【新発表】情報セキュリティ10大脅威2024・注目すべき脅威は？

アクモスセキュリティチームです！

2024年1月、今年もIPA（情報処理推進機構）から「情報セキュリティ10大脅威 2024」が発表されました。

個人向けの脅威は、インターネットを中心とした手法やSNSを巧妙に利用した詐取、社会的に注目されているニュースや新技術（生成AI等）を活用した攻撃などの脅威が増加しています。個人向けは主に家庭などでパソコンやスマートフォンを利用する個人を対象としていますが、業務中・プライベート中を問わず、常に脅威にさらされる可能性があるため、次の組織編と一緒に注目してみてください。

組織向けの脅威としては、被害が急増する「ランサムウェアによる被害」や「内部不正による情報漏洩等の被害」、「標的型攻撃による機密情報の窃取」が9年連続で選出されています。

まだ各内容の詳細な解説は公開されていませんが（2月下旬に公開予定）、以下でピックアップしてご紹介いたします。

情報セキュリティ10大脅威 2024 [個人]

個人向け情報セキュリティ10大脅威は以下のとおりです。

なお、個人向けの脅威について、IPAは「各脅威の危険度は人によって異なり、個人ユーザーが順位を危険度として誤って認識すると、下位の脅威への注意が疎かになる可能性がある」と懸念しています。そのため、IPAでは本年度から「個人」向け脅威については順位表示を廃止し、五十音順での紹介としています。

参照：IPA・情報セキュリティ10大脅威 2024

メールやSMS等を使った脅迫・詐欺の手口による金銭要求

「メールやSMS等を使った脅迫・詐欺の手口による金銭要求」には様々なケースが存在します。

例えば、SNSやメールを通じて詐欺サイトに誘導し、クレジットカード情報などを詐取する手法があります。また、知りえた個人情報をネタにし、被害者を自分の思い通りに操ろうとする卑劣な手段も。

また、最近ではSNSでインフルエンサーを利用して、視聴者から金銭を詐取する手口も増えています。

具体的なケースとして、詐欺会社がSNSで有名なインフルエンサーにPR案件として宣伝させ、最終的に金銭をだまし取るというもの。インフルエンサーが自身のSNSアカウントから「この投稿から登録すると数万円分キャッシュバックされる」と宣伝し、ポイントサイトへの会員登録を促すケースです。

企業が一切関与していないにもかかわらず、投稿には大手企業や銀行の名前も掲載されています。視聴者は詐欺会社にIDやパスワードを盗み取られ、消費者金融から数十万円を出金されるなどの被害に遭いました。

この手口は、直接自分にくる怪しい誘いには警戒心を持つ一方で、「好きな人や有名な人が言っているから信じる」という心理に訴えかけるものです。皆様も十分な注意が必要です。

ネット上の誹謗・中傷・デマ

次に取り上げるのは、「ネット上の誹謗・中傷・デマ」に関する脅威です。

SNSなどを利用して、インターネット上での誹謗中傷や人権侵害を行う人々が増えています。また、有事の際にはデマ情報が広まり、混乱を招くこともあります。

例えば、能登半島地震の際には、X（旧ツイッター）などのSNSで偽の救助要請や悪質なデマ・フェイク情報が相次ぎました。これは単なる愉快犯の可能性もありますが、インプレッション（表示回数）を稼ぎ、収益につなげる意図でデマを流しているとの指摘もあります。

さらに、社員が何らかのトラブルに巻き込まれ、個人情報を晒されながら誹謗中傷され、仕事や会社にも影響が出たケースも報告されています。企業自身もデマや誹謗中傷に晒されることもあります。

これを防ぐために、個人情報をむやみに晒さないようにする基本的な対策はもちろんのこと、誹謗中傷にあった場合の適切な対応やケア方法を企業として準備しておくことが重要です。

不正アプリによるスマートフォン利用者への被害

利用者が自分のスマートフォンやタブレットに知らずに不正なアプリをインストールしてしまい、個人情報の漏えいや不正操作などの被害を受けてしまうことがあります。

不正アプリによる被害は以下のとおり。

• 連絡先やチャットのやり取りなど、重要な情報が盗まれる
• 内部データが暗号化され、解除のために金銭が要求される
• 遠隔操作される
• DDoS攻撃や悪意ある情報拡散などの踏み台にされる

不正アプリによる被害は個人としてもダメージがありますが、特に個人のスマホを仕事で利用している場合、企業に対しても大きな影響を与える可能性があります。

取引先との重要なやり取りやデータを詐取されたり、踏み台にされ取引先のスマホに悪意あるSMSを送信してしまったりなど、企業としての信頼性を損なう重大な事象になりかねません。

そのため、もしスマホに私用と仕事用の垣根がない場合は「仕事用のスマホ・タブレットを用意する」ことや「正規のアプリストアのみからしかダウンロードしないように注意を促す」などの対応が必要となってきます。

情報セキュリティ10大脅威 2024 [組織]

参照：IPA・情報セキュリティ10大脅威 2024

当サイトの記事「2023年重大セキュリティ事件4選！悪意ある情報流出事例から学ぶ」でもご紹介したとおり、2023年は働き方や社会の変化、新技術の台頭などが大きな影響を与え、情報流出による被害が目立っています。特に、3位の「内部不正による情報漏えい等の被害」と6位の「不注意による情報漏えい等の被害」は前年から順位を上げています。

これらの被害は組織内の「人」が原因となる脅威です。外部からの攻撃への技術的な対策だけでなく、内部ガイドラインの策定、教育・訓練、講習、意識改革などが必要。組織全体でセキュリティ意識を高め、情報漏えいを防ぐための対策を講じることが重要です。

内部不正による情報漏えい等の被害

3位にランクインした「内部不正による情報漏えい等の被害」は、組織内部から発生するインシデントです。

自身の立場や権限あるいは偶発的な社内情報の取得により、機密データが不正にダウンロードされ意図的に顧客情報が漏洩されたり、転職時のお土産として渡されたり、機密情報が第三国に流出されるなどの手法が含まれます。

以下は具体的な事例の一部です（IPA・組織における内部不正防止ガイドライン改訂に関する調査などより抜粋）

これらは単なる一例であり、さまざまな不正な手法が存在しています。IPAは

内部不正はその被害額が外部からの攻撃によるものよりも高額な傾向があり、組織は内部不正を未然に防ぐ必要に迫られています。しかしながら、内部不正は、職務上与えられた権限を使い行われるため、その対策は容易ではありません。

と述べており、その対策の難しさが浮き彫りとなっています。

標的型攻撃による機密情報の窃取

代表的な手法が「メールやSNSなどを利用してウイルスが仕込まれたメッセージを送りつけ、開封させEmotetなどに感染させ、情報や金銭を狙う」攻撃です。メールは、実際の取引先や従業員を装い、巧妙な手法で添付ファイルを開かせたり、リンク先に誘導しようとしてきます。

私たちも、日々多くのなりすましメールを受信しています。

利用していないサービスならすぐにおかしいと思うのですが、利用中の場合はついついメールを開いてしまいたくなります。最近では、生成AIを活用して外国人でも不自然な日本語にならないような文面が作れるため、自然な文章のメールが送られてくることも増えています。

これに対抗するためには、技術的な対策だけでなく、社員に対して標的型攻撃メールの存在や様々な手口を正しく認識してもらう教育や訓練が欠かせません。防衛の重要な要素は、技術と知識の両面での強化です。

ランサムウェアによる被害

上記のように、特にVPN装置の脆弱性が悪用されるケースが目立っており、「アップデートや最新のパッチの適用」「VPNの認証・パスワードの強化」などの対策が不可欠です。

ランサムウェアによって要求される金銭を支払わなかったとしても、業務が停止することで生じる被害が甚大です。ある病院では、診療停止やシステム復旧により数億円以上の損害が発生したと報告されています。

ランサムウェアに関する手口や最新情報を常に把握し、適切な対策を講じることが重要です。

参照：IPA・ランサムウェア対策特設ページ

まとめ

IPAが発表した情報セキュリティ10大脅威2024をご紹介しました。詳細が公表され次第、追加情報をお伝えいたします！

当社では、「標的型攻撃」への対策や社員の情報セキュリティ意識向上を目指し、「標的型攻撃メール訓練サービス」を提供しています。短期契約プラン（3カ月）もご用意しておりますので、ぜひお気軽にお試しください！

＜アクモスのセキュリティサービス紹介＞
標的型攻撃メール訓練サービスの概要

＜アクモスのセキュリティサービス紹介＞
TMT３ヶ月プラン・料金の詳細

＜資料で検討したい場合＞
サービス資料のダウンロード

＜問い合わせしたい場合＞
お問い合わせ・導入相談

＜2ヶ月間無料で体験できる無料プランで試してみたい場合＞
Freeプランのお申込みはこちら