IPA(情報処理推進機構)は1月31日、2016年に発生した社会的に影響が大きかったと考えられる情報セキュリティにおける事案から、IPAが脅威候補を選出し、情報セキュリティ分野の研究者、企業の実務担当者など約100名のメンバーからなる「10大脅威選考会」の審議・投票により決定した「情報セキュリティ10大脅威 2017」を発表した。

昨年に引き続き「個人」「組織」の1位に変動はなく、個人は「インターネットバンキングやクレジットカード情報の不正利用」、組織は「標的型攻撃による情報流出」だった。

警察庁の発表によると、インターネットバンキングの被害額は、「組織」では大幅減少したが、「個人」では増加傾向に転じており、「個人」における対策不足が浮き彫りになった。

標的型攻撃については、大手旅行会社が標的型攻撃により約678万件の個人情報を漏洩した可能性があると発表したが、その発端はグループ会社のオペレーター端末でメールに添付された不正なファイルを開いたためで、標的型攻撃メールは依然として組織にとって大きな脅威としている。

今年の10大脅威の特徴としては、IoT機器の脅威が初めてランクインしたことが挙げられる。

マルウェア「Mirai」によりIoT機器が大規模なDDoS攻撃に加担させられた事案では、IoT機器のメーカーがリコールに迫られたり、標的となったDNSサーバを利用していたネットサービスが数時間に渡って接続しにくくなったり、被害が広範にわたった。

「個人」においては、機器への適切な設定が必要であることを知らなかったためにDDoS攻撃の踏み台になってしまったり、ネットサービスが利用できなくなったりするなどの営業があった。

「情報セキュリティ10大脅威 2017」 資料:IPA