IPA(情報処理推進機構)は1月27日、 情報セキュリティにおける脅威のうち、2021年に社会的影響が大きかったトピックを「情報セキュリティ10大脅威 2022」として公表した。
同ランキングは、IPAが2021年に発生した脅威候補を選定し、情報セキュリティ分野の研究者、企業の実務担当者など約150名のメンバーで構成する「10 大脅威選考会」の投票を経て決定したもの。
「個人」向け脅威の第1位は、2019年から2年連続2位だった「フィッシングによる個人情報等の詐取」だった。フィッシング詐欺は、実在する公的機関や有名企業を騙ったメールやショートメッセージサービス(SMS)などを送信し、正規のウェブサイトを模倣したフィッシングサイトへ誘導することで、個人情報や認証情報などを入力させるもの。個人の順位は、変動はあるものの、脅威の内容は昨年、一昨年とすべて同じとなった。
「組織」向け脅威は、10の脅威のうち9個が昨年と同じだった。第1位は昨年と同様の「ランサムウェアによる被害」。近年のランサムウェア攻撃は、標的型攻撃と同様の手法で企業・組織のネットワークに侵入したり、データを暗号化するだけでなく窃取して公開すると脅したりして、身代金を支払わざるを得ないような状況を作り出すという。標的型攻撃と同等の技術が駆使されるため、ランサムウェア攻撃への対策は、ウイルス対策、不正アクセス対策、脆弱性対策など、基本的な対策を、確実かつ多層的に適用することが重要となるとIPAはアドバイスしている。
昨年に第8位だった「インターネット上のサービスへの不正ログイン」に替わって、「修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃)」が初登場で第7位となった。ゼロデイ攻撃は、修正プログラムが提供される前の脆弱性を悪用した攻撃。
最近の大きなインシデントとしては、2021年12月にJava用のログ出力ライブラリ「Apache Log4j」の脆弱性対策情報が、攻撃が観測されているとの情報と同時に公開されたことが挙げられる。「Apache Log4j」は、ウェブサイトのバックエンドにあるWebサーバなどで行われた操作を記録する機能をもつプログラムの部品のようなもので、世界中のプログラムで広く使われているため、大きな話題となった。