毎年恒例の「情報セキュリティ10大脅威」が2023年1月25日にIPA(情報処理推進機構)から発表されました。相変わらずランサムウェアが猛威を振る状況です。新しくランキングされた脅威は「犯罪のビジネス化」のみでしたがこれも、ランサムウェアの攻撃スタイルの変化によるものです。
日本のIT国家戦略を技術面・人材面から支えるために設立された経済産業省所管の独立行政法人であるIPAが、情報セキュリティ対策の普及を目的として、情報セキュリティ事故や攻撃の状況等から脅威を選出し、2006年から毎年上位10位を公表しているのが、「情報セキュリティ10大脅威 2023」です。
2022年に発生した社会的に影響が大きかったと考えられる情報セキュリティにおける事案から、IPAが脅威候補を選出し、情報セキュリティ分野の研究者、企業の実務担当者など約200名のメンバーで構成する「10大脅威選考会」の投票を経て決定したものです。
ランキングには「個人」と「組織:企業、政府機関、公共団体等の組織およびその組織に所属している人」という立場でそれぞれランキングしていますが、ここでは「組織」のみを扱います。
| 順位 | 脅威 | 昨年順位 |
|---|---|---|
| 1位 | ランサムウェアによる被害 | 1位 |
| 2位 | サプライチェーンの弱点を悪用した攻撃 | 3位 |
| 3位 | 標的型攻撃による機密情報の窃取 | 2位 |
| 4位 | 内部不正による情報漏えい | 5位 |
| 5位 | テレワーク等のニューノーマルな働き方を狙った攻撃 | 4位 |
| 6位 | 修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃) | 7位 |
| 7位 | ビジネスメール詐欺による金銭被害 | 8位 |
| 8位 | 脆弱性対策情報の公開に伴う悪用増加 | 6位 |
| 9位 | 不注意による情報漏えい等の被害 | 10位 |
| 10位 | 犯罪のビジネス化(アンダーグラウンドサービス) | NEW |
| 順位 | 脅威 | 昨年 順位 |
|---|---|---|
| 1位 | ランサムウェアによる被害 | 1位 |
| 2位 | サプライチェーンの弱点を悪用した攻撃 | 3位 |
| 3位 | 標的型攻撃による機密情報の窃取 | 2位 |
| 4位 | 内部不正による情報漏えい | 5位 |
| 5位 | テレワーク等のニューノーマルな働き方を狙った攻撃 | 4位 |
| 6位 | 修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃) | 7位 |
| 7位 | ビジネスメール詐欺による金銭被害 | 8位 |
| 8位 | 脆弱性対策情報の公開に伴う悪用増加 | 6位 |
| 9位 | 不注意による情報漏えい等の被害 | 10位 |
| 10位 | 犯罪のビジネス化(アンダーグラウンドサービス) | NEW |
| 脅威 | 2019年 | 2020年 | 2021年 | 2022年 | 2023年 |
|---|---|---|---|---|---|
| ランサムウェアによる被害 | 3 | 5 | 1 | 1 | 1 |
| サプライチェーンの弱点を悪用した攻撃 | 4 | 4 | 4 | 3 | 2 |
| 標的型攻撃による機密情報の窃取 | 1 | 1 | 2 | 2 | 3 |
| 内部不正による情報漏えい | 5 | 2 | 6 | 5 | 4 |
| テレワーク等のニューノーマルな働き方を狙った攻撃 | 圏外 | 圏外 | 3 | 4 | 5 |
| 修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃) | 圏外 | 圏外 | 圏外 | 7 | 6 |
| ビジネスメール詐欺による金銭被害 | 2 | 3 | 5 | 8 | 7 |
| 脆弱性対策情報の公開に伴う悪用増加 | 9 | 圏外 | 10 | 6 | 8 |
| 不注意による情報漏えい等の被害 | 10 | 7 | 9 | 10 | 9 |
| 犯罪のビジネス化(アンダーグラウンドサービス) | 圏外 | 圏外 | 圏外 | 圏外 | 10 |
| 予期せぬIT基盤の障害に伴う業務停止 | 圏外 | 6 | 7 | 9 | 圏外 |
| インターネット上のサービスへの不正ログイン | 圏外 | 圏外 | 8 | 圏外 | 圏外 |
| インターネット上のサービスからの個人情報の窃取 | 7 | 8 | 圏外 | 圏外 | 圏外 |
| IoT機器の不正利用 | 8 | 9 | 圏外 | 圏外 | 圏外 |
| サービス妨害攻撃によるサービスの停止 | 6 | 10 | 圏外 | 圏外 | 圏外 |
| 脅威 | 2023年 | 2022年 | 2021年 | 2020年 | 2019年 |
|---|---|---|---|---|---|
| ランサムウェアによる被害 | 1 | 1 | 1 | 5 | 3 |
| サプライチェーンの弱点を悪用した攻撃 | 2 | 3 | 4 | 4 | 4 |
| 標的型攻撃による機密情報の窃取 | 3 | 2 | 2 | 1 | 1 |
| 内部不正による情報漏えい | 4 | 5 | 6 | 2 | 5 |
| テレワーク等のニューノーマルな働き方を狙った攻撃 | 5 | 4 | 3 | 圏外 | 圏外 |
| 修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃) | 6 | 7 | 圏外 | 圏外 | 圏外 |
| ビジネスメール詐欺による金銭被害 | 7 | 8 | 5 | 3 | 2 |
| 脆弱性対策情報の公開に伴う悪用増加 | 8 | 6 | 10 | 圏外 | 9 |
| 不注意による情報漏えい等の被害 | 9 | 10 | 9 | 7 | 10 |
| 犯罪のビジネス化(アンダーグラウンドサービス) | 10 | 圏外 | 圏外 | 圏外 | 圏外 |
| 予期せぬIT基盤の障害に伴う業務停止 | 圏外 | 9 | 7 | 6 | 圏外 |
| インターネット上のサービスへの不正ログイン | 圏外 | 圏外 | 8 | 圏外 | 圏外 |
| インターネット上のサービスからの個人情報の窃取 | 圏外 | 圏外 | 圏外 | 8 | 7 |
| IoT機器の不正利用 | 圏外 | 圏外 | 圏外 | 9 | 8 |
| サービス妨害攻撃によるサービスの停止 | 圏外 | 圏外 | 圏外 | 10 | 6 |
「ランサムウェアによる被害」が2021年から2023年まで3年連続の1位となりました。
警察庁に報告されたランサムウェアの被害は、2020年下期に21件でしたが、2021年上期が61件、下期が85件、2022年上期は114件と前年同期比187%となっています。
また、ソフォスのレポート「日本のランサムウェアの現状」によると、2021年に日本の組織が支払った身代金の平均支払額は4,327,024米ドル(約5億8600万円)となりました。これは、すべての調査対象国の中で最も高い金額で、世界の身代金の平均支払額812,360米ドルの5.3倍に相当します。
「テレワーク等のニューノーマルな働き方を狙った攻撃」は、新型コロナウイルスの流用により、日本の企業の多くが在宅勤務によるテレワークがスタートた2020年(ランキングとしては2021年)に3位に新登場して以来、4位、5位とランキングを落としています。当初セキュリティ対策が不十分なままテレワークをスタートさせた企業の多くがサイバー攻撃の標的にされていましたが、年々少しずつ改善された結果だと推測できます。しかし、従来から報告されているテレワークに利用しているVPNの脆弱性をターゲットにしたサイバー攻撃による被害が、2022年も多く発生しています。
ソフォスが2022年12月に公開した「ソフォス脅威レポート2023年版」では「ランサムウェアの進化」というタイトルで、今回10位にランキングした「犯罪のビジネス化」によるランサムウェアの攻撃手法の変化を特集にしています。
闇マーケットでは、高度なスキルを持たないサイバー犯罪者でもマルウェアやマルウェアを配信するパッケージを購入し、盗んだ認証情報やその他のデータを大量に販売できます。アクセスブローカーは、脆弱なソフトウェアエクスプロイトや認証情報を他の犯罪組織に販売することをますます強化しています。
このランサムウェアが産業化したことで、ランサムウェアの「提携者」は、悪用を専門とする専門的な活動へと進化してきています。これらは特定のランサムウェアのオペレーションや国家によるスパイ活動などの目的に限定されておらず、さまざまな攻撃が展開されています。
※ サイバーソリューション大手顧客レビューサイトG2の2023年冬で、総合評価1位を獲得
