四重脅迫手口も登場し3年連続ランサムウェア被害が1位、情報セキュリティ10大脅威2023を発表 IPA
掲載:2023年01月31日
サイバー速報
目次
情報処理推進機構(IPA)は1月25日、「情報セキュリティ10大脅威 2023」を発表しました。「ランサムウェアによる被害」は、組織向けの脅威として3年連続で1位に選定されました。一方、新たにランクインした脅威は「犯罪のビジネス化(アンダーグラウンドサービス)」(10位)で、IPAでは「他の脅威を誘発しかねないもの」としてセキュリティ対策の強化を呼び掛けています。
「情報セキュリティ10大脅威」は脅威の対象を組織と個人に分けて、上位10位までを選んでいます。個人向けでは「フィッシングによる個人情報などの詐取」が2年連続で1位となったほか、「ワンクリック請求などの不当請求による金銭被害」が新たにランクインしました。
ランサムウェアによる被害は、情報の暗号化のみならず、窃取した情報を公開すると脅して金銭を要求する「二重脅迫型」が手口の主流となっていますが、IPAによるとさらにDDoS攻撃を仕掛けるものや、被害者の顧客や利害関係者へも連絡すると脅す「四重脅迫」が新たな手口として確認されています。IPAでは、ウイルス対策や不正アクセス対策、脆弱性対策など基本的な対策を講じるとともに、サイバー攻撃を受けるという想定で平時からバックアップを取得したり、復旧計画を策定したりすることが重要と指摘しています。
なお、組織向けの2位から9位は次のとおり。
- 2位:サプライチェーンの弱点を悪用した攻撃(昨年3位)
- 3位:標的型攻撃による機密情報の窃取(同2位)
- 4位:内部不正による情報漏えい(同5位)
- 5位:テレワークなどのニューノーマルな働き方を狙った攻撃(同4位)
- 6位:修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃)(同7位)
- 7位:ビジネスメール詐欺による金銭被害(同8位)
- 8位:脆弱性対策情報の公開に伴う悪用増加(同6位)
- 9位:不注意による情報漏洩などの被害(同10位)
IPAでは2月下旬をめどに、これら脅威に対して共通する対策をまとめた「共通対策」を作成し、公式サイトで公表する予定です。共通対策は、パスワードの運用方法やインシデント対応方法など7つの項目に分けて具体的に対策を解説する内容としています。
おすすめ記事
- 暴露型ランサムウェアの傾向と対策~チェックシートの利用ガイド~ 暴露型ランサムウェア対応チェックシート
- KASEYA(カセヤ)社のサイバー攻撃被害に危機管理の真髄を学ぶ
- KASEYA(カセヤ)社のサイバー攻撃被害に危機管理の真髄を学ぶ
- ISO/IEC27001:2022 ~旧版との違いと企業に求められる対応~
- ランサムウェア被害は前年同期比87%増、2022年上半期の「サイバー空間をめぐる脅威の情勢等」を公表 警察庁
- 「メール訓練手引書一般公開版 v1.0」 を公表 日本シーサート協議会
- サイバー攻撃に関する解説動画を公開、中小企業向けにセキュリティ対策を促す 日商
- 医療機関向けにサイバーセキュリティ教育を強化、特設サイトを開設 厚労省