2024年1月24日に、IPA(独立行政法人情報処理推進機構)は、情報セキュリティにおける脅威のうち、2023年に社会的影響が大きかったトピックを「情報セキュリティ10大脅威 2024」として公表しました。

IPAは情報セキュリティ対策の普及を目的として2006年から、前年に発生した情報セキュリティ事故や攻撃の状況等から脅威を選出し、上位10位を公表しています。
「情報セキュリティ10大脅威 2024」は、IPAが2023年に発生したセキュリティ事故や攻撃の状況等から脅威候補を選定し、情報セキュリティ分野の研究者、企業の実務担当者など約200名のメンバーで構成する「10大脅威選考会」の投票を経て決定したものです。
「個人」の立場と「組織」の立場での「10大脅威」はそれぞれ以下のとおりです。

*10大脅威 2024では、個人の10大脅威の順位は掲載せず、五十音順で並べられています。これは、順位が高い脅威から優先的に対応し、下位の脅威への対策が疎かになることを懸念してのことだそうです。

 

情報セキュリティ10大脅威 2024 [個人]
「個人」向け脅威(五十音順)
初選出年
10大脅威での取り扱い
(2016年以降)
インターネット上のサービスからの個人情報の窃取
2016年
5年連続8回目
インターネット上のサービスへの不正ログイン
2016年
9年連続9回目
クレジットカード情報の不正利用
2016年
9年連続9回目
スマホ決済の不正利用
2020年
5年連続5回目
偽警告によるインターネット詐欺
2020年
5年連続5回目
ネット上の誹謗・中傷・デマ
2016年
9年連続9回目
フィッシングによる個人情報等の詐取
2019年
6年連続6回目
不正アプリによるスマートフォン利用者への被害
2016年
9年連続9回目
メールやSMS等を使った脅迫・詐欺の手口による金銭要求
2019年
6年連続6回目
ワンクリック請求等の不当請求による金銭被害
2016年
2年連続4回目
情報セキュリティ10大脅威 2024 [組織]
順位
「組織」向け脅威
初選出年
10大脅威での取り扱い
(2016年以降)
1
ランサムウェアによる被害
2016年
9年連続9回目
2
サプライチェーンの弱点を悪用した攻撃
2019年
6年連続6回目
3
内部不正による情報漏えい等の被害
2016年
9年連続9回目
4
標的型攻撃による機密情報の窃取
2016年
9年連続9回目
5
修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃)
2022年
3年連続3回目
6
不注意による情報漏えい等の被害
2016年
6年連続7回目
7
脆弱性対策情報の公開に伴う悪用増加
2016年
4年連続7回目
8
ビジネスメール詐欺による金銭被害
2018年
7年連続7回目
9
テレワーク等のニューノーマルな働き方を狙った攻撃
2021年
4年連続4回目
10
犯罪のビジネス化(アンダーグラウンドサービス)
2017年
2年連続4回目

 

「個人」向け脅威の種類は10個とも前年と変化がありませんでした。しかし、種類が同じであっても脅威を取り巻く環境は前年と同じというわけではありません。攻撃の手口は古典的で変わらないとしても、その中で被害者を騙す手口は常に更新されています。攻撃者は時機を見ながら、社会的に注目されているニュースや新しい技術(生成AI等)などを駆使して攻撃を仕掛けます。例えば、フィッシングによる個人情報等の詐取では、電力・ガス・食料品等の価格高騰に対する緊急支援給付金を案内するとして不審なメールを送付し、マイナポータルを騙った偽サイトへ誘導する手口が見られました。常日頃から脅威に関する最新情報に注意を払い、手口を知っておくことが重要です。

「組織」向け脅威の種類も、全て前年と同じでした。1位の「ランサムウェアによる被害」と2位の「サプライチェーンの弱点を悪用した攻撃」は順位も昨年と変わりませんでした。3位の「内部不正による情報漏えい等の被害」と6位の「不注意による情報漏えい等の被害」は前年から順位を上げています。これらは、組織内の「人」が原因となる脅威です。2022年にIPAでは「内部不正防止ガイドライン」を改訂し、働き方の変化や新技術への対応など時代の変化に合わせて対応が必要であることを述べています。外部からの攻撃などITに関する対策だけでなく、内部の不正やミスといった人に関する対策も重要です。

詳細については、IPAのサイトをご確認下さい。

https://www.ipa.go.jp/security/10threats/10threats2024.html

なお、「情報セキュリティ10大脅威 2024」の詳しい解説は、2月下旬にIPAのウェブサイトで公開する予定との事です。