IPAが「情報セキュリティ10大脅威 2021」を発表しました 組織編



はじめに

セキュリティ関係の方御用達のIPAの「情報セキュリティ10大脅威 2021」が発表されました。
これはIPA( 情報処理推進機構)が前年に社会的な影響が大きかったセキュリティ上の驚異をランク付けしたものです。


1位 ランサムウェアによる被害 昨年5位

昨年5位のランサムウェアの被害が今年は1位に選出されました。
大手ゲーム会社の開発情報が流出させられたのは記憶に新しいですね。ランサムウェアとして暗号化して金銭を要求するのに加え、支払わない場合情報を公開するといった手法が登場しました。

2位 標的型攻撃による機密情報の窃取 昨年1位

昨年1位の標的型攻撃が引き続き高ランクをゲットしています。
EmotetやIcedIDなどが記憶に新しく、これらの対策としてPPAPが廃止となる動きが見られています。

3位 テレワーク等のニューノーマルな働き方を狙った攻撃 NEW

新しくランクインしました。新型コロナウイルスが猛威を振るう中昨年12月にかけてフィッシングメールの増加するなど、コロナに便乗した攻撃が目立ちました。

4位 サプライチェーンの弱点を悪用した攻撃 昨年4位

サプライチェーンとは製品を販売するにあたっての調達から配送、販売、消費までの一連の流れのことを指します。
大企業をターゲットとする場合、セキュリティ対策の手薄なグループ会社、関連組織、取引先などを攻撃し、そこからターゲットの大企業へ攻撃を展開します。
末端の企業までまんべんなくセキュリティ教育する必要性があるようです。

5位 ビジネスメール詐欺による金銭被害 昨年3位

EmotetやAmazonを語るフィッシングメールがこれに当たるかと思います。また、企業のCEOを騙ったりするメールもあります。

6位 内部不正による情報漏えい 昨年2位

昨年2位だった内部不正が6位となりました。
執筆当時はGithubに大手メガバンクのソースコードが公開されてしまった事件がありました。セキュリティ意識の高い本社社員ではなく、委託社員が起こした事件とのことで、セキュリティ教育の重要性を改めて認識しました。

7位 予期せぬIT基盤の障害に伴う業務停止 昨年6位

AWSの停止やGSuiteの停止が何度が起こった昨年です。企業側もBCP対策として複数の選択肢を準備しているのではないでしょうか。

8位 インターネット上のサービスへの不正ログイン 昨年16位

昨年16位が8位に大躍進です。
以下のようなパスワードを使っていないでしょうか。すぐに変えましょう
【1】 123456
【2】 password
【3】 12345678
【4】 qwerty
【5】 12345
【6】 123456789
【7】 letmein
【8】 1234567
【9】 football
【10】 iloveyou

9位 不注意による情報漏えい等の被害 昨年7位

昨年7位でしたが、今年は9位にランクダウン。
新型コロナで感染者名簿が閲覧できる状態にありましたという記事を何回も見た昨年でした。

10位 脆弱性対策情報の公開に伴う悪用増加 昨年14位

一昨年4位→昨年14位→今年は10位にランクインです。
いわゆるゼロデイ攻撃だったりエクスプロイトコードと言われるものを悪用した事例になります。迅速なパッチ適用やアップデートがユーザーに求められています。

まとめ

いかがだったでしょうか。2月頃にはIPAの詳細の見解がついているものが発表されましたが、いち早く見てみました。

個人版はこれから執筆しますので、少々お待ち下さい。

コメント