独立行政法人情報処理推進機構は3月24日、情報セキュリティに関連する資料「2011年版 10大脅威 進化する攻撃...その対策で十分ですか?」を公表した。

この資料は主に2010年に発生したセキュリティの被害事例などを基に、情報セキュリティ分野の研究者や実務担当者127人で構成する「10大脅威執筆者会」が、今後の対策の参考となることを目的として脅威の概要や影響、セキュリティ対策の考え方、方向性についてとりまとめたもの。46ページにわたる3章構成のPDF文書となっており、同機構のWebサイトから無償でダウンロードすることができる。

「2011年版 10大脅威 進化する攻撃...その対策で十分ですか?」の入手先

発表内容によれば、2010年のセキュリティ脅威の特徴は「外部から攻撃される脅威が半数を占めていること」とされているほか、Stuxnetのような複数の攻撃を組み合わせた新たな攻撃が制御システム系や基幹システムにまで影響を及ぼすようになっている背景を踏まえ、同機構では「現状のセキュリティ対策の見直しが迫られている」と指摘している。

今回公表された10大脅威は以下の通り。

  • 第1位 「人」が起こしてしまう情報漏えい
    2010年は、ミニブログサービスやSNSといったWebサービスを介した組織内部の情報を暴露するといった事例があったとされる。
  • 第2位 止まらない!ウェブサイトを経由した攻撃
    ガンブラーやSQLインジェクションなど、2009年に引き続きWebサイト経由での攻撃が頻発。
  • 第3位 定番ソフトウェアの脆弱性を狙った攻撃
    Webブラウザや文書作成ソフトといった"定番"とされるソフトウェアについて、従来通り定期的なアップデートを行うことの重要性を指摘。
  • 第4位 狙われだしたスマートフォン
    普及が加速したことにより、スマートフォンユーザーを狙ったウイルスが出現するなど脅威が顕在化。
  • 第5位 複数の攻撃を組み合わせた「新しいタイプの攻撃」
    海外において、制御システムの誤作動や特定企業の情報窃取を目的とした攻撃が発生。同機構は複数の攻撃を組み合わせたStuxnetのような攻撃を「新たなタイプの攻撃」と名称付けしている。
  • 第6位 セキュリティ対策不備がもたらすトラブル
    システムの設計・構築時のセキュリティ対策や運用時の対策や対応に関する重要性を指摘。
  • 第7位 携帯電話向けウェブサイトのセキュリティ
    2010年に携帯電話向けのWebサイトに関するセキュリティ実装の問題が注目を集めたことを背景に、携帯電話向けWebサイト構築事業者に対して安全性を考慮したWebサイト構築を促す。
  • 第8位 攻撃に気づけない標的型攻撃
    これも2009年から続いている脅威。なりすましなどによってメールの添付ファイルや本文中のリンクから悪意のあるWebサイトにユーザーを誘導し、情報窃取などを狙う。
  • 第9位 クラウド・コンピューティングのセキュリティ
    企業への普及が進みつつある一方で、セキュリティの問題が顕在化。
  • 第10位 ミニブログサービスやSNSの利用者を狙った攻撃
    TwitterなどのミニブログサービスやSNS利用者の爆発的増大に伴う、これらのユーザーを狙った攻撃の増加を指摘。

公開された資料の中で示されている「10大脅威分類図」