情報セキュリティマネジメントシステム を構築するにあたっては、リスクを発見し、分析し、評価するリスクアセスメント のプロセスは必須です。そして、リスクの発見を行うためには「世の中にはどのようなリスクがあるのか」ということを知っておかなくてはなりません。日常的に情報セキュリティ関連の情報を仕入れるためにアンテナを貼っておくことはもちろん必要なことですが、今回は2020年にはどのような情報セキュリティインシデントが多かったのかということについてご紹介していきたいと思います。

目次

情報セキュリティの10大脅威とは

情報セキュリティの10大脅威とは、情報処理推進機構(IPA)が審議、投票を行うことで決定される「最近になって発生頻度が多く重要性の高いセキュリティインシデント」のことです。この情報セキュリティ10大脅威は、今どのような情報処理関係のリスクが重視されているのかということを知る良い材料になります。

ちなみに2020年の10大脅威は以下のような結果となっています。

  • 1位:スマホ決済の不正利用
  • 2位:フィッシングによる個人情報の詐取
  • 3位:クレジットカード情報の不正利用
  • 4位:インターネットバンキングの不正利用
  • 5位:メールやSMS等を使った脅迫・詐取の手口による金銭要求
  • 6位:不正アプリによるスマートフォン利用者への被害
  • 7位:ネット上の誹謗・中傷・デマ
  • 8位:インターネット上のサービスへの不正ログイン
  • 9位:偽警告によるインターネット詐欺
  • 10位:インターネット上のサービスからの個人情報の窃取

これら一つずつ詳細を以下ではご紹介していきましょう。

スマホ決済の不正利用

スマホ決済の不正利用とは、決済アプリなどに不正にログインしたりすることで、悪意あるユーザーが意図的に誰かの口座から許可なく支払いを行うようなインシデントです。2018年には某QR決済サービスでの大量の不正利用が発覚し大問題となりました。直近でも、携帯大手キャリアの口座で不正利用が大量に発覚し、利用者の不信感を募っています。

フィッシングによる個人情報の詐取

フィッシングとは、例えば某通販サイトと類似したサイトにログイン情報などを入力させることで不正にログイン情報を詐取しようとする詐欺の手法のことですが、携帯電話の普及や高齢者のインターネットリテラシーの低さを狙った手口が増加しています。

クレジットカードの不正利用

インターネット上では比較的容易にクレジットカードが不正利用できますし、また安全でない通信環境でクレジットカードを入力してしまうと、通信を傍受されてしまう危険性もあります。

メールやSMS等を使った脅迫・詐取の手口による金銭要求

こちらも高齢者のインターネットリテラシーの低さを狙った手法です。ただ、高齢者だけが気をつけておくべきことでもありません。組織のPCなどを乗っ取り、金銭などを要求するランサムウェアなどの存在もしっかりと認知しておく必要があります。

不正アプリによるスマートフォン利用者への被害

一種のトロイの木馬のようなものですが、アプリをインストールすることでマルウェアをスマートフォンやPCの中に入れてしまう可能性もあります。

ネット上の誹謗・中傷・デマ

ISMS などではこういったリスクについて対応することは少ないかもしれませんが、従業員教育などを行って力量を向上させる必要はあるかもしれません。

インターネット上のサービスへの不正ログイン

不正ログインの手法として代表的なものは、XSS によるセッション、クッキー情報の取得やSQLインジェクション などの脆弱性をついた攻撃です。全ての脆弱性に対応することはできないかもしれませんが、古くからあるこういった手法の攻撃に対してはしっかりと対策をとっておく必要はありそうです。

偽警告によるインターネット詐欺

警告文やポップアップというのは、少しWEBに関する知識があれば簡単に表示させることが可能です。こういった詐欺文には引っかからないように、組織の構成員の力量を上げる対策はとっておくべきでしょう。

インターネット上のサービスからの個人情報の窃取

こちらもSQLインジェクションなど、組織が提供するサービスの脆弱性をついたり、あるいはマルウェアによるPC乗っ取り、内部ネットワークへの侵入したりすることで個人情報が窃取されてしまったりする可能性がありますので、オーソドックスな手口にはしっかりと対策をとっておきましょう。

累計ダウンロード5,000件突破!ISO27001丸わかり説明資料
  • 無料資料 | ISO27001・Pマーク導入 徹底解説
  • 『ISO27001・Pマークを網羅的に分かりやすく』をコンセプトに、ISOコンサルタント監修のもとISO27001・Pマークについて図解などを交え詳細に解説しています。分かりやすいというお声も多くいただいていますので、ぜひ御社でご活用ください。
  • 必須ご担当者様名
  • 必須電話番号
  • 任意会社名
  • 任意メールアドレス
  • 必須個人情報の取り扱い
    (個人情報保護方針を読む)

ISOプロでは月額4万円から御社に合わせたISO運用を実施中

ISOプロではISO各種の認証取得から運用まで幅広くサポートしております。

また、マニュアル作成など御社に合わせたムダのない運用を心がけており、既に認証を取得しているお客様においてもご提案しております。

サポート料金においても新プランを用意し、業界最安級の月額4万円からご利用いただけます。

ISO27001、40,000円/月から作業工数ほぼ0実現!ISO新規取得・運用完全サポートならISOプロ