情報処理推進機構（IPA）は1月25日、「情報セキュリティ10大脅威 2023」を発表しました。「ランサムウェアによる被害」は、組織向けの脅威として3年連続で1位に選定されました。一方、新たにランクインした脅威は「犯罪のビジネス化（アンダーグラウンドサービス）」（10位）で、IPAでは「他の脅威を誘発しかねないもの」としてセキュリティ対策の強化を呼び掛けています。

「情報セキュリティ10大脅威」は脅威の対象を組織と個人に分けて、上位10位までを選んでいます。個人向けでは「フィッシングによる個人情報などの詐取」が2年連続で1位となったほか、「ワンクリック請求などの不当請求による金銭被害」が新たにランクインしました。

ランサムウェアによる被害は、情報の暗号化のみならず、窃取した情報を公開すると脅して金銭を要求する「二重脅迫型」が手口の主流となっていますが、IPAによるとさらにDDoS攻撃を仕掛けるものや、被害者の顧客や利害関係者へも連絡すると脅す「四重脅迫」が新たな手口として確認されています。IPAでは、ウイルス対策や不正アクセス対策、脆弱性対策など基本的な対策を講じるとともに、サイバー攻撃を受けるという想定で平時からバックアップを取得したり、復旧計画を策定したりすることが重要と指摘しています。

なお、組織向けの2位から9位は次のとおり。

• 2位：サプライチェーンの弱点を悪用した攻撃（昨年3位）
• 3位：標的型攻撃による機密情報の窃取（同2位）
• 4位：内部不正による情報漏えい（同5位）
• 5位：テレワークなどのニューノーマルな働き方を狙った攻撃（同4位）
• 6位：修正プログラムの公開前を狙う攻撃（ゼロデイ攻撃）（同7位）
• 7位：ビジネスメール詐欺による金銭被害（同8位）
• 8位：脆弱性対策情報の公開に伴う悪用増加（同6位）
• 9位：不注意による情報漏洩などの被害（同10位）

IPAでは2月下旬をめどに、これら脅威に対して共通する対策をまとめた「共通対策」を作成し、公式サイトで公表する予定です。共通対策は、パスワードの運用方法やインシデント対応方法など7つの項目に分けて具体的に対策を解説する内容としています。