上位は前年同様　新たな手口に注意を

「個人」向け脅威は、家庭などでパソコンやスマホを利用する人を対象としている。脅威の順位は、「10大脅威選考会」の投票で社会的影響が大きかった脅威を決定したものであるが、危険度を示すものではなく、各脅威の危険度は人によって異なる。 しかし、個人ユーザーが順位を危険度と誤って認識してしまうと、下位の脅威への注意がおろそかになることが懸念される。そのため、本年の「個人」向け脅威については順位表示を廃止し、五十音順での紹介に変更した。

「個人」向け脅威の種類は10個とも前年と変化がなかったが、種類が同じであっても脅威を取り巻く環境は前年と同じというわけではない。攻撃の手口は古典的で変わらないとしても、その中で被害者をだます手口は常に更新されている。攻撃者は時機を見ながら、社会的に注目されているニュースや新しい技術（生成AIなど）を駆使して攻撃を仕掛けてくる。

例えば、フィッシングによる個人情報などの詐取では、電力・ガス・食料品などの価格高騰に対する緊急支援給付金を案内するとして不審なメールを送付し、マイナポータルをかたった偽サイトへ誘導する手口が見られた。常日頃から脅威に関する最新情報に注意を払い、手口を知っておくことが重要である。

内部の不正などへの対策が重要　

「組織」向け脅威は、企業、政府機関、公共団体などの組織およびその組織に所属している人を対象としている。脅威の種類は、全て前年と同じであった。また、１位の「ランサムウェアによる被害」と２位の「サプライチェーンの弱点を悪用した攻撃」は順位も昨年と変わっていない。

一方で、３位の「内部不正による情報漏えい等の被害」と６位の「不注意による情報漏えい等の被害」は前年から順位を上げている。これらは、組織内の「人」が原因となる脅威である。IPAでは22年に「内部不正防止ガイドライン」を改訂し、働き方の変化や新技術への対応など時代の変化に合わせて対応が必要であることを述べている。外部からの攻撃などITに関する対策だけでなく、内部の不正やミスといった人に関する対策も重要である。

「情報セキュリティ10大脅威2024」の詳しい解説は、２月下旬にIPAのウェブサイトで公開する予定である。IT・セキュリティ担当者が情報セキュリティの最新動向を把握するためだけでなく、対策の検討や組織内教育などにも活用してほしい。

（独立行政法人情報処理推進機構・江島将和）

IPA「情報セキュリティ10大脅威2024」はこちら