IPAは1月25日、情報セキュリティにおける脅威のうち、2022年に社会的影響が大きかったトピックを「情報セキュリティ10大脅威 2023」として公表した。
「情報セキュリティ10大脅威 2023」は、IPAが2022年に発生した脅威候補を選定し、情報セキュリティ分野の研究者、企業の実務担当者など約200名のメンバーで構成する「10大脅威選考会」の投票を経て決定したもの。
「個人」向けの脅威は、「フィッシングによる個人情報等の詐取」が2年連続で第1位となった。フィッシング対策協議会によると、2022年の報告件数は約97万件と、2021年の約53万件から大幅に増加している。
詐取された認証情報による不正ログインを予防には、「多要素認証を有効にする」「被害を早期に発見するために利用サービスのログイン履歴やクレジットカード等の利用明細を日常的に確認する」といった取り組みが大切だという。
「組織」向けの脅威は、3年連続で「ランサムウェアによる被害」が第1位となった。2022年も脆弱性を悪用した事例やリモートデスクトップ経由での不正アクセスによる事例が発生しているという。
また、情報の暗号化のみならず窃取した情報を公開すると脅す「二重脅迫」に加え、DDoS攻撃を仕掛ける、被害者の顧客や利害関係者へ連絡するとさらに脅す「四重脅迫」が新たな手口として挙げられている。
今年は個人、組織のいずれも10位の脅威が入れ替わるのみで、9位までの脅威の種類は昨年と同じだった。しかし、組織10位に他の脅威を誘発しかねない「犯罪のビジネス化(アンダーグラウンドサービス)」がランクインしたように、各脅威に対して適切な対策を取ることが引き続き求められると、IPAは注意を呼び掛けている。