情報処理推進機構（IPA）は1月24日、「情報セキュリティ10大脅威 2024」を公表しました。例年、情報セキュリティにおける脅威を上位10位までランキング形式で個人向けと組織向けに発表していましたが、今年は個人向けでは順位を付けずに発表しました（※）。一方、組織向けでは1位と2位は昨年と同じでそれぞれ「ランサムウェアによる被害」と「サプライチェーンの弱点を悪用した攻撃」となりました。

組織向けとして1～10位まで選定された脅威は、昨年と同じものでした。ただ、3～9位は順位の変動がありました。

組織向け脅威の順位は以下の通り。（ ）内は昨年の順位。

• 1位  (1)   ランサムウェアによる被害
• 2位  (2)   サプライチェーンの弱点を悪用した攻撃
• 3位  (4)   内部不正による情報漏えい等の被害
• 4位  (3)   標的型攻撃による機密情報の窃取
• 5位  (6)   修正プログラムの公開前を狙う攻撃（ゼロデイ攻撃）
• 6位  (9)   不注意による情報漏えい等の被害
• 7位  (8)   脆弱性対策情報の公開に伴う悪用増加
• 8位  (7)   ビジネスメール詐欺による金銭被害
• 9位  (5)   テレワーク等のニューノーマルな働き方を狙った攻撃
• 10位(10) 犯罪のビジネス化（アンダーグラウンドサービス）

このうち、ランサムウェアによる被害（1位）と内部不正による情報漏えい等の被害（3位）、標的型攻撃による機密情報の窃取（4位）は2016年から9年連続で選定され続けています。内部不正については、IPAは2022年に「組織における内部不正防止ガイドライン」を5年ぶりに改訂、事業環境の変化や技術の進歩を踏まえた対策を追記しています。また同じく「人」が原因となる脅威として「不注意による情報漏えい等の被害」は前年から順位を上げて6位となりました。

（※）個人向けの脅威は、インターネット上のサービスからの個人情報の窃取▽インターネット上のサービスへの不正ログイン▽クレジットカード情報の不正利用▽スマホ決済の不正利用▽偽警告によるインターネット詐欺▽ネット上の誹謗・中傷・デマ▽フィッシングによる個人情報等の詐取▽不正アプリによるスマートフォン利用者への被害▽メールやSMS等を使った脅迫・詐欺の手口による金銭要求▽ワンクリック請求等の不当請求による金銭被害の10個。