毎年公開されている、IPA(情報処理推進機構)による情報セキュリティ10大脅威。
2024年版の発表がありましたので、今回のメルマガで最近のトレンドを追ってみましょう。
個人向け脅威
「個人」向けと「組織」向けで分けられていますが、まずは個人向けからです。
個人においては、順位をつけると下位への脅威対策がおろそかになる懸念があるとのことで、順位はついていません。
<情報セキュリティ10大脅威(2024)(個人)>
- インターネット上のサービスからの個人情報の窃取
- インターネット上のサービスへの不正ログイン
- クレジットカード情報の不正利用
- スマホ決済の不正利用
- 偽警告によるインターネット詐欺
- ネット上の誹謗・中傷・デマ
- フィッシングによる個人情報等の詐取
- 不正アプリによるスマートフォン利用者への被害
- メールやSMS等を使った脅迫・詐欺の手口による金銭要求
- ワンクリック請求等の不当請求による金銭被害
どれも、今年新しく登場したものはありません。
脅威のパターンとしてはある程度同じということなのでしょう。
もちろん、それぞれの内容はより高度化していますので継続して警戒は必要です。
新しく登場したものはないということは、逆に言うと、攻撃者からすると十分な効果が出ているということにもなりますね。
組織向け脅威
組織編です。
こちらは順位付けされています。
<情報セキュリティ10大脅威(2024)(組織)>
- ランサムウェアによる被害
- サプライチェーンの弱点を悪用した攻撃
- 内部不正による情報漏えい等の被害
- 標的型攻撃による機密情報の窃取
- 修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃)
- 不注意による情報漏えい等の被害
- 脆弱性対策情報の公開に伴う悪用増加
- ビジネスメール詐欺による金銭被害
- テレワーク等のニューノーマルな働き方を狙った攻撃
- 犯罪のビジネス化(アンダーグラウンドサービス)
こちらも、新しく登場したものはありません。
上位を見ていくと、事業にインパクトのある事象が入ってきていることが読み取れます。
ランサムウェアは全ての業務が止まる可能性もあり、昨今、ランサムウェアによる被害情報を目にすることも増えました。
しかし、バックアップを工夫するなどで、クリティカルな影響を避けやすいものでもあると感じます。
このあたりはしっかりと投資して防いでいきたいところですね。
3位に「内部不正」が入ってきているのは、結構深刻だと感じます。
システムのみでは防ぎきることが難しい事象です。
「人」の観点も含めて、どうしていくべきかを考えていく必要がありますね。
対策は?
全般的には「事例を知る」ということが有効です。
しかし、現実的にはそのようなことに時間を使っていくことは難しいでしょう。
そもそも、難解な内容も多いです。
最低限、「おかしな挙動」「おいしい話」のような状況に遭遇した場合は、まずは詳しい人に相談しましょう。
メルマガ『Professional's eye』
"意見が持てる"デジタルコラム
週1回配信、3分で楽しめます。
送信いただいた時点で「Privacy Policy」に同意したとみなします。
広告を含むご案内のメールをお送りする場合があります。
