1. HOME
  2. ブログ
  3. IPA 「情報セキュリティ10大脅威 2024」を発表

IPA 「情報セキュリティ10大脅威 2024」を発表

IPA(独立行政法人情報処理推進機構、理事長:齊藤裕)は、情報セキュリティにおける脅威のうち、2023年に社会的影響が大きかったトピックを「情報セキュリティ10大脅威 2024」として公表した。

「情報セキュリティ10大脅威 2024」は、2023年に発生した社会的に影響が大きかったと考えられる情報セキュリティにおける事案から、IPAが脅威候補を選出し、情報セキュリティ分野の研究者、企業の実務担当者など約200名のメンバーからなる「10大脅威選考会」が脅威候補に対して審議・投票を行い、決定したもの。
10大脅威 2024では、個人の10大脅威の順位は掲載せず、五十音順で並べている。これは、順位が高い脅威から優先的に対応し、下位の脅威への対策が疎かになることを懸念してのことのようだ。IPAでは、「順位に関わらず自身に関係のある脅威に対して対策を行うことを期待しています」としている。

なお、発表されたものは以下の通り。

情報セキュリティ10大脅威 2024 [個人]

「個人」向け脅威(五十音順)初選出年10大脅威での取り扱い
(2016年以降)
インターネット上のサービスからの個人情報の窃取2016年5年連続8回目
インターネット上のサービスへの不正ログイン2016年9年連続9回目
クレジットカード情報の不正利用2016年9年連続9回目
スマホ決済の不正利用2020年5年連続5回目
偽警告によるインターネット詐欺2020年5年連続5回目
ネット上の誹謗・中傷・デマ2016年9年連続9回目
フィッシングによる個人情報等の詐取2019年6年連続6回目
不正アプリによるスマートフォン利用者への被害2016年9年連続9回目
メールやSMS等を使った脅迫・詐欺の手口による金銭要求2019年6年連続6回目
ワンクリック請求等の不当請求による金銭被害2016年2年連続4回目

「個人」向け脅威の種類は10個とも前年と変化がなかった。しかし、種類が同じであっても脅威を取り巻く環境は前年と同じというわけではない。攻撃の手口は古典的で変わらないとしても、その中で被害者を騙す手口は常に更新されている。攻撃者は時機を見ながら、社会的に注目されているニュースや新しい技術(生成AI等)などを駆使して攻撃を仕掛ける。例えば、フィッシングによる個人情報等の詐取では、電力・ガス・食料品等の価格高騰に対する緊急支援給付金を案内するとして不審なメールを送付し、マイナポータルを騙った偽サイトへ誘導する手口が見られた。常日頃から脅威に関する最新情報に注意を払い、手口を知っておくことが重要である。

情報セキュリティ10大脅威 2024 [組織]

順位「組織」向け脅威初選出年10大脅威での取り扱い
(2016年以降)
1ランサムウェアによる被害2016年9年連続9回目
2サプライチェーンの弱点を悪用した攻撃2019年6年連続6回目
3内部不正による情報漏えい等の被害2016年9年連続9回目
4標的型攻撃による機密情報の窃取2016年9年連続9回目
5修正前の公開前を狙う攻撃(ゼロデイ攻撃)2022年3年連続3回目
6不注意による情報漏えい等の被害2016年6年連続7回目
7脆弱性対策情報の公開に伴う悪用増加2016年4年連続7回目
8ビジネスメール詐欺による金銭被害2018年7年連続7回目
9テレワーク等のニューノーマルな働き方を狙った攻撃2021年4年連続4回目
10犯罪のビジネス化(アンダーグラウンドサービス)2017年2年連続4回目

「組織」向け脅威の種類も、全て前年と同じ。1位の「ランサムウェアによる被害」と2位の「サプライチェーンの弱点を悪用した攻撃」は順位も昨年と同じである。3位の「内部不正による情報漏えい等の被害」と6位の「不注意による情報漏えい等の被害」は前年から順位を上げている。これらは、組織内の「人」が原因となる脅威である。

2022年にIPAでは「内部不正防止ガイドライン」を改訂し、働き方の変化や新技術への対応など時代の変化に合わせて対応が必要であることを述べている。外部からの攻撃などITに関する対策だけでなく、内部の不正やミスといった人に関する対策も重要である。

なお、「情報セキュリティ10大脅威 2024」の詳しい解説は、2月下旬にIPAのウェブサイトで公開する予定としている。

出典:IPA プレス発表「情報セキュリティ10大脅威 2024」を決定

関連記事

サイバーセキュリティの課題をテーマ別に紹介中!!