情報処理推進機構(IPA）は1月27日、「情報セキュリティ10大脅威 2021」を発表しました。IPAは情報セキュリティ対策の普及を目的に、2006年から「10大脅威」を公表しています。今年はテレワークを狙った攻撃が初めて選ばれ、第3位となりました。

「10大脅威」は、前年に発生した情報セキュリティ事故や攻撃の状況などから脅威を選出し、組織編と個人編にわけて、それぞれ上位10位まで選定しています。

組織編の1位には、ランサムウェアによる被害が選ばれました。従来は、ウイルスメールをばらまくなどの方法で広く無差別に攻撃が行われていましたが、新たな攻撃者は、明確に標的を企業・組織に定めています。標的型攻撃と同様の手法で企業・組織のネットワークに侵入したり、データを暗号化するだけでなく窃取して公開すると脅したりして、身代金を支払わざるを得ないような状況を作り出します。昨年1位だった標的型攻撃による機密情報の窃取は、2位でした。

3位には、テレワークを狙った攻撃が選ばれました。2020年は新型コロナウイルスの感染拡大防止のためにテレワークの導入が進み、自宅などからVPN経由で社内システムにアクセスしたり、Web会議サービスを利用したりする機会が増えました。また、私物PCや自宅ネットワークの利用、初めて使うソフトウェアの導入など、以前まで緊急用として使っていた仕組みを恒常的に使う必要がでてきました。こうした業務環境の急激な変化を狙った攻撃が懸念され、IPAでは基本的な対策のほか、テレワークの規定や運用ルールの整備、セキュリティ教育の実施などが重要だとしています。

個人編の1位には、スマホ決済の不正利用が選ばれました。スマホ決済サービスを悪用して他人の銀行口座から残高をチャージ（他人の口座からの金銭窃取）する事案などが発生しています。