「2011年版 10大脅威 進化する攻撃．．．その対策で十分ですか？」を公開

（日本語版） 2011年版 10大脅威 進化する攻撃．．．その対策で十分ですか？(全46ページ、3.5MB） （英語版） Information Security White Paper 2011 Part 2 10 Major Security Threats (44pages, 3.3MB)

　2010年の特徴は、下記の図に示すように組織システムや情報資産、ミニブログサービスなどのユーザをターゲットとした、外部から攻撃される脅威が半数を占めていることです。特に、Stuxnet（スタックスネット） に代表される複数の攻撃を組み合わせた「新しいタイプの攻撃」は、制御システム系や組織の基幹系システムなど今まで不可能と考えられていた領域に対しての攻撃が現実のものとなってきており、現状のセキュリティ対策の見直しが迫られています。

第1位　「人」が起こしてしまう情報漏えい

　昨今の情報漏えいの特徴の一つとして、「人」の行動によって引き起こされる点が挙げられ、以前よりも大きな脅威となってきています。2010年は、ミニブログサービスやSNS（ソーシャルネットワーキングサービス）等ウェブサービスを使用し、組織内部の情報を暴露する事例がありました。

第2位　止まらない！ウェブサイトを経由した攻撃

　2009年に引き続き2010年も、ウェブサイトを経由した攻撃が頻発しました。ウェブサイトを経由した攻撃はウェブサイト運営者および一般利用者、双方が被害を受けます。。

第3位　定番ソフトウェアの脆弱性を狙った攻撃

　ソフトウェアの中には、多くの人が使用している、いわゆる定番ソフトウェアが存在します。2010年も定番ソフトウェアに存在する脆弱性を狙った攻撃が頻発しました。ソフトウェアの定期的なアップデートを行うことが重要です。

第4位　狙われだしたスマートフォン

　近年スマートフォンの普及が加速しています。スマートフォンの普及により、スマートフォンユーザを狙ったウイルスが出現するなど、脅威が顕在化してきました。

第5位　複数の攻撃を組み合わせた「新しいタイプの攻撃」

　2010年、海外で制御システムの誤動作や特定企業の情報窃取を目的とした攻撃が行われ、一般紙等で報道されました。これらの攻撃は、特定の企業や個人を狙い、複数の攻撃を組み合わせることで、従来は不可能と考えられていたシステムにまで攻撃の手が及んでいます。IPAでは、本攻撃を「新しいタイプの攻撃」と名称付けをしています。

第6位　セキュリティ対策不備がもたらすトラブル

　2010年、ウェブサイトのセキュリティ実装不備に起因した問題が発生し、問題発覚時の対応の不手際もあり、社会的な問題にまで発展しました。設計・開発時のセキュリティ対策に加え、運用時の対策・対応も重要です。

第7位　携帯電話向けウェブサイトのセキュリティ

　2010年は、携帯電話向けウェブサイトのセキュリティ実装の問題が注目を集めました。携帯電話向けウェブサイトの構築事業者は、安全性を考慮したウェブサイトを構築する必要が求められます。

第8位　攻撃に気づけない標的型攻撃

　2009年に引き続き2010年も国内外で標的型攻撃が確認され、一般紙等で報道されました。標的型攻撃は、特定の個人や組織、企業、部門に向けて、知人や取引先企業になりすまして、ウイルスを添付したメールを送付したり、メール本文上のリンクから悪意あるサイトに誘導して、情報窃取等の危害を加える手口です。

第9位　クラウド・コンピューティングのセキュリティ

　クラウド・コンピューティングを利用したサービスは、数年前より新しいビジネスモデルとして注目を集めており、企業への普及が進んでいます。一方、セキュリティ上の問題についても徐々に問題が顕在化し始めており、インシデントの発生や新たな脅威が公表されています。

第10位　ミニブログサービスやSNSの利用者を狙った攻撃

　近年、ミニブログサービスやSNS（ソーシャルネットワーキングサービス）の利用者は爆発的に増えています。利用者の増加に比例するように、利用者を狙った攻撃も増えてきています。

IPA セキュリティ センター（IPA/ISEC） 大森／谷口
Tel:03-5978-7527 Fax:03-5978-7518
E-mail:

IPA 戦略企画部 広報グループ 横山／大海
Tel:03-5978-7503 Fax:03-5978-7510
E-mail:

2011年3月24日	掲載