情報セキュリティ10大脅威 2021の概要

10大脅威選考会メンバーの投票により選出した「個人」と「組織」の10大脅威の順位と概要は下記になります。

個人

第1位　スマホ決済の不正利用

近年のスマートフォンの普及に伴い、2018年頃よりキャッシュレス決済の1つであるスマートフォンを利用した決済（スマホ決済）が登場し、その後スマホ決済を使った各社のサービスも登場しその手軽さから普及が進んだ。一方、利便性の反面、第三者のなりすましによるサービスの不正利用や、連携する銀行口座からの不正な引き出し等も確認されている。

第2位　フィッシングによる個人情報等の詐取

フィッシング詐欺は、実在する公的機関や有名企業を騙ったメールやSMS（ショートメッセージサービス）を送信し、正規のウェブサイトを模倣したフィッシングサイト（偽のウェブサイト）へ誘導することで、個人情報や認証情報等を入力させる詐欺である。詐取された情報は悪用され、金銭的な被害が発生することもある。

第3位　ネット上の誹謗・中傷・デマ

インターネットの匿名性を利用して、特定の個人や組織に対して誹謗・中傷をしたり、デマを発信したりする事件が発生している。被害者は、精神的苦痛に苛まれたり、業務妨害の被害を受けたりする。2020年においては、特に新型コロナウイルスに関する事例が注目された。

第4位　メールやSMS等を使った脅迫・詐欺の手口による金銭要求

個人の秘密を家族や知人にばらすと脅迫したり、身に覚えのない有料サイトの未納料金を請求したりするメールやSMSを使った詐欺による金銭被害が発生している。公的機関を装った偽の相談窓口に誘導するといった手口もある。

第5位　クレジットカード情報の不正利用

キャッシュレス決済の普及に伴い、クレジットカードを利用する機会が増えている。一方、所有者を狙ったフィッシング詐欺やクレジットカードが紐付けされているサービスを狙った不正アクセスによる情報漏えい等により、クレジットカード情報が窃取され、攻撃者にクレジットカードを不正利用される被害が継続して発生している。

第6位　インターネットバンキングの不正利用

フィッシング詐欺やウイルス感染により、インターネットバンキングの認証情報を窃取されることで、被害者のアカウントから不正な送金が行われたり、不正にサービスを利用されたりする等の被害が確認されている。2020年は決済サービスを悪用して別の銀行へと不正送金される被害が発生し、多くのサービス利用者、銀行が影響を受けた。

第7位　インターネット上のサービスからの個人情報の窃取

ショッピングサイト（ECサイト）等のインターネット上のサービスの脆弱性等を悪用した不正アクセスや不正ログインが行われ、サービスに登録している個人情報等の重要な情報を窃取される被害が継続して発生している。サービスの利用者は、窃取された情報を悪用されることにより、クレジットカードの不正利用等の被害を受ける事態が発生している。

第8位　偽警告によるインターネット詐欺

PCやスマートフォンからインターネット上で検索した情報やウェブサイトを閲覧中に、突然「ウイルスに感染しています」等の偽のセキュリティ警告画面を表示して、不審なソフトウェアをインストールさせたり、攻撃者が用意したサポート窓口に電話を掛けさせて遠隔操作や有償サポート契約を結ばせたりする被害（サポート詐欺）が発生している。偽警告は利用者の不安を煽り、その不安につけこんでくる。

第9位　不正アプリによるスマートフォン利用者への被害

スマートフォンに意図せず不正アプリをインストールしてしまい、スマートフォン内の情報を窃取されたり、不正操作されたりする被害が発生している。宅配業者等になりすましたSMSがスマートフォンに届き、誘導されたサイトから意図せず不正アプリをダウンロードしてしまう事例や、公式マーケット上に通常のアプリに紛れ込ませて不正アプリが公開されている事例等が確認されている。

第10位　インターネット上のサービスへの不正ログイン

インターネット上のサービスへ不正ログインされ、金銭や個人情報等の重要情報が窃取される被害が確認されている。別のサービスと同じ ID やパスワードを使いまわす利用者を狙ったパスワードリスト攻撃による不正ログインが行われている。また、不正ログインで得た情報を利用して更に被害を拡大させるおそれがある。

組織

第1位　ランサムウェアによる被害

ランサムウェアとはウイルスの一種で、PCやサーバー、スマートフォンがこのウイルスに感染すると、保存されているデータが暗号化されて利用できなくなったり、画面がロックされて端末が利用できなくなったりする。そしてそれを復旧することと引き換えに金銭を要求される等の被害が発生する。また、データの暴露を行うと脅迫され、金銭の支払い有無にかかわらず、データが暴露されてしまったケースが近年発生している。

第2位　標的型攻撃による機密情報の窃取

企業や民間団体そして官公庁等、特定の組織から機密情報等を窃取することを目的とした標的型攻撃が継続して発生している。攻撃者は新型コロナウイルスの感染拡大による社会の変化や、それに伴うテレワークへの移行という過渡期に便乗し、状況に応じた巧みな手口で金銭や機密情報等を窃取する。

第3位　テレワーク等のニューノーマルな働き方を狙った攻撃

2020年は新型コロナウイルス感染症 （COVID-19）の世界的な蔓延に伴い、政府機関から感染症対策の一環として日本の組織に対してニューノーマルな働き方の一つであるテレワークが推奨された。組織のテレワークへの移行に伴いウェブ会議サービスやVPN等の本格的な活用が始まった中、それらを狙った攻撃が行われている。

第4位　サプライチェーンの弱点を悪用した攻撃

原材料や部品の調達、製造、在庫管理、物流、販売までの一連の商流、およびこの商流に関わる複数の組織群をサプライチェーンと呼ぶ。このサプライチェーンの関係性を悪用し、セキュリティ対策の強固な企業を直接攻撃するのではなく、その企業が構成するサプライチェーンのセキュリティが脆弱な取引先等を標的とする手口がある。取引先が攻撃されると取引先が保有する企業の機密情報が漏えいしたり、取引先を足掛かりとされ、本来の標的である企業が攻撃を受けたりする被害が発生する。

第5位　ビジネスメール詐欺による金銭被害

ビジネスメール詐欺（Business E-mail Compromise：BEC）は、巧妙な騙しの手口を駆使した偽のメールを組織・企業に送り付け、従業員を騙して送金取引に関わる資金を詐取する等の金銭被害をもたらすサイバー攻撃である。2020年は新型コロナウイルス感染症（COVID-19）に関する内容が含まれたビジネスメール詐欺が確認されている。

第6位　内部不正による情報漏えい

組織に勤務する従業員や元従業員等の組織関係者による機密情報の持ち出しや悪用等の不正行為が発生している。また、組織内における情報管理のルールを守らずに情報を持ち出し、紛失、情報漏えいにつながるケースも散見される。組織関係者による不正行為は、組織の社会的信用の失墜、損害賠償による経済的損失により、組織に多大な損害を与える。

第7位　予期せぬIT基盤の障害に伴う業務停止

組織がインターネット上のサービスや業務システム等で使用しているネットワークやクラウドサービス等のIT基盤に予期せぬ障害が発生し、長時間にわたり利用者や従業員に対するサービスを提供できなくなるケースがある。IT基盤の停止はシステムの可用性を侵害する情報セキュリティリスクであり、IT基盤を利用している組織の事業に大きな影響を与えるおそれがある。

第8位　インターネット上のサービスへの不正ログイン

組織が利用している、または提供しているインターネットサービスに対して不正ログインが行われ、顧客情報やサービス利用者の個人情報等が窃取されたり、不正に操作されたりする被害が発生している。不正に入手されたIDとパスワードを使われ、正規の経路でログインされた場合、そのアクセスが正規のアクセスなのか不正アクセスなのか判断することは難しく、知らぬ間に被害が拡大してしまうおそれがある。

第9位　不注意による情報漏えい等の被害

組織において、情報管理体制の不備や情報リテラシーの不足等が原因となり、個人情報や機密情報を漏えいさせてしまう事例が2020年も引き続き多く見られた。特にテレワークの導入等で働く環境が変化している今、状況に応じた対策が求められる。

第10位　脆弱性対策情報の公開に伴う悪用増加

ソフトウェアの脆弱性対策情報の公開は、脆弱性の脅威や対策情報を広く呼び掛けられるメリットがある。一方、その情報を攻撃者に悪用され、当該ソフトウェアに対する脆弱性対策を行っていないシステムを狙った攻撃が行われている。近年では脆弱性情報の公開後、攻撃コードが流通し、攻撃が本格化するまでの時間が短くなっている。