「情報セキュリティ10大脅威2020」が発表されました

先日1月29日付で、独立行政法人情報処理推進機構（IPA）より「情報セキュリティ10大脅威2020」が公表されました。

この 「情報セキュリティ10大脅威 」は、前年に発生した情報セキュリティに関する事故や事件・脅威について、情報セキュリティの専門家がピックアップして順位付けしたものです。

「情報セキュリティ10大脅威」は、「個人」と「組織」に分けられています。まずは、それぞれの上位について見てみましょう。

「個人」の第1位は「スマホ決済の不正利用」

まず、個人の方の上位3つは次の通りとなっています。

1. スマホ決済の不正利用
2. フィッシングによる個人情報の詐取
3. クレジットカード情報の不正利用

1位となった「スマホ決済の不正利用」については、やはり「セブンペイ」の問題が大きかったのだと思います。
昨年は、スマホ決済をはじめとする「キャッシュレス決済」を広めるついでに、消費税増税対策としてのポイント還元事業も組み合わさって、「○○ペイ」ブームとなりました。

その中で、セブンイレブン・ジャパンが開発した「セブンペイ」が7/1のサービス開始直後から不正アクセスされ、わずか数日でサービス停止、1か月後にはサービス終了となりました。

「キャッシュレス決済」は、現金を持っていなくてもクレジットカードやスマホ決済のアプリがあれば支払ができるという便利なものですが、その便利さの裏には大きな脅威が潜んでいることを改めて思い知らされたように思います。

もちろん利用者側でも十分気を付けなければならないものですが、この件に関してはサービス提供者側の甘さも目立ったように思います。

「組織」の第1位は「標的型攻撃による機密情報の窃取」

一方の組織の方の上位3つは、以下の通りとなっています。

1. 標的型攻撃による機密情報の窃取
2. 内部不正による情報漏えい
3. ビジネスメール詐欺による金銭被害

1位の「標的型攻撃による機密情報の窃取」は、この数年上位の常連となっていますが、当然ながらその手口は進化し続けています。毎年同じように上位にいても、その内容は変化し続けていることは注意してみておく必要があると思います。

特に昨年後半から目立つようになってきたマルウェア「Emotet」については、メールサーバの情報を窃取し、なりすましなどではなく正規のメールアドレスから不正なメールが送られてきます。メールアドレスが取引先の担当者のものであったとしても、本当にその担当者が送ったものなのか注意してみなければならないことになります。

その他注意すべきこととは

個人的には、いずれも「組織」の方で上がっているのですが、2位の「内部不正による情報漏えい」や7位「不注意による情報漏えい（規則は遵守）」に目が留まりました。

「情報セキュリティ10大脅威」という言葉からすると、「マルウェア(コンピュータウィルス等の悪意ある不正なプログラム)」や「標的型攻撃」などの外部からの攻撃によるもののイメージが強いのではないかと思いますが、これらのような組織内部が抱える問題によるものにも、十分な注意が必要なのです。

つまり、ウィルス対策ソフトを導入するとか、常にOSは最新版にしておくといった技術的な面だけではなく、人的な面も「情報セキュリティ」の対策として考えておく必要があります。

「内部不正」については、長引く景気低迷の影響から「個人情報」や「機密情報」を不正に売ったりすることで利益を得ようとしたり、長時間労働などで「ブラック」な職場からの強いストレスを受けている人が組織を貶めようとしたりすることが考えられます。

「不注意」についても、長時間労働などで疲労がたまってミスにつながったり、担当者が1人しかいなかったりといった環境的な要因が大きいと思われます。

これら「内部不正」や「不注意によるミス」を防ぐためには、組織の在り方や仕事の進め方を見直したり、職場環境等の改善が必要となります。

情報セキュリティ対策の第1歩は

情報セキュリティを脅かす脅威に対応していくためには、まずは情報セキュリティを取り巻く状況について「知る」ことが重要です。

セキュリティ対策ソフトをインストールしたらすべて大丈夫というわけではありません。

情報セキュリティについて、正しい情報を入手し適切な対応を検討していきましょう。