独立行政法人情報処理推進機(IPA)は1月30日、「情報セキュリティ10大脅威2019」を発表した。IPAがあらかじめ選出した情報セキュリティにおける32の脅威から、2018年に社会的影響が大きかったトピックのトップ10を個人部門、組織部門に分類、選出している。
新たな脅威として「メールやSNSを使った脅迫、詐欺の手口による金銭要求」(個人4位)と「サプライチェーンの弱点を利用した攻撃の高まり」(組織4位)が初めてランクインした。
「情報セキュリティ10大脅威 2019」(出典:IPA)
個人部門では“だましによる手口”が顕著な傾向があるという。1位~4位、6位、7位に、利用者をだまして金銭や情報を詐取する手口がランクイン。必ずしもウイルスは用いられていないという。
具体的な手口を知ることが一番の対策となり、IPAの「安心相談窓口だより」をはじめとした情報セキュリティのページ、ネットのニュースやブログをチェックし情報収集に努めるべきとしている。
組織部門の4位には、原材料や部品の調達、製造、在庫管理、物流、販売までの一連の商流と商流に関係する複数の組織群を指すサプライチェーンに対する攻撃が新たにランクイン。
セキュリティ対策が不十分な組織、箇所を糸口として侵入し、最終目的である標的への攻撃を試みるという。多様な手口で脆弱と考えられる子会社や委託先を突破口に親会社や委託元を狙い、結果として製品やサービス、利用者である顧客にも被害が及ぶとしている。
経済産業省とIPAが共同で策定、2017年11月に公開した「サイバーセキュリティ経営ガイドライン Ver. 2.0」(PDF)では、新たに「サプライチェーンセキュリティ対策の推進」の項目を追加。企業経営にはサプライチェーン全体でのセキュリティ対策が必要になるとしている。
情報セキュリティ10大脅威2019は、情報セキュリティ分野の研究者、企業の実務担当者など約120人で構成する「10大脅威選考会」の審議と投票によって選出。
2月下旬に詳しい解説をIPAのウェブサイトで公開する。