2020年1月29日、「情報セキュリティ10大脅威2020」が発表されました。
「情報セキュリティ10大脅威」とは、経済産業省の所管法人である独立行政法人 情報処理推進機構(以下IPAと略します)が毎年発表している資料で、情報セキュリティを脅かす脅威を順位付けして解説しています。
これを読めば、その年に流行しそうなサイバー犯罪の手口を知ることができるという位置づけの資料です。
https://www.ipa.go.jp/security/vuln/10threats2020.html
https://www.ipa.go.jp/files/000080532.pdf
情報セキュリティ10大脅威は毎年「組織編」「個人編」という2種類に分けられてランキングが発表されます。
組織編は、主に企業で働く人が直面する情報セキュリティに関する脅威が扱われます。最新の情報セキュリティの脅威を知ることで、自分が業務中にサイバー犯罪など情報セキュリティの脅威に直面した際に、適切な対応をとることができる可能性が高まります。実際に最近発生している詐欺の被害金額や情報漏えいの賠償金額を知ることで情報セキュリティに関心をもち、常に情報セキュリティを意識して業務を行う心構えを持つ第一歩となります。
2020年のランキング1位は2019年から引き続いて「標的型攻撃による機密情報の窃取」でした。標的型攻撃を簡単に説明すると、ターゲットとなる組織の中の人に対して、その組織の業務にいかにも関係ありそうな内容のメールを送り付けることで、警戒心なくそのメールの添付ファイルを開かせたり、メール本文中のハイパーリンクをクリックさせたりする攻撃手法のことです。
過去に何度か取り上げていますので、そちらも参照ください。
一方の個人編は、昨年まではまったくランキングに入っていなかった脅威が、初登場で第一にランキングされました。その脅威とは「スマホ決済の不正利用」です。これは、スマートフォンを利用したキャッシュレス決済が次々と登場し、それらを利用する人が増加しているという背景があります
。被害者が複数のサービスで同一のIDとパスワードを使いまわしている場合、攻撃者は、過去に漏えいしたIDとパスワードの組み合わせをもとに他のサービスへのログインを試みます(パスワードリスト攻撃とかリスト型攻撃とか呼ばれます。詳しくはこちら)。不正ログインに成功すれば、なりすまして不正利用します。
10大脅威の資料の中では、具体例としてセブンイレブンの7payの事件が取り上げられています。セブンイレブンがQRコード決済7payを導入したところ、リスト型攻撃と思われる攻撃を受け、大々的に不正利用されてしまった事件です。7payは廃止となりました。詳しくは公式サイトを読んでみてください。
https://www.7andi.com/library/dbps_data/_template_/_res/news/2019/20190801_01.pdf
ユーザ側の対策としては、決済サービスが提供している二要素認証を利用することなどが推奨されています。二要素認証といっても、正しく使わなければ意味をなさないケースもあるので、そのあたりはいずれ書きたいと思います。