最新セキュリティマネジメント（第33回）2023年の10大脅威から見えてきたもの

　独立行政法人情報処理推進機構（以下、IPA）が毎年恒例となっている「情報セキュリティ10大脅威2024」を1月24日に発表した。情報セキュリティにおける脅威のうち、2023年に社会的影響が大きかったトピックを公表するもので、個人向け、組織向けそれぞれに10の脅威が選ばれている。今回取り上げられた10の脅威は前回と全く同じだった。これは何を意味するのだろうか。

4年連続で1位となったランサムウエアの脅威

　IPAでは情報セキュリティ対策の普及を目的として、前年に発生した情報セキュリティ事故や攻撃の状況などから脅威を選出し、2006年から毎年上位10件を公表してきた。2016年からは影響を受ける対象を「個人」と「組織」に分け、それぞれに対する10大脅威を発表している。

　2024年1月24日に発表された「情報セキュリティ10大脅威2024」は、2023年に発生した事象からIPAが脅威候補を選定し、情報セキュリティ分野の研究者、企業の実務担当者など約200人で構成する「10大脅威選考会」の投票によって決定されたものだ。

　今回の発表は順位の入れ替わりがあるものの、個人向け、組織向けともに全ての脅威が昨年と同じだった。詳細な解説は今後発表されるが、組織向けの脅威として注目するべきなのは、何といっても1位の「ランサムウェアによる被害」だ。「ランサムウェアによる被害」は2021年度版以降、4年連続で1位になっている。それだけ組織に対する影響があり、実際の被害も出ているということだ。

　前回の解説では、ランサムウエアによる被害の特徴として「最大四重の脅迫で被害者を逃さない」点を挙げている。四重の脅迫とは「データの暗号化」「窃取情報の暴露」「DDoS攻撃予告」「攻撃を受けていることの暴露」で、これらを組み合わせて脅迫してくる。

　こうした被害はますます広がっている。セキュリティベンダー大手のトレンドマイクロの調査によると、2023年に国内企業が公表したランサムウエアの被害件数は63件と過去最高であり、その被害額は平均で1億7689万円になったという。DXが進み、ビジネスのデジタルへの依存度が高まっているだけに、データを人質にとり身代金を要求するランサムウエアは、攻撃者にとって脅迫しやすい方法だ。しばらくはランサムウエアが不動の1位となりそうだ。

情報リテラシー教育が被害を防ぐポイントに…