情報セキュリティの10大脅威2022がIPAより発表されました。

2022年2月1日

毎年、楽しみにしている（？）情報セキュリティ10大脅威の2022年の発表がIPAよりされました。個人としてスマホやPCを使うような時の個人向けの脅威と、会社などの組織への脅威に分けて発表されるのがいいですよね。

個人への脅威

とはいえ、個人向け脅威はTOP10の顔ぶれには変化はありませんでした。

フィッシング、ネット上の誹謗/中傷/デマなどが引き続き上位です。2021年に1位だったスマホ決済の不正利用ですが、だいぶ、なんとかPayの利用も落ち着いてきて、セキュリティ設定などをキッチリしているユーザが増えたのでしょうか？5位まで下がっていますね。

そういう意味では去年より2ランク以上、順位が上がったのは、「偽警告によるインターネット詐欺」と「不正アプリによるスマートフォン利用者への被害」ですね。

今年の詳細資料はまだ出ていないので、去年の2021年の資料から抜粋していますが、「偽警告によるインターネット詐欺」は以下の図のようなものです。「ウィルス感染してます！」って偽の警告だして、慌てて余計なことさせちゃうわけですね。

「不正アプリによるスマートフォン利用者への被害」は、本物と間違って偽物のアプリ入れちゃう場合ですよね。AppStore、GooglePlayなどでアプリを探しているときに、よく似た名前のアプリが多くて間違えちゃいそうです。プラットフォームでの審査を信じたいところですが、似たアプリで不正を働くアプリもあるでしょうし、○○急便からのショートメールが来て、アプリをダウンロードすると、偽モノの不正宅配便アプリを入れさせられたりします。怖い怖い。

組織への脅威

組織も大きな変化がありませんが、「テレワーク等のニューノーマルな働き方を狙った攻撃」は2021年に新しくランクインしましたが、少し順位が下がりました。だいぶテレワークの準備も整ってきたからでしょうか？（＾＾； とはいえ、まだまだ順位が高い状態にありますね。

唯一の新規ランクインは、「修正プログラムの公開前を狙う攻撃（ゼロデイ攻撃）」です。

ゼロデイ！ ０Dayです。

ゼロデイ攻撃とは発見されたセキュリティホールの修正パッチが公開されるまでのタイムラグをついた攻撃の総称ですね。

修正パッチのリリース日を１日目とすると、それよりも以前に行われる攻撃として、ゼロデイすなわち0日目二個激されちゃうわけです。

防ぎようがなさそうですよね。パッチがでるまでにそのアプリを止めたり、普段よりログの監視をきつくするのでしょうかね。ただ、サービス提供上止められないアプリだったら・・・と思うと、こちらも怖いですね。

「Apache Log4j」ライブラリに深刻なゼロデイ脆弱性が発覚 なんて、ニュースが昨年は話題になっていました。

１０大脅威の詳細資料が発表したら、また改めて内容を確認してみたいと思います。

そんなところで