ここでは、「IPA(情報処理推進機構)」が2023年1月25日に発表した「情報セキュリティ10大脅威2023」のランキングデータをもとに、近年のサイバー攻撃の傾向を解説しています。
「情報セキュリティ10大脅威2023」とは?
「情報セキュリティ10大脅威2023」は、「IPA(情報処理推進機構)」(日本のIT国家戦略を人材面・技術面から支える目的で設けられた独立行政法人)から2023年1月25日に発表されたデータで、情報セキュリティ対策の普及を目的に2006年から毎年発表されている同データの2023年度版です。
2022年に起きた情報セキュリティ事故や攻撃の状況等から“脅威”を選出し、1位~10位までのランキングにしています。
ランキングは「個人」版と「組織」版がありますが、ここでは「組織」版のランキングをご紹介しつつ、近年の組織に対するサイバー攻撃の傾向を見ていきたいと思います。
「情報セキュリティ10大脅威2023」の組織版ランキングをチェック!
1位:「ランサムウェアによる被害」(前年順位:1位)
2位:「サプライチェーンの弱点を悪用した攻撃」(前年順位:3位)
3位:「標的型攻撃による機密情報の窃取」(前年順位:2位)
4位:「内部不正による情報漏えい」(前年順位:5位)
5位:「テレワーク等のニューノーマルな働き方を狙った攻撃」(前年順位:4位)
6位:「修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃)」(前年順位:7位)
7位:「ビジネスメール詐欺による金銭被害」(前年順位:8位)
8位:「脆弱性対策情報の公開に伴う悪用増加」(前年順位:6位)
9位:「不注意による情報漏えい等の被害」(前年順位:10位)
10位:「犯罪のビジネス化(アンダーグラウンドサービス)」(前年順位:圏外)
傾向その 1:ランサムウェアの被害が例年多い
近年は「ランサムウェアによる被害」がとくに多く、2021年〜2023年までの3年間は連続でランキング1位となっています。
警察庁に報告が上がったランサムウェア被害の件数を見ても、「2020年(下期):21件」「2021年(上期):61 件」「2021年(下期):85件」「2022年(上期):114件」と、年々増加していることは明らかです。
また、ソフォスが発表したレポート「日本のランサムウェアの現状」によれば、2021年に日本の組織が支払った身代金の平均額は、全調査対象国のなかで最高金額となる約5億8600万円でした。
傾向その 2:テレワークなどを狙った攻撃にもまだまだ注意
「テレワーク等のニューノーマルな働き方を狙った攻撃」は、新型コロナウイルスの影響でテレワークが一気に増えた2020年(2021年版ランキング)に3位で初登場しましたが、その後は4位、5位と順位が下がっています。
テレワーク導入当初はセキュリティ対策が十分でなかった企業も、徐々に適切な対策を講じられてきた結果であると考えられます。
ただ、テレワークに利用するVPNの脆弱性をついたサイバー攻撃は未だ多く発生しているため、引き続き注意が必要です。
傾向その 3:「犯罪のビジネス化」が新たにランクイン
組織編の脅威ランキングで2018年を最後に圏外となっていた「犯罪のビジネス化(アンダーグラウンドサービス)」が、今回再びランクインしました。
高度な知識がなくとも容易にサイバー攻撃が可能となるツールやサービスが売買アンダーグラウンド市場で売買されており、そうしたビジネスが再び盛り上がってきてしまっている、ということです。
新たな攻撃者が参入しやすい環境となっているため、企業としてはより徹底した対策が求められていると言えるでしょう。
