識者が選ぶ2013年最大の脅威は「標的型メールとスパイ」

情報セキュリティ分野の研究者や実務担当者など117人が2013年の「10大セキュリティ脅威」を選定。トップは影響範囲が拡大しつつある標的型メールを使ったスパイ活動だった。

[ITmedia]

標的型メールを使ったスパイ活動（IPAより）

　情報処理推進機構（IPA）は3月17日、「2014年版 情報セキュリティ10大脅威」を発表した。2013年に起きた情報セキュリティ関連の出来事から社会的影響が大きい脅威のトップ10を選出し、前年2位の「標的型メールを用いた組織へのスパイ・諜報活動」が1位になった。

　1位の「標的型メールを用いた組織へのスパイ・諜報活動」は、2011年に特定の政府機関や研究機関への攻撃として認識されるようになった。2013年は一般企業も狙われる状況となり、「さらに警戒すべき脅威である」と指摘されている。2〜4位にはWeb関連の脅威が浮上。昨年3位の「悪意あるスマートフォンアプリ」が6位に下がる一方、新たな脅威として「SNSへの軽率な情報公開」「ウイルスを使った詐欺・恐喝」がランクインした。

　10大脅威は、情報セキュリティ分野の研究者や実務担当者など117人で構成される「10大脅威執筆者会」のメンバーによる審議と投票から選出されたもの。トップ10と選定理由は以下の通り。

順位	脅威	選定理由
1位	標的型メールを用いた組織へのスパイ・諜報活動	インターネットを介して組織の機密情報を盗み取る、スパイ型の攻撃が続く。政府機関から民間企業まで幅広く狙われ、国益や企業経営を揺るがす懸念事項となっている
2位	不正ログイン・不正利用	攻撃者による不正なログインやそれによるサービスの不正利用、個人情報漏えいなどの事件が頻発。不正ログインを誘発する要因の一つに、複数サイトでパスワードを使い回していることが挙げられ、ユーザーはサイトごとに異なるパスワードを設定することが求められる
3位	Webサイトの改ざん	Webサイト改ざん被害が増加。改ざんはウイルス感染の踏み台にも悪用される手口であり、サイト運営側は改ざんによる最終的な被害者が閲覧者になる点を認識して、十分な対策を実施しておかなければならない
4位	Webサービスからのユーザー情報の漏えい	2013年前半に外部攻撃によって大量のユーザー情報が流出する被害が、会員制サービスで多発。クレジットカード情報などの個人情報を大量に保持しているサービスから情報が流出してしまうと、影響が広範囲に及ぶため、十分な対策が求められる
5位	オンラインバンキングからの不正送金	オンラインバンキングの不正送金の発生件数、被害額が過去最大となった。フィッシング詐欺やウイルスにより、ユーザーのパスワードが盗まれ、本人に成りすまして、不正送金が行われる
6位	悪意あるスマートフォンアプリ	魅力的なコンテンツを含んでいると見せかけた悪意あるスマートフォンアプリにより、端末に保存されている電話帳などの情報が、知らぬ間に窃取される被害が続く。収集された個人情報がスパム送信や不正請求詐欺などに悪用される二次被害も確認
7位	SNSへの軽率な情報公開	プライベートな情報を気楽に発信できる時代。一方で従業員や職員が、職務に関係する情報を軽率にSNSへ投稿したことが原因で、企業・組織が損害を受ける事例が散見される
8位	紛失や設定不備による情報漏えい	ノートPCやUSBメモリの紛失などの情報漏えい事故は、最も頻発するセキュリティ事故の1つ。スマートフォンやクラウドサービスが普及し、情報を保管する手段、媒体・場所が多様になり、情報漏えいを引き起こすリスクは拡大
9位	ウイルスを使った詐欺・恐喝	ランサムウェアというPCをロックして身代金を要求するウイルスによる被害が増加。感染するとデータにアクセスできない場合があり、業務への支障や個人への心理的なダメージが大きい
10位	サービス妨害	昨年は韓国でサービス停止に陥らせる攻撃が発生。DNSサーバを踏み台にしたDDoS攻撃が問題に