情報セキュリティ10大脅威 2016
最終更新日:2016年2月15日
「情報セキュリティ10大脅威 2016」の順位を発表
「情報セキュリティ10大脅威 2016」は、2015年に発生し、社会的に影響が大きかったと考えられる情報セキュリティの脅威に関する事故・事件から選出したものです。また選出は、情報セキュリティ分野の研究者、企業の実務担当者など69組織108名のメンバーからなる「10大脅威選考会」の審議・投票を経たものです。
今回は、従来の総合的な10大脅威とは別に、影響を受ける対象の違いから「個人」と「組織」という新たに2つの分類で10大脅威を選出しました。また、その上で、個人と組織の総投票数から従来の総合的な10大脅威を選出しています。
なお、IPAでは、3月にこの「情報セキュリティ10大脅威 2016」の詳しい解説をウェブサイトで公開する予定です。
■「情報セキュリティ10大脅威 2016」 個人別・組織別 順位
( )内は総合順位、(-)は総合順位でのランク外です。
| 個人(カッコ内は総合順位) |
順位 |
組織(カッコ内は総合順位) |
| インターネットバンキングやクレジットカード情報の不正利用(1位) |
1位 |
標的型攻撃による情報流出(2位)
|
| ランサムウェアを使った詐欺・恐喝(3位) |
2位 |
内部不正による情報漏えい(8位)
|
| 審査をすり抜け公式マーケットに紛れ込んだスマートフォンアプリ(7位) |
3位 |
ウェブサービスからの個人情報の窃取(4位)
|
| 巧妙・悪質化するワンクリック請求(9位) |
4位 |
サービス妨害攻撃によるサービス停止(-)
|
| ウェブサービスへの不正ログイン(5位) |
5位 |
ウェブサイトの改ざん(6位)
|
| 匿名によるネット上の誹謗・中傷(-) |
6位 |
対策情報の公開に伴い公知となる脆弱性の悪用増加(10位)
|
| ウェブサービスからの個人情報の窃取(4位) |
7位 |
ランサムウェアを使った詐欺・恐喝(3位)
|
| 情報モラル不足によるサイバー犯罪の低年齢化(-) |
8位 |
インターネットバンキングやクレジットカード情報の不正利用(1位)
|
| 職業倫理欠如による不適切な情報公開(-) |
9位 |
ウェブサービスへの不正ログイン(5位)
|
| インターネットの広告機能を悪用した攻撃(-) |
10位 |
過失による情報漏えい(-)
|
「情報セキュリティ10大脅威 2016」の概要
10大脅威選考会メンバーの投票により選出した総合的な10大脅威の順位と概要は下記になります。
第1位 インターネットバンキングやクレジットカード情報の不正利用
2014年下半期に一旦減少したが、2015年上半期にはターゲットが信用金庫や信用組合等地域の 金融機関に拡大し、被害は更に増大した。ウイルスやフィッシング詐欺により、インターネットバンキングの認証情報やクレジットカード情報が窃取され、本人になりすまして不正利用されてしまう。
第2位 標的型攻撃による情報流出
「標的型攻撃」はPCをウイルスに感染させ、外部からPCを遠隔操作して内部情報を窃取する諜報活動のこと。2015年は6月に「標的型攻撃」による日本年金機構の情報漏えいが大きく報じられた。
第3位 ランサムウェアを使った詐欺・恐喝
2014年4月に日本語対応のランサムウェアが日本国内で確認されたことにより国内でも感染被害が出始め、2015年に入ると感染被害は急増した。ランサムウェアに感染するとPC内のファイルが暗号化され、暗号解除のための金銭を要求するメッセージが表示されるなどの現象が引き起こされる。
第4位 ウェブサービスからの個人情報の窃取
ウェブサイトの脆弱性を突き、ウェブサービスが保有する氏名や住所などの個人情報が窃取される事件が国内で発生した。また海外ではハッカー集団が主義主張を目的に攻撃し、個人のプライバシーに関わる情報が暴露されてしまう事件も発生した。
第5位 ウェブサービスへの不正ログイン
管理が万全でないウェブサービスから窃取したIDとパスワードを使い、ネット通販などに本人になりすましてログインされ、サービスを不正利用される被害が発生した。原因の1つは利用者のパスワードの使い回しで、複数のパスワードを記憶できないことがその理由。利用者には適切なパスワード設定と管理が求められている。
第6位 ウェブサイトの改ざん
閲覧するだけでウイルスに感染するよう、オンラインショップなどのウェブサイトが改ざんされる事例が多く発生した。改ざんされるとウェブサイトの一時停止を余儀なくされるなど経営上のダメージを被る被害者となる一方で、アクセス者にウイルスを拡散する加害者にもなってしまう。
第7位 審査をすり抜け公式マーケットに紛れ込んだスマートフォンアプリ
悪意のあるスマートフォンアプリの被害を回避するには公式マーケットからの入手が有効な対策であったが、2015年、厳格なはずの審査をすり抜け、悪意のあるアプリが紛れ込んだ事例が発生した。公式マーケットからの入手であっても信頼に足るアプリか否か、アプリ名や開発者名、機能、アクセス権限等の確認が必要である。
第8位 内部不正による情報漏えい
2015年も組織内部の人間が職務上与えられた権限で内部情報を入手し、外部に流出させる事件が発生した。組織の内部者が悪意を持つと、正当な権限を用いて情報を窃取できるため、情報の重要度に応じたアクセス権限の設定や離職者のアクセス権の抹消等、厳重な管理と監視を継続的に行う必要がある。
第9位 巧妙・悪質化するワンクリック請求
被害が後を絶たないワンクリック請求の手口が巧妙化してきた。以前は、請求画面を表示するだけであったが、請求画面の表示と共にシャッター音を鳴らしたり、自動的に電話を発信させたりする細工などにより、被害者の不安や焦燥感を煽り、支払いを誘発させる巧妙な手口が出現した。
第10位 対策情報の公開に伴い公知となる脆弱性の悪用増加
脆弱性の対策情報の公開は、脆弱性の存在も公知となるため、攻撃者にとっては悪用の材料になりうる。IPAは2015年にFlash Playerの緊急対策情報を14件、注意喚起を8件行ったが、公開から数日以内に悪用が確認された事例もあった。利用者は被害回避のため積極的に情報を収集し、脆弱性対策を漏れなく実施する必要がある。
プレス発表
参考資料(過去の10大脅威)
本件に関するお問い合わせ先
IPA 技術本部 セキュリティセンター 土屋/亀山
Tel: 03-5978-7527 Fax: 03-5978-7518 E-mail:
更新履歴