情報処理推進機構(IPA)は、2024年1月24日、2023年に社会的影響が大きかった、情報セキュリティのトピックを「情報セキュリティ10大脅威 2024」として公表しました。同ランキングは、2023年に発生したセキュリティ事故や脅威から候補を選定し、情報セキュリティ分野の研究者や実務担当者などのメンバーで構成される、「10大脅威選考会」が脅威候補に対して審議や投票を経て、決定したものです。毎年、「組織」と「個人」に分けて脅威の選定を行っており、いずれも上位に選ばれた10項目は前年と同じではあるが、常に脅威の手口は進化しているとして、注意喚起しています。また、10大脅威2024では、個人の10大脅威の順位は掲載せず、五十音順で並べてる理由として、順位を脅威危険度と誤って認識して、順位の高い脅威から優先的に対応し、下位の脅威への対策が疎かになることを懸念してのこと。順位に関わらず、自身に関係のある脅威に対して、対策を行うよう呼びかけています。「組織向け」および「個人向け」の10大脅威は、次の通りです。
【組織向け脅威】
1位:ランサムウェアによる被害(前年1位:9年連続9回目)
2位:サプライチェーンの弱点を悪用した攻撃(前年2位:6年連続6回目)
3位:内部不正による情報漏えい(前年4位:9年連続9回目)
4位:標的型攻撃による機密情報の窃取(前年3位:9年連続9回目)
5位:修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃)(前年6位:3年連続3回目)
6位:不注意による情報漏えい等の被害(前年9位:6年連続7回目)
7位:脆弱性対策情報の公開に伴う悪用増加(前年8位:4年連続7回目)
8位:ビジネスメール詐欺による金銭被害(前年7位:7年連続7回目)
9位:テレワーク等のニューノーマルな働き方を狙った攻撃(前年5位:4年連続4回目)
10位:犯罪のビジネス化(アンダーグラウンドサービス)(前年10位:2年連続4回目)
【個人向け脅威】(五十音順)
・インターネット上のサービスからの個人情報の窃取(5年連続8回目)
・インターネット上のサービスへの不正ログイン(9年連続9回目)
・クレジットカード情報の不正利用(9年連続9回目)
・スマホ決済の不正利用(5年連続5回目)
・偽警告によるインターネット詐欺(5年連続5回目)
・ネット上の誹謗・中傷・デマ(9年連続9回目)
・フィッシングによる個人情報等の詐取(6年連続6回目)
・不正アプリによるスマートフォン利用者への被害(9年連続9回目)
・メールやSMS等を使った脅迫・詐欺の手口による金銭要求(6年連続6回目)
・ワンクリック請求等の不当請求による金銭被害(2年連続4回目)
IPAでは、2月下旬にIPAのWebサイトで「情報セキュリティ10大脅威 2024」の詳しい解説を公開する予定です。