四重脅迫手口も登場し3年連続ランサムウェア被害が1位、情報セキュリティ10大脅威2023を発表 IPA

掲載:2023年01月31日

サイバー速報

         
目次

情報処理推進機構(IPA)は1月25日、「情報セキュリティ10大脅威 2023」を発表しました。「ランサムウェアによる被害」は、組織向けの脅威として3年連続で1位に選定されました。一方、新たにランクインした脅威は「犯罪のビジネス化(アンダーグラウンドサービス)」(10位)で、IPAでは「他の脅威を誘発しかねないもの」としてセキュリティ対策の強化を呼び掛けています。

「情報セキュリティ10大脅威」は脅威の対象を組織と個人に分けて、上位10位までを選んでいます。個人向けでは「フィッシングによる個人情報などの詐取」が2年連続で1位となったほか、「ワンクリック請求などの不当請求による金銭被害」が新たにランクインしました。

ランサムウェアによる被害は、情報の暗号化のみならず、窃取した情報を公開すると脅して金銭を要求する「二重脅迫型」が手口の主流となっていますが、IPAによるとさらにDDoS攻撃を仕掛けるものや、被害者の顧客や利害関係者へも連絡すると脅す「四重脅迫」が新たな手口として確認されています。IPAでは、ウイルス対策や不正アクセス対策、脆弱性対策など基本的な対策を講じるとともに、サイバー攻撃を受けるという想定で平時からバックアップを取得したり、復旧計画を策定したりすることが重要と指摘しています。

なお、組織向けの2位から9位は次のとおり。

  • 2位:サプライチェーンの弱点を悪用した攻撃(昨年3位)
  • 3位:標的型攻撃による機密情報の窃取(同2位)
  • 4位:内部不正による情報漏えい(同5位)
  • 5位:テレワークなどのニューノーマルな働き方を狙った攻撃(同4位)
  • 6位:修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃)(同7位)
  • 7位:ビジネスメール詐欺による金銭被害(同8位)
  • 8位:脆弱性対策情報の公開に伴う悪用増加(同6位)
  • 9位:不注意による情報漏洩などの被害(同10位)

IPAでは2月下旬をめどに、これら脅威に対して共通する対策をまとめた「共通対策」を作成し、公式サイトで公表する予定です。共通対策は、パスワードの運用方法やインシデント対応方法など7つの項目に分けて具体的に対策を解説する内容としています。