Lesson4-2 最近の脅威

2024.12.30

前回のレッスンでは、
情報資産、脅威とリスク、脅威の分類についてそれぞれ学習しました。

このレッスンでは、ここ最近の脅威にはどのようなものがあるか、
組織と個人に分けて見ていきましょう。

組織

Lesson2でも少し触れましたが、
企業は常にサイバー攻撃の標的となっています。

また企業だけではなく、政府機関も狙われています。

次の10大脅威を見て分かるとおり、
ランサムウェアによる被害が増大しています。

ランサムウェアはコンピューターなどの端末に感染して、
不正にデータを暗号化し、
復号と引き換えに金銭を要求するサイバー攻撃です。

10大脅威には順位がついていますが、
順位が高いものから対応をするのではなく、
企業ごとに注意しなければならない脅威は異なることに注意しましょう。

10大脅威 2024年/2023年

脅威(2024)
1.ランサムウェアによる被害
2.サプライチェーンの弱点を悪用した攻撃
3.内部不正による情報漏えい等の被害
4.標的型攻撃による機密情報の窃取
5.修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃)
6.不注意による情報漏えい等の被害
7.脆弱性対策情報の公開に伴う悪用増加
8.ビジネスメール詐欺による金銭被害
9.テレワーク等のニューノーマルな働き方を狙った攻撃
10.犯罪のビジネス化(アンダーグラウンドサービス)
脅威(2023)
1.ランサムウェアによる被害
2.サプライチェーンの弱点を悪用した攻撃
3.標的型攻撃による機密情報の窃取
4.内部不正による情報漏えい
5.テレワーク等のニューノーマルな働き方を狙った攻撃
6.修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃)
7.ビジネスメール詐欺による金銭被害
8.脆弱性対策情報の公開に伴う悪用増加
9.不注意による情報漏えい等の被害
10.犯罪のビジネス化(アンダーグラウンドサービス)

両年とも10位には、「アンダーグラウンドサービス」が入っています。

アンダーグラウンドサービスは、サイバー犯罪をビジネス化し、
サイバー攻撃の手口をサービスとして提供する違法ビジネスです。

こうした違法ビジネスが増加していることも、
昨今の特色と言えるでしょう。

個人

次に、個人の脅威についても見てみましょう。

フィッシング詐欺などは、
皆さんもよく耳にするのではないでしょうか。

フィッシングとは実在する組織名を名乗って、
メールやSNSで個人情報(IDやパスワード、ATMの暗証番号、クレジットカード番号など)
を詐取することです。

知らないメールやSMS、SNSは注意して、
安易に開いて個人情報を入力しないようにしましょう。

スマホ決済の不正利用もあります。

これはスマホ決済サービスのアカウントを盗み、
本人が知らないところで買い物をするという犯罪です。

パスワードの使い回しをしていると、
情報が盗まれた時に被害が大きくなる可能性があるので注意が必要です。

10大脅威 2024年/2023年

脅威(2024)
インターネット上のサービスからの個人情報の窃取
インターネット上のサービスへの不正ログイン
クレジットカード情報の不正利用
スマホ決済の不正利用
偽警告によるインターネット詐欺
ネット上の誹謗・中傷・デマ
フィッシングによる個人情報等の詐取
不正アプリによるスマートフォン利用者への被害
メールやSMS等を使った脅迫・詐欺の手口による金銭要求
ワンクリック請求等の不当請求による金銭被害

※2024年に順位が表示されていないのは、
順位に関わらずに自分と関係のある脅威に対しては対応をする必要があるからです。

脅威(2023)
1.フィッシングによる個人情報等の詐取
2.ネット上の誹謗・中傷・デマ
3.メールやSMS等を使った脅迫・詐欺の手口による金銭要求
4.クレジットカード情報の不正利用
5.スマホ決済の不正利用
6.不正アプリによるスマートフォン利用者への被害
7.偽警告によるインターネット詐欺
8.インターネット上のサービスからの個人情報の窃取
9.インターネット上のサービスへの不正ログイン
10.ワンクリック請求等の不当請求による金銭被害

※出展:独立行政法人情報処理推進機構(情報セキュリティ10大脅威 2023)

※出展:独立行政法人情報処理推進機構(情報セキュリティ10大脅威 2024)

「脅威」と聞いても自分とは関係のないような気がしますが、
個人の10大脅威を実際に見てみると、
意外と身近なところに潜んでいることがわかるのではないでしょうか。

次のレッスンでは、セキュリティの要素について解説します。