情報処理推進機構（IPA）は2月28日、今年発表した「情報セキュリティ10大脅威」の組織向け解説書を公開しました。解説書はその年の10大脅威に沿ってIPAが作成しているもので、今回は「全部担当のせいとせず、組織的にセキュリティ対策の足固めを」という副題がつけられています。

「情報セキュリティ10大脅威」は組織編と個人編とに分けてそれぞれ10の脅威を選定し公表しています。公開された解説書では組織を対象とした10の脅威について▽攻撃者▽脅威と影響▽攻撃手口▽事例または傾向▽対策・対応――を取りまとめています。

今年の10大脅威には初めて「犯罪のビジネス化（アンダーグラウンドサービス）」が選定されました。解説書では「攻撃者もショッピング、商品はあなたの情報」と犯罪のビジネス化を説明しています。攻撃者はアンダーグラウンドの掲示板で高額な報酬をうたってサイバー犯罪に加担する人材をリクルートしています。掲示板へのこうした書き込みはコロナ禍では4倍に増加したと紹介されています。

犯罪のビジネス化に関する被害事例としては、ダイナムジャパンホールディングスの案件が記されています。それによると、ランサムウェア攻撃によりグループ会社が運営する店舗の地権者の氏名のほかに、口座情報や入金情報などが流出し、それらの情報がダークウェブ上で確認されました。犯罪のビジネス化に対処するには、情報リテラシー教育や早期検知に加え、インシデント体制の整備などが有効としています。

このほか解説書では、「情報セキュリティ10大脅威」の活用法や「攻撃の糸口」の観点から5項目に分類した「セキュリティ対策の基本」、これに3項目を追加した「セキュリティ対策の基本＋α」、複数の脅威に有効な対策についても解説されています。