IPAの「情報セキュリティ10大脅威2022」 “Log4j”影響でゼロデイ攻撃が浮上
情報処理推進機構(IPA)が、2021年に起きた情報セキュリティ事案の影響の大きさを示すランキング「情報セキュリティ10大脅威2022」を発表した。組織部門では新たに「修正プログラムの公開前を狙う攻撃」(ゼロデイ攻撃)が7位にランクインした。
情報処理推進機構(IPA)は1月27日、2021年に起きた情報セキュリティ事案の影響の大きさを示すランキング「情報セキュリティ10大脅威2022」を発表した。組織部門では新たに「修正プログラムの公開前を狙う攻撃」(ゼロデイ攻撃)が7位にランクインした。
これは、2021年12月に発生した「Apache Log4j」のゼロデイ脆弱性に関する話題が世界的に大きな影響を与えた結果という。「ゼロデイ攻撃の場合、修正プログラムが提供された時点ですでに攻撃が行われているため、脆弱性対策に加え、外部からの侵入を検知/防御する機器を導入するなどの備えが重要」とIPAは解説する。
組織部門での1位は2021年と同じく「ランサムウェアによる被害」に。国内の企業や病院が標的になり、大きな話題となった。近年はデータの暗号化だけでなく、データを窃取して「公開する」と脅迫して身代金を要求するケースも増えているという。対策として「ウイルス対策や不正アクセス対策、脆弱性対策など、基本的な対策を確実かつ多層的に適用することが重要」(IPA)と説明する。
トップ10は2位が「標的型攻撃による機密情報の窃取」、3位は「サプライチェーンの弱点を悪用した攻撃」、4位は「テレワーク等のニューノーマルな働き方を狙った攻撃」、5位は「内部不正による情報漏えい」、6位は「脆弱性対策情報の公開に伴う悪用増加」、7位は「修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃)」、8位は「ビジネスメール詐欺による金銭被害」、9位は「予期せぬIT基盤の障害に伴う業務停止」、10位は「不注意による情報漏えい等の被害」がランクインした。
個人部門のトップ10は、変動はあるものの内容は2020年と2021年と同じ顔ぶれに。「フィッシングによる個人情報などの詐取」が初の1位になり、Webサービスへのアクセスは自身のブックマークや公式アプリから行うよう、注意を訴えた。
トップ10は2位が「ネット上の誹謗・中傷・デマ」、3位は「メールやSMS等を使った脅迫・詐欺の手口による金銭要求」、4位は「クレジットカード情報の不正利用」、5位は「スマホ決済の不正利用」、6位は「偽警告によるインターネット詐欺」、7位は「不正アプリによるスマートフォン利用者への被害」、8位は「インターネット上のサービスからの個人情報の窃取」、9位は「インターネットバンキングの不正利用」、10位は「インターネット上のサービスへの不正ログイン」がランクインした。
このランキングは、2021年に発生した脅威候補をIPAが選定し、情報セキュリティ分野の研究者や企業の実務担当者など約150人のメンバーで構成する「10大脅威選考会」の投票を経て決定したもの。
関連記事
- 個人情報保護委員会が個人情報を漏えい パブリックコメント参加者の氏名や所属先を誤掲載
個人情報保護委員会から個人情報の漏えいが発生。漏えいしたのは、同事務局が募集したパブリックコメントに意見を提出した12人分の氏名や一部所属先。行政情報の総合窓口サイト「e-Gov」に個人情報入りのPDFファイルを誤掲載していた。 - 業務情報、フリマで流出 退職者がHDD売却 情報セキュリティのラックが謝罪
ラックは、同社の社内ビジネス文書が保存されたHDDがフリーマーケットに出品され、購入者に情報が流出したと発表した。HDDは回収済みで、情報の拡散はない。 - そのQRコードは大丈夫? 詐欺目的の利用増加、キャッシュレス決済の普及を逆手に
米国でQRコードを使った詐欺の手口が相次いで報告されている。非接触のキャッシュレス決済での利用など便利な反面、軽い気持ちで読み取ってしまいがち。そこに付け込み、悪用するケースが増えているとして、米連邦捜査局(FBI)などが注意を呼び掛けた。 - 「Log4j」のトラブルってどうヤバいの? 非エンジニアにも分かるように副編集長に解説させた
「Log4j」の脆弱性が話題になっているが、どれほど影響が大きいものなのか。ITmedia NEWS副編集長に聞いてみた。 - 2021年セキュリティ事件まとめ 22年にも注意すべき脅威とは?
2021年のITニュースを振り返ってみると、サイバーセキュリティに関する報道が引き続き多い1年だった。本稿では、21年に発生したインシデントをカテゴリー別でまとめてみた。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.