HOME情報セキュリティ情報セキュリティ対策脆弱性対策情報セキュリティ10大脅威 2015
最終更新日:2015年3月25日
本資料は、情報セキュリティ分野の研究者、企業の実務担当者など64組織99名から構成される「10大脅威執筆者会」メンバーの審議・投票によってトップ10を選出し、各脅威についてメンバーの知見や意見を集めて解説したものです。資料は、下記の3章構成となっています。
IPAは、本資料が、読者自身のセキュリティ対策への理解と、各企業・組織の研修やセキュリティ教育等に活用されることにより、セキュリティ対策の普及の一助となることを期待しています。
(日本語版)
2アップ印刷用(用紙1枚に2ページ分を印刷)はこちら |
ウイルスやフィッシング詐欺により、インターネットバンキングの認証情報やクレジットカード情報が窃取され、利用者本人になりすました攻撃者による不正送金や不正利用が行われた。2014年は、個人口座だけでなく法人口座からの不正送金被害が急増した。
なお、2月6日にプレスリリースした「情報セキュリティ10大脅威 2015」の順位を発表では、タイトルを 「オンラインバンキングやクレジットカード情報の不正利用」としていましたが、検討の結果、本タイトルに変更しました。
企業の従業員が内部情報を窃取し、第三者に販売した事件が社会的な問題となった。内部の人間が悪意を持つと、その人間がアクセスできる範囲で自由に情報を窃取できるため、情報の重要度に応じたアクセス権限の設定や退職者のアクセス権の抹消等、厳重な管理と監視を継続的に行う必要がある。
ウイルスに感染させたパソコンを外部から遠隔操作して、内部情報を窃取する標的型攻撃による被害が政府機関や民間企業で後を絶たない。2014年は、さらに巧妙化した手口が確認され、取引先や関連会社を踏み台にして目的の組織を狙う等の傾向が見られた。
攻撃者にIDとパスワードを知られることで不正ログインの被害に遭う。2014年も、脆弱なウェブサービスから窃取したIDとパスワードを悪用して、別のサービスに不正にログインされる被害が多発した。IDとパスワードを複数のサービスで使い回している利用者が被害に遭っている。
ウェブサービスから氏名や住所等の顧客情報を窃取される事件が頻発した。窃取された情報にIDやパスワード、クレジットカード情報が含まれる場合、不正ログインや金銭被害が発生する等、影響は広範囲に及ぶ可能性もある。
2014年、アメリカの映像メディア企業が攻撃を受けて情報漏えいやサービス停止等の被害に遭い、韓国の原発管理会社では内部文書が漏えいし公開される事件が発生した。犯行グループが声明文や窃取した情報を公表したことで社会的に大きなインパクトを与えた。
閲覧するだけでウイルスに感染するように企業・組織のウェブサイトが改ざんされる事例が多く発生した。ウェブサイトを改ざんされることにより、復旧までのサービス停止による自社・自組織の被害だけでなく、ウェブサイト閲覧者にも被害が及ぶこともある。
インターネット上の様々なサービスは、DNSや電子証明書等の基盤技術に対する信頼の上に成り立っている。2014年は、これらの技術を悪用してウイルス感染サイトへ誘導する等の攻撃が発生した。この攻撃は、利用者側では検知して対応することが難しいため、インターネット提供側である事業者の対策が強く求められる。
2014年はApache Struts、OpenSSL、bash等、広く利用されているソフトウェアの脆弱性対策情報の公表が相次ぎ、それらの脆弱性に対する攻撃が発生した。システム管理者や一般ユーザーは、製品の利用状況や攻撃発生の有無等、脆弱性の影響度に応じて迅速に対策する必要がある。
便利な機能があるように見せかけた悪意あるスマートフォンアプリにより、端末内の電話帳等の個人情報を知らない間に窃取されてしまう。窃取された情報がスパムメールや詐欺に悪用され、友人や知人にまで被害が及ぶ場合もある。
今後のサービス向上を図るため、「情報セキュリティ10大脅威 2015」に関するアンケートにご協力ください。
>
アンケート画面へ
Tel: 03-5978-7503 Fax: 03-5978-7510 E-mail:
| 2015年3月25日 | 解説資料を公開。 |
|---|---|
| 2015年2月6日 | 本ページを公開。順位発表。 |