• TOP
  • ニュース一覧
  • 2019年のセキュリティ脅威、「子会社や委託先を突破口にする攻撃」に大きな懸念
2019/02/01

2019年のセキュリティ脅威、「子会社や委託先を突破口にする攻撃」に大きな懸念

独立行政法人情報処理推進機構(IPA)は1月30日、「情報セキュリティ10大脅威 2019」を公開しました。

「情報セキュリティ10大脅威 2019」は、2018年に発生した情報セキュリティの事故・事件について、約120名から構成される「10大脅威選考会」メンバーが審議・投票を行い、社会的に影響が大きかった事案を決定したものです。ランキング形式で、「個人」と「組織」という異なる立場のトップ10を選出しています。

・情報セキュリティ10大脅威 2019(個人)
1位 クレジットカード情報の不正利用
2位 フィッシングによる個人情報等の詐取
3位 不正アプリによるスマートフォン利用者の被害
4位 メールやSNSを使った脅迫・詐欺の手口による金銭要求
5位 ネット上の誹謗・中傷・デマ
6位 偽警告によるインターネット詐欺
7位 インターネットバンキングの不正利用
8位 インターネットサービスへの不正ログイン
9位 ランサムウェアによる被害
10位 IoT機器の不適切な管理

・情報セキュリティ10大脅威 2019(組織)
1位 標的型攻撃による被害
2位 ビジネスメール詐欺による被害
3位 ランサムウェアによる被害
4位 サプライチェーンの弱点を悪用した攻撃の高まり
5位 内部不正による情報漏えい
6位 サービス妨害攻撃によるサービスの停止
7位 インターネットサービスからの個人情報の窃取
8位 IoT機器の脆弱性の顕在化
9位 脆弱性対策情報の公開に伴う悪用増加
10位 不注意による情報漏えい

個人・組織ともに、トップ3に大きな変動はなく、1位は、個人「クレジットカード情報の不正利用」、組織「標的型攻撃による被害」で、前年と同じでした。IoT関連では個人10位「IoT機器の不適切な管理」(前年9位)、組織8位「IoT機器の脆弱性の顕在化」(前年7位)が引き続きランクインしています。一方で、個人4位「メールやSNSを使った脅迫・詐欺の手口による金銭要求」、組織4位「サプライチェーンの弱点を悪用した攻撃の高まり」が、ランク外から急上昇する等、新たな動きも見られました。

「サプライチェーンの弱点を悪用した攻撃の高まり」では、商品の原材料調達から、製造、物流、販売までを取り扱う複数組織群“サプライチェーン”がターゲットとなっています。脆弱と考えられる子会社や委託先を突破口にすること、被害発生時の影響が大きいこと、利用者である顧客にも被害が及ぶ可能性があること等から、深刻な事態が発生しないかが懸念されています。

組織を狙った具体的な脅威動向としては、IPAが「サイバー情報共有イニシアティブJ-CSIP[2018年第4四半期(10~12月)]」を1月31日に発表しています。J-CSIPは、サイバー攻撃等に関する情報を参加組織間で共有する仕組みで、現在13業界249組織、2情報連携体制(医療業界4団体およびその会員約5,500組織、水道関連事業者等9組織)から構成されています。

2018年第4四半期におけるJ-CSIPへの情報提供件数は1,072件。そのうち93件が標的型攻撃メールで、約6割(63件)が、プラント関連事業者を狙う攻撃でした。具体的には、プラント等の設備や部品のサプライヤーに対し、実在すると思われる開発プロジェクト名や事業者名を詐称し、プラントに使用する資機材の提案や見積もり等を依頼する内容の偽メールでした。攻撃者の目的が「知財の窃取」(産業スパイ活動)なのか「ビジネスメール詐欺」(BEC)の準備なのか等は不明です。

こうした攻撃により、組織のアカウントやIoT機器が乗っ取られた場合、甚大な被害が発生すると考えられます。危険性を認識し、改めて対策を徹底してください。


情報セキュリティ10大脅威 2019(IPAの発表資料より)<br />

情報セキュリティ10大脅威 2019(IPAの発表資料より)

おすすめの動画

IoTで広がる世界とそのセキュリティ

運営社情報

セキュリティブログ
is702
PageTop