を採用した次世代型セキュリティシステム(Sophos Firewall XGS、Sophos Intercept X)に24時間年中無休のマネージドサービス(Sophos MDR)さらに導入コンサルティングサービスとサイバー保険をワンパッケージにした最高レベルの総合セキュリティサービスです。
さらに、Sophos Central Endpoint and Server製品の幅広い販売能力と高い技術的な製品知識を有していることをSophosが証明するSophos Central Endpoint and Server Partner認定企業です。
書籍「セキュリティ対策の基礎知識」
メルマガ登録でプレゼント!
セキュリティ対策で何をして良いかわからない
企業の情シス部門の方必見!
こちらから
関連コラム(あわせて、以下の記事もよく読まれています)
IPA「情報セキュリティ10大脅威2024(組織)」のランキングから見るサイバー攻撃の傾向
IPA「情報セキュリティ10大脅威2022(組織)」のランキングから見るサイバー攻撃の傾向
IPA「情報セキュリティ10大脅威2021」のランキングから見るサイバー攻撃の傾向
EDRの必要性はどのくらい?ランサムウェア対策にもたらす効果なども解説!
情報セキュリティとは?基本から対策まで具体例を入れてわかりやすく解説
テレワークで懸念される情報漏洩。対策としてクラウドストレージの効果とは?
サイバーハイジーン(衛生管理)とは? 重要性や具体的な施策を解説
ネットワーク上の4つの脅威とその現状について
![中小企業の情報瀬キィリティ相談窓口[30分無料]](/wp-content/uploads/2023/07/bnr_footer04.png)
