IPAの「情報セキュリティ10大脅威2022」 “Log4j”影響でゼロデイ攻撃が浮上

情報処理推進機構（IPA）が、2021年に起きた情報セキュリティ事案の影響の大きさを示すランキング「情報セキュリティ10大脅威2022」を発表した。組織部門では新たに「修正プログラムの公開前を狙う攻撃」（ゼロデイ攻撃）が7位にランクインした。

[松浦立樹，ITmedia]

　情報処理推進機構（IPA）は1月27日、2021年に起きた情報セキュリティ事案の影響の大きさを示すランキング「情報セキュリティ10大脅威2022」を発表した。組織部門では新たに「修正プログラムの公開前を狙う攻撃」（ゼロデイ攻撃）が7位にランクインした。

　これは、2021年12月に発生した「Apache Log4j」のゼロデイ脆弱性に関する話題が世界的に大きな影響を与えた結果という。「ゼロデイ攻撃の場合、修正プログラムが提供された時点ですでに攻撃が行われているため、脆弱性対策に加え、外部からの侵入を検知／防御する機器を導入するなどの備えが重要」とIPAは解説する。

　組織部門での1位は2021年と同じく「ランサムウェアによる被害」に。国内の企業や病院が標的になり、大きな話題となった。近年はデータの暗号化だけでなく、データを窃取して「公開する」と脅迫して身代金を要求するケースも増えているという。対策として「ウイルス対策や不正アクセス対策、脆弱性対策など、基本的な対策を確実かつ多層的に適用することが重要」（IPA）と説明する。

　トップ10は2位が「標的型攻撃による機密情報の窃取」、3位は「サプライチェーンの弱点を悪用した攻撃」、4位は「テレワーク等のニューノーマルな働き方を狙った攻撃」、5位は「内部不正による情報漏えい」、6位は「脆弱性対策情報の公開に伴う悪用増加」、7位は「修正プログラムの公開前を狙う攻撃（ゼロデイ攻撃）」、8位は「ビジネスメール詐欺による金銭被害」、9位は「予期せぬIT基盤の障害に伴う業務停止」、10位は「不注意による情報漏えい等の被害」がランクインした。

組織部門のランキング

　個人部門のトップ10は、変動はあるものの内容は2020年と2021年と同じ顔ぶれに。「フィッシングによる個人情報などの詐取」が初の1位になり、Webサービスへのアクセスは自身のブックマークや公式アプリから行うよう、注意を訴えた。

　トップ10は2位が「ネット上の誹謗・中傷・デマ」、3位は「メールやSMS等を使った脅迫・詐欺の手口による金銭要求」、4位は「クレジットカード情報の不正利用」、5位は「スマホ決済の不正利用」、6位は「偽警告によるインターネット詐欺」、7位は「不正アプリによるスマートフォン利用者への被害」、8位は「インターネット上のサービスからの個人情報の窃取」、9位は「インターネットバンキングの不正利用」、10位は「インターネット上のサービスへの不正ログイン」がランクインした。

個人部門のランキング

　このランキングは、2021年に発生した脅威候補をIPAが選定し、情報セキュリティ分野の研究者や企業の実務担当者など約150人のメンバーで構成する「10大脅威選考会」の投票を経て決定したもの。