こらむ

研究ブログ【コラム】＃428

こらむ

セキュリティについて情報処理推進機構がなにかだしました。

どうも、こんにちは。

マグロ所長です。

情報処理推進機構（IPA）は27日、2021年に発生した情報セキュリティー事案について、社会的な影響などを加味してランキング形式でまとめた「情報セキュリティ10大脅威 2022」を公表しました。

個人部門の1位「フィッシングによる個人情報等の詐取」は、今回初めて首位となりました。米アマゾン・ドット・コムなどの電子商取引（EC）サイトや金融機関などになりすました手口が多く確認されたということです。

ランキングですが個人では1位がフィッシングによる個人情報を取る詐欺。

2位はネット上の誹謗・中傷・デマの書き込み。3位はメールやSNS等を使った脅迫・詐欺の手口による金銭請求。4位はクレジットカード情報の不正利用です。

5位はスマホ決済の不正利用です。6位は偽警告によるインターネット詐欺。7位は不正アプリによるスマートフォン使用者への被害。

8位はインターネット上のサービスからの個人情報の窃取。9位はインターネットバンキングの不正利用。10位はインターネット上のサービスへの不正ログインが個人での驚異として掲載されています。

では組織向けということで出ている驚異ですが1位はランサムウェアによる被害です。2位は標的攻撃による機密情報に窃取。

3位はサプライチェーンの弱点を悪用した攻撃。4位はテレワーク等のニューノーマルな働き方を狙った攻撃。

5位は内部不正による情報漏えいです。6位は脆弱性対策情報の公開に伴う悪用増加。

7位は修正プログラムの公開前を狙う攻撃。8位はビジネスメール詐欺による金銭被害。

9位は予期せぬIT基盤の障害に伴う業務停止。10位は不注意による情報漏えい気等の被害です。

組織の方はお金を騙し取るような云々とかではないですよね。そもそも組織としての動きができなくなるような攻撃が多いのと、機密情報系が抜かれることが多いんですよね。

IPAはゼロデイ攻撃の一例として、21年12月にプログラミング言語Java（ジャバ）のログ出力ライブラリー「Apache Log4j（アパッチログフォージェイ）」の脆弱性対策情報が公開されるとともに、既に攻撃が観測されていたことを挙げる。

ゼロデイ攻撃の場合、修正プログラムが提供されたときには既に攻撃されている。IPAは「脆弱性対策に加え、外部からの侵入を検知/防御する機器を導入するなどの備えが重要」とした。ということで書かれています。

基本的にはこのネット社会では上記の点が気をつければいいということですね。

以上、マグロでした。

研究ブログ