IPA（独立行政法人情報処理推進機構）は、情報セキュリティにおける脅威のうち、2020年に社会的影響が大きかったトピックを「10大脅威選考会」の投票によりトップ10を順位付けし、「情報セキュリティ10大脅威 2021」として公表した。

IPAは情報セキュリティ対策の普及を目的として2006年から、前年に発生した情報セキュリティ事故や攻撃の状況等から脅威を選出し、上位10位を公表している。
その2021年版である「情報セキュリティ10大脅威 2021」は、IPAが2020年に発生した脅威候補を選定し、情報セキュリティ分野の研究者、企業の実務担当者など約160名のメンバーで構成する「10大脅威選考会」の投票を経て決定したものである。

「個人」の立場と「組織」の立場の2種類を選定しており、ランキングは以下のとおりである。

出典：IPA

「スマホ決済の不正利用」は昨年に引き続き1位に

個人においては、昨年に引き続き、「スマホ決済の不正利用」が1位となっている。スマホ決済サービスを悪用して他人の銀行口座から残高をチャージ（他人の口座からの金銭窃取）する”ドコモ口座問題”やSMSフィッシングなどの事案が引き続き発生していることが選考理由に挙げられる。
スマホ決済サービスの利用者は、手間に思わず二要素認証を利用するなどの不正ログイン対策の実施や、被害を受けた際に早期に気付くことができるように通知設定を行うなど、スマホ決済サービスの利用状況を確認することが重要である。
また、スマホ決済サービスの利用者以外でも、スマホ決済サービスと連携可能な銀行口座を持つ人は被害に遭う場合もあるため、口座からの出金履歴を適宜確認するといった心構えが重要である。

「テレワーク等のニューノーマルな働き方を狙った攻撃」が初登場で3位に

組織においては、「ランサムウェアによる被害」が1位となった。昨年8月にIPAは、ランサムウェアを用いた新たな攻撃の手口として「人手によるランサムウェア攻撃」と「二重の脅迫」について注意喚起を行っている。
従来はウイルスメールをばらまくなどの方法で広く無差別に攻撃が行われていたが、 新たな攻撃者は、明確に標的を企業・組織に定めている。標的型攻撃と同様の手法で企業・組織のネットワークに侵入したり、データを暗号化するだけでなく、窃取した情報を公開すると脅迫し、身代金を支払わざるを得ないような状況を作り出している。
昨年は国内企業への攻撃も報道され、大きな話題となったのは記憶に新しい。
新たなランサムウェア攻撃は、標的型攻撃と同等の技術が駆使されるため、例えば、ウイルス対策、不正アクセス対策、脆弱性対策など、基本的な対策を、確実かつ多層的に適用することが重要である。

また、「テレワーク等のニューノーマルな働き方を狙った攻撃」が初登場で3位となった。
昨年は新型コロナウイルス感染症の世界的な蔓延に伴い、感染症対策の一環として政府機関からテレワークが推奨されている。その為、企業はテレワークへの移行に伴い、自宅などからVPN経由で社内システムにアクセスしたり、Web会議サービスを利用する機会が増えている。
リモートワーク環境を用意していた企業でない場合、テレワークの実施に際し、私物PCや自宅ネットワークの利用、初めて使うソフトウェアの導入など、緊急用としてのみ利用を認めていた仕組みを恒常的に使う必要性がでてきた。
こうした 業務環境の急激な変化を狙った攻撃が、今、懸念されている。

例えば、自宅でテレワークを行う場合、家庭用ルーターはFirewallの機能なども要しているが、企業用のものとは根本的に異なり、セキュリティレベルは低いと言わざるを得ない。COVID-19封じ込めのため、度重なる緊急事態宣言発出がされ、移動制限を目的にテレワークの更なる拡大が行われ、それが常態化してくると狙われるようになるだろう。

ニューノーマルな働き方におけるセキュリティについて基本的な対策のほか、テレワークの規定や運用ルールの整備、セキュリティ教育の実施などが重要である。

尚、「情報セキュリティ10大脅威 2021」にランクインした各脅威の手口、 傾向や対策など詳しい解説は、2月下旬にIPAのウェブサイトで公開する予定となっている。
こちらも公開され次第、紹介する。

本内容は、IPA様の発表内容を元に作成しております。
ソース：https://www.ipa.go.jp/security/vuln/10threats2021.html