調査の概要

 IPA は2006 年から、前年に起きた情報セキュリティ事故や攻撃などから脅威を選出し、上位10 位を公表しています。「情報セキュリティ 10 大脅威 2021」はIPA が 2020 年に発生した候補を選び、情報セキュリティ分野の研究者、企業の実務担当者など約160人の投票で決めました。

組織向けでは「ランサムウェア」が1位

 今回は、企業向けの「組織編」について紹介します。順位は次の通りです。

  1. ランサムウェアによる被害(昨年5位)
  2. 標的型攻撃による機密情報の窃取(昨年1位)
  3. テレワーク等のニューノーマルな働き方を狙った攻撃(今回初)
  4. サプライチェーンの弱点を悪用した攻撃(昨年4位)
  5. ビジネスメール詐欺による金銭被害(昨年3位)
  6. 内部不正による情報漏えい(昨年2位)
  7. 予期せぬ IT 基盤の障害に伴う業務停止(昨年6位)
  8. インターネット上のサービスへの不正ログイン(昨年16位)
  9. 不注意による情報漏えい等の被害(昨年7位)
  10. 脆弱性対策情報の公開に伴う悪用増加(昨年14位)

 1位は「ランサムウェアによる被害」でした。以前はウイルスメールをばらまくなどの方法で無差別攻撃がされていましたが、いまは標的を企業・組織に定めた攻撃です。
ランサムウェアは企業・組織のネットワークに侵入したり、データを暗号化するだけでなく窃取して公開すると脅したりして、身代金を支払わざるを得ないような状況を作り出します。

ニューノーマルな働き方を狙った攻撃は初登場で3位

 また、「テレワーク等のニューノーマルな働き方を狙った攻撃」は初登場で 3 位となりました。テレワークを進める上で、私物のパソコンや自宅ネットワークの利用、会社のパソコンや顧客データなど機密情報を社外へ持ち出す必要が出てきます。

 505社を対象にIPAが2020年11~12月に実施した「テレワークとIT業務委託のセキュリティ実態調査」によれば、委託元の約5割が「新規」に取引する委託先のセキュリティインシデント発生時の対応体制や対応力に課題や不安を感じると回答しています。  実際に実際に取引先や海外子会社経由で情報流出しているケースもあるので、注意が必要です。