形式手法を用いた セキュリティ検証 - IPA · 2020-01-17 · 脅威分析 • セキュリティ特性(c.i.a.n.a)ごとの攻撃脅威についてアタック ツリー手法を用いて分析した。
”情報セキュリティ10大脅威”14年のランキングを分析 -...
36
”情報セキュリティ10大脅威”14年のランキングを分析 ~サイバーセキュリティ脅威の変遷~
Transcript of ”情報セキュリティ10大脅威”14年のランキングを分析 -...
”情報セキュリティ10大脅威”14年のランキングを分析
~サイバーセキュリティ脅威の変遷~
アジェンダ
1. 情報セキュリティ10大脅威とは?2. 10大脅威 14年の振り返り
・IT環境の変化・攻撃手法の変化・脅威を抜粋して紹介
3. 情報セキュリティ対策の基本4. 振り返りから見える傾向と対策
情報セキュリティ10大脅威とは?
情報セキュリティ10大脅威とは?
情報セキュリティ10大脅威
• 2006年よりIPAが毎年発行している資料
• 前年に注目された情報セキュリティを取り巻く
脅威について解説
• 「10大脅威選考会」にて投票を行い順位付け
情報セキュリティ10大脅威 2019 脅威ランキング
「個人」向け脅威 順位 「組織」向け脅威
クレジットカード情報の不正利用 1 標的型攻撃による被害
フィッシングによる個人情報等の詐取 2 ビジネスメール詐欺による被害
不正アプリによるスマートフォン利用者への被害
3 ランサムウェアによる被害
メール等を使った脅迫・詐欺の手口による金銭要求
4サプライチェーンの弱点を悪用した
攻撃の高まり
ネット上の誹謗・中傷・デマ 5 内部不正による情報漏えい
偽警告によるインターネット詐欺 6 サービス妨害攻撃によるサービスの停止
インターネットバンキングの不正利用 7インターネットサービスからの
個人情報の窃取
インターネットサービスへの不正ログイン 8 IoT機器の脆弱性の顕在化
ランサムウェアによる被害 9 脆弱性対策情報の公開に伴う悪用増加
IoT機器の不適切な管理 10 不注意による情報漏えい
10大脅威14年の振り返り
10大脅威 14年の振り返り
10大脅威は 「10大脅威2006」 に始まり
「10大脅威2019」 で14年目になりました
過去14年を3期間に分けて振り返る
■2005年~2009年の5年間
(10大脅威2006~2010)
■2010年~2014年の5年間
(10大脅威2011~2015)
■2015年~2018年の4年間
(10大脅威2016~2019)
10大脅威 14年の振り返り ~IT環境の変化
2005 2006 2007 2008 2009 2010 2011 2012 2013 2014 2015 2016 2017 2018
イベント
ネッ ト ワーク
端末
サービス
ブロード バンド
★12月 Youtube 開始
★7月 Twitter 開始
★7月 iPhone 日本発売★7月 Androidスマホ 日本発売
★10月 Windows 7 発売
★5月 iPad 日本発売
★7月 LINE 開始
パソコン
スマート フォン
タブレッ ト
IoT機器
★3月 Amazon Web Services 開始
★12月ニコニコ動画 開始
3G (W-CDMA~LTE)
公衆無線LAN
ソーシャルネッ ト ワークングサービス( SNS)
クラウド サービス
★10月 Apple Pay開始
モバイル決済
★7月 Windows 8 発売
4G (LTE-Advanced)
★7月 Windows 10 発売★5月日本で仮想通貨取引所
10大脅威 14年の振り返り ~攻撃手法の変化
2005 2006 2007 2008 2009 2010 2011 2012 2013 2014 2015 2016 2017 2018
イベント
攻撃手法
標的型攻撃
★12月 Youtube 開始
★7月 Twitter 開始
★7月 iPhone 日本発売★7月 Androidスマホ 日本発売
★10月 Windows 7 発売
★5月 iPad 日本発売
★7月 LINE 開始
★3月 Amazon Web Services 開始
★12月ニコニコ動画 開始
★10月 Apple Pay開始★7月 Windows 8 発売 ★7月 Windows 10 発売
★5月日本で仮想通貨取引所
フィ ッ シング
ランサムウェ ア
脆弱性を悪用した攻撃
不正ログイン
インターネッ ト バンキングを狙った攻撃
内部要因による情報漏えい
スマート フォンを狙った攻撃
DDoS攻撃
ユーザーを騙す詐欺・ 恐喝
2005年~2009年のランキング順位 2005年 2006年 2007年 2008年 2009年
10大脅威名 10大脅威2006 10大脅威2007 10大脅威2008 10大脅威2009 10大脅威2010
アッ プデート していない
クライアント ソフト
1位 事件化するSQLインジェ クショ ン漏えい情報のW innyによる
止まらない流通高まる「 誘導型」 攻撃の脅威 DNSキャッ シュポイズニングの脅威
変化を続けるウェ ブサイト
改ざんの手口
2位W innyを通じたウイルス感染による
情報漏えいの多発表面化しづらい標的型(スピア型)攻撃 ウェ ブサイト を狙った攻撃の広まり
正規ウェ ブサイト を経由した
攻撃の猛威
悪質なウイルスやボッ ト の多目的化3位音楽CDに格納された「 ルート キッ ト に
類似した機能」 の事件化悪質化・ 潜在化するボッ ト 恒常化する情報漏えい 巧妙化する標的型攻撃
あわせて事後対応を!情報漏えい事件
4位 悪質化するフィ ッ シング詐欺 深刻化するゼロデイ攻撃 巧妙化する標的型攻撃多様化するウイルスやボッ ト の
感染経路
対策をしていないサーバー製品の
脆弱性
5位 巧妙化するスパイウエア ますます多様化するフィ ッ シング詐欺 信用できなく なった正規サイト 恒常化する情報漏えい
被害に気づけない標的型攻撃6位 流行が続く ボッ ト 増え続けるスパムメ ール検知されにく いボッ ト 、 潜在化する
コンピュータウイルス脆弱な無線LAN暗号方式における脅威
正規のアカウント を悪用される攻撃
7位 ウェ ブサイト を狙う CSRFの流行 減らない情報漏えい検索エンジンからマルウエア
配信サイト に誘導誘導型攻撃の顕在化 深刻なDDoS攻撃
8位情報家電、 携帯機器などの組込み
ソフト ウェ アにひそむ脆弱性狙われ続ける安易なパスワード 国内製品の脆弱性が頻発 減らないスパムメ ール
インターネッ ト インフラを支える
プロト コルの脆弱性
クラウド ・ コンピューティ ングの
セキュリ ティ 問題9位 セキュリ ティ 製品の持つ脆弱性 攻撃が急増するSQLインジェ クショ ン 減らないスパムメ ール 組込み製品に潜む脆弱性
10位 ゼロデイ攻撃不適切な設定のDNSサーバを狙う
攻撃の発生組み込み製品の脆弱性の増加
ユーザーIDとパスワード の
使いまわしによる危険性
脆弱性を悪用した攻撃
不正ログイン
標的型攻撃関連
インターネッ ト バンキング
を狙った攻撃
内部要因による情報漏えい
スマート フォンを狙った攻撃
フィ ッ シング
ランサムウェ ア
DDoS攻撃
ユーザーを騙す詐欺・ 恐喝
凡例:
2005年~2009年のランキング順位 2005年 2006年 2007年 2008年 2009年
10大脅威名 10大脅威2006 10大脅威2007 10大脅威2008 10大脅威2009 10大脅威2010
アッ プデート していない
クライアント ソフト
1位 事件化するSQLインジェ クショ ン漏えい情報のW innyによる
止まらない流通高まる「 誘導型」 攻撃の脅威 DNSキャッ シュポイズニングの脅威
変化を続けるウェ ブサイト
改ざんの手口
2位W innyを通じたウイルス感染による
情報漏えいの多発表面化しづらい標的型(スピア型)攻撃 ウェ ブサイト を狙った攻撃の広まり
正規ウェ ブサイト を経由した
攻撃の猛威
悪質なウイルスやボッ ト の多目的化3位音楽CDに格納された「 ルート キッ ト に
類似した機能」 の事件化悪質化・ 潜在化するボッ ト 恒常化する情報漏えい 巧妙化する標的型攻撃
あわせて事後対応を!情報漏えい事件
4位 悪質化するフィ ッ シング詐欺 深刻化するゼロデイ攻撃 巧妙化する標的型攻撃多様化するウイルスやボッ ト の
感染経路
対策をしていないサーバー製品の
脆弱性
5位 巧妙化するスパイウエア ますます多様化するフィ ッ シング詐欺 信用できなく なった正規サイト 恒常化する情報漏えい
被害に気づけない標的型攻撃6位 流行が続く ボッ ト 増え続けるスパムメ ール検知されにく いボッ ト 、 潜在化する
コンピュータウイルス脆弱な無線LAN暗号方式における脅威
正規のアカウント を悪用される攻撃
7位 ウェ ブサイト を狙う CSRFの流行 減らない情報漏えい検索エンジンからマルウエア
配信サイト に誘導誘導型攻撃の顕在化 深刻なDDoS攻撃
8位情報家電、 携帯機器などの組込み
ソフト ウェ アにひそむ脆弱性狙われ続ける安易なパスワード 国内製品の脆弱性が頻発 減らないスパムメ ール
インターネッ ト インフラを支える
プロト コルの脆弱性
クラウド ・ コンピューティ ングの
セキュリ ティ 問題9位 セキュリ ティ 製品の持つ脆弱性 攻撃が急増するSQLインジェ クショ ン 減らないスパムメ ール 組込み製品に潜む脆弱性
10位 ゼロデイ攻撃不適切な設定のDNSサーバを狙う
攻撃の発生組み込み製品の脆弱性の増加
ユーザーIDとパスワード の
使いまわしによる危険性
脆弱性を悪用した攻撃
不正ログイン
標的型攻撃関連
インターネッ ト バンキング
を狙った攻撃
内部要因による情報漏えい
スマート フォンを狙った攻撃
フィ ッ シング
ランサムウェ ア
DDoS攻撃
ユーザーを騙す詐欺・ 恐喝
凡例:
10年以上前から存在する脆弱性にかかわる脅威・脆弱性の脅威は今も昔も存在・狙われるのは主にウェブサイトやクライアントのソフトウェア
2005年~2009年のランキング順位 2005年 2006年 2007年 2008年 2009年
10大脅威名 10大脅威2006 10大脅威2007 10大脅威2008 10大脅威2009 10大脅威2010
アッ プデート していない
クライアント ソフト
1位 事件化するSQLインジェ クショ ン漏えい情報のW innyによる
止まらない流通高まる「 誘導型」 攻撃の脅威 DNSキャッ シュポイズニングの脅威
変化を続けるウェ ブサイト
改ざんの手口
2位W innyを通じたウイルス感染による
情報漏えいの多発表面化しづらい標的型(スピア型)攻撃 ウェ ブサイト を狙った攻撃の広まり
正規ウェ ブサイト を経由した
攻撃の猛威
悪質なウイルスやボッ ト の多目的化3位音楽CDに格納された「 ルート キッ ト に
類似した機能」 の事件化悪質化・ 潜在化するボッ ト 恒常化する情報漏えい 巧妙化する標的型攻撃
あわせて事後対応を!情報漏えい事件
4位 悪質化するフィ ッ シング詐欺 深刻化するゼロデイ攻撃 巧妙化する標的型攻撃多様化するウイルスやボッ ト の
感染経路
対策をしていないサーバー製品の
脆弱性
5位 巧妙化するスパイウエア ますます多様化するフィ ッ シング詐欺 信用できなく なった正規サイト 恒常化する情報漏えい
被害に気づけない標的型攻撃6位 流行が続く ボッ ト 増え続けるスパムメ ール検知されにく いボッ ト 、 潜在化する
コンピュータウイルス脆弱な無線LAN暗号方式における脅威
正規のアカウント を悪用される攻撃
7位 ウェ ブサイト を狙う CSRFの流行 減らない情報漏えい検索エンジンからマルウエア
配信サイト に誘導誘導型攻撃の顕在化 深刻なDDoS攻撃
8位情報家電、 携帯機器などの組込み
ソフト ウェ アにひそむ脆弱性狙われ続ける安易なパスワード 国内製品の脆弱性が頻発 減らないスパムメ ール
インターネッ ト インフラを支える
プロト コルの脆弱性
クラウド ・ コンピューティ ングの
セキュリ ティ 問題9位 セキュリ ティ 製品の持つ脆弱性 攻撃が急増するSQLインジェ クショ ン 減らないスパムメ ール 組込み製品に潜む脆弱性
10位 ゼロデイ攻撃不適切な設定のDNSサーバを狙う
攻撃の発生組み込み製品の脆弱性の増加
ユーザーIDとパスワード の
使いまわしによる危険性
狙われる組織の情報、標的型攻撃の登場・10年以上前から存在する標的型攻撃・2006年以降常に10大脅威に登場
脆弱性を悪用した攻撃
不正ログイン
標的型攻撃関連
インターネッ ト バンキング
を狙った攻撃
内部要因による情報漏えい
スマート フォンを狙った攻撃
フィ ッ シング
ランサムウェ ア
DDoS攻撃
ユーザーを騙す詐欺・ 恐喝
凡例:
2005年~2009年のランキング順位 2005年 2006年 2007年 2008年 2009年
10大脅威名 10大脅威2006 10大脅威2007 10大脅威2008 10大脅威2009 10大脅威2010
アッ プデート していない
クライアント ソフト
1位 事件化するSQLインジェ クショ ン漏えい情報のW innyによる
止まらない流通高まる「 誘導型」 攻撃の脅威 DNSキャッ シュポイズニングの脅威
変化を続けるウェ ブサイト
改ざんの手口
2位W innyを通じたウイルス感染による
情報漏えいの多発表面化しづらい標的型(スピア型)攻撃 ウェ ブサイト を狙った攻撃の広まり
正規ウェ ブサイト を経由した
攻撃の猛威
悪質なウイルスやボッ ト の多目的化3位音楽CDに格納された「 ルート キッ ト に
類似した機能」 の事件化悪質化・ 潜在化するボッ ト 恒常化する情報漏えい 巧妙化する標的型攻撃
あわせて事後対応を!情報漏えい事件
4位 悪質化するフィ ッ シング詐欺 深刻化するゼロデイ攻撃 巧妙化する標的型攻撃多様化するウイルスやボッ ト の
感染経路
対策をしていないサーバー製品の
脆弱性
5位 巧妙化するスパイウエア ますます多様化するフィ ッ シング詐欺 信用できなく なった正規サイト 恒常化する情報漏えい
被害に気づけない標的型攻撃6位 流行が続く ボッ ト 増え続けるスパムメ ール検知されにく いボッ ト 、 潜在化する
コンピュータウイルス脆弱な無線LAN暗号方式における脅威
正規のアカウント を悪用される攻撃
7位 ウェ ブサイト を狙う CSRFの流行 減らない情報漏えい検索エンジンからマルウエア
配信サイト に誘導誘導型攻撃の顕在化 深刻なDDoS攻撃
8位情報家電、 携帯機器などの組込み
ソフト ウェ アにひそむ脆弱性狙われ続ける安易なパスワード 国内製品の脆弱性が頻発 減らないスパムメ ール
インターネッ ト インフラを支える
プロト コルの脆弱性
クラウド ・ コンピューティ ングの
セキュリ ティ 問題9位 セキュリ ティ 製品の持つ脆弱性 攻撃が急増するSQLインジェ クショ ン 減らないスパムメ ール 組込み製品に潜む脆弱性
10位 ゼロデイ攻撃不適切な設定のDNSサーバを狙う
攻撃の発生組み込み製品の脆弱性の増加
ユーザーIDとパスワード の
使いまわしによる危険性
Winnyによる情報漏えい被害拡大・Antinnyウイルスによる情報漏えいで個人と組織で被害・Winnyネットワーク上に流出した情報は次々に拡散
脆弱性を悪用した攻撃
不正ログイン
標的型攻撃関連
インターネッ ト バンキング
を狙った攻撃
内部要因による情報漏えい
スマート フォンを狙った攻撃
フィ ッ シング
ランサムウェ ア
DDoS攻撃
ユーザーを騙す詐欺・ 恐喝
凡例:
2005年~2009年のランキング順位 2005年 2006年 2007年 2008年 2009年
10大脅威名 10大脅威2006 10大脅威2007 10大脅威2008 10大脅威2009 10大脅威2010
アッ プデート していない
クライアント ソフト
1位 事件化するSQLインジェ クショ ン漏えい情報のW innyによる
止まらない流通高まる「 誘導型」 攻撃の脅威 DNSキャッ シュポイズニングの脅威
変化を続けるウェ ブサイト
改ざんの手口
2位W innyを通じたウイルス感染による
情報漏えいの多発表面化しづらい標的型(スピア型)攻撃 ウェ ブサイト を狙った攻撃の広まり
正規ウェ ブサイト を経由した
攻撃の猛威
悪質なウイルスやボッ ト の多目的化3位音楽CDに格納された「 ルート キッ ト に
類似した機能」 の事件化悪質化・ 潜在化するボッ ト 恒常化する情報漏えい 巧妙化する標的型攻撃
あわせて事後対応を!情報漏えい事件
4位 悪質化するフィ ッ シング詐欺 深刻化するゼロデイ攻撃 巧妙化する標的型攻撃多様化するウイルスやボッ ト の
感染経路
対策をしていないサーバー製品の
脆弱性
5位 巧妙化するスパイウエア ますます多様化するフィ ッ シング詐欺 信用できなく なった正規サイト 恒常化する情報漏えい
被害に気づけない標的型攻撃6位 流行が続く ボッ ト 増え続けるスパムメ ール検知されにく いボッ ト 、 潜在化する
コンピュータウイルス脆弱な無線LAN暗号方式における脅威
正規のアカウント を悪用される攻撃
7位 ウェ ブサイト を狙う CSRFの流行 減らない情報漏えい検索エンジンからマルウエア
配信サイト に誘導誘導型攻撃の顕在化 深刻なDDoS攻撃
8位情報家電、 携帯機器などの組込み
ソフト ウェ アにひそむ脆弱性狙われ続ける安易なパスワード 国内製品の脆弱性が頻発 減らないスパムメ ール
インターネッ ト インフラを支える
プロト コルの脆弱性
クラウド ・ コンピューティ ングの
セキュリ ティ 問題9位 セキュリ ティ 製品の持つ脆弱性 攻撃が急増するSQLインジェ クショ ン 減らないスパムメ ール 組込み製品に潜む脆弱性
10位 ゼロデイ攻撃不適切な設定のDNSサーバを狙う
攻撃の発生組み込み製品の脆弱性の増加
ユーザーIDとパスワード の
使いまわしによる危険性
猛威を振るうガンブラー被害、懸念される脆弱性の脅威・ウェブサイトが改ざんされる (ウェブサイトの脆弱性を悪用)・ウェブサイト閲覧者がウイルスに感染 (クライアントソフトウェアの脆弱性を悪用)
脆弱性を悪用した攻撃
不正ログイン
標的型攻撃関連
インターネッ ト バンキング
を狙った攻撃
内部要因による情報漏えい
スマート フォンを狙った攻撃
フィ ッ シング
ランサムウェ ア
DDoS攻撃
ユーザーを騙す詐欺・ 恐喝
凡例:
2010年~2014年のランキング順位 2010年 2011年 2012年 2013年 2014年
10大脅威名 10大脅威2011 10大脅威2012 10大脅威2013 10大脅威2014 10大脅威2015
標的型メ ールを用いた組織への
スパイ・ 諜報活動
インターネッ ト バンキングや
クレジッ ト カード 情報の不正利用
2位止まらない!ウェ ブサイト を
経由した攻撃
1位 「 人」 が起こしてしまう 情報漏えい機密情報が盗まれる!?
新しいタイプの攻撃
クライアント ソフト の脆弱性を
突いた攻撃
予測不能の災害発生!
引き起こされた業務停止標的型諜報攻撃の脅威 不正ログイン・ 不正利用 内部不正による情報漏えい
3位定番ソフト ウェ アの脆弱性を
狙った攻撃特定できぬ、 共通思想集団による攻撃
スマート デバイスを狙った悪意ある
アプリ の横行ウェ ブサイト の改ざん
5位複数の攻撃を組み合わせた
新しいタイプの攻撃
4位 狙われ出したスマート フォン今もどこかで…更新忘れの
クライアント ソフト を狙った攻撃
止まらない!ウェ ブサイト を
狙った攻撃
予期せぬ業務停止 悪意あるスマート フォンアプリ
標的型攻撃による諜報活動
ウェ ブサービスからの利用者情報の漏
えいウェ ブサービスへの不正ログインウイルスを使った遠隔操作
金銭窃取を目的としたウイルスの横行 オンラインバンキングからの不正送金 ウェ ブサービスからの顧客情報の窃取
ハッ カー集団によるサイバーテロ
SNSへの不適切な情報公開 ウェ ブサイト の改ざん
8位 攻撃に気づけない標的型攻撃
7位携帯電話向けウェ ブサイト の
セキュリ ティ
大丈夫!?電子証明書に思わぬ
落とし穴ウェ ブサイト を狙った攻撃
身近に潜む魔の手…
あなたの職場は大丈夫?パスワード 流出の脅威 紛失や設定不備による情報漏えい
インターネッ ト 基盤技術を
悪用した攻撃
6位セキュリ ティ 対策不備がもたらす
ト ラブル
続々発覚、 スマート フォンや
タブレッ ト を狙った攻撃
脆弱性公表に伴う 攻撃
サービス妨害 悪意のあるスマート フォンアプリ10位ミ ニブログサービスやSNSの
利用者を狙った攻撃
使用者情報の不適切な取扱いによる
信用失墜フィ ッ シング詐欺
9位クラウド ・ コンピューティ ングの
セキュリ ティ
危ない!アカウント の使いまわしが
被害を拡大!内部犯行 ウイルスを使った詐欺・ 恐喝
脆弱性を悪用した攻撃
不正ログイン
標的型攻撃関連
インターネッ ト バンキング
を狙った攻撃
内部要因による情報漏えい
スマート フォンを狙った攻撃
フィ ッ シング
ランサムウェ ア
DDoS攻撃
ユーザーを騙す詐欺・ 恐喝
凡例:
2010年~2014年のランキング順位 2010年 2011年 2012年 2013年 2014年
10大脅威名 10大脅威2011 10大脅威2012 10大脅威2013 10大脅威2014 10大脅威2015
標的型メ ールを用いた組織への
スパイ・ 諜報活動
インターネッ ト バンキングや
クレジッ ト カード 情報の不正利用
2位止まらない!ウェ ブサイト を
経由した攻撃
1位 「 人」 が起こしてしまう 情報漏えい機密情報が盗まれる!?
新しいタイプの攻撃
クライアント ソフト の脆弱性を
突いた攻撃
予測不能の災害発生!
引き起こされた業務停止標的型諜報攻撃の脅威 不正ログイン・ 不正利用 内部不正による情報漏えい
3位定番ソフト ウェ アの脆弱性を
狙った攻撃特定できぬ、 共通思想集団による攻撃
スマート デバイスを狙った悪意ある
アプリ の横行ウェ ブサイト の改ざん
5位複数の攻撃を組み合わせた
新しいタイプの攻撃
4位 狙われ出したスマート フォン今もどこかで…更新忘れの
クライアント ソフト を狙った攻撃
止まらない!ウェ ブサイト を
狙った攻撃
予期せぬ業務停止 悪意あるスマート フォンアプリ
標的型攻撃による諜報活動
ウェ ブサービスからの利用者情報の漏
えいウェ ブサービスへの不正ログインウイルスを使った遠隔操作
金銭窃取を目的としたウイルスの横行 オンラインバンキングからの不正送金 ウェ ブサービスからの顧客情報の窃取
ハッ カー集団によるサイバーテロ
SNSへの不適切な情報公開 ウェ ブサイト の改ざん
8位 攻撃に気づけない標的型攻撃
7位携帯電話向けウェ ブサイト の
セキュリ ティ
大丈夫!?電子証明書に思わぬ
落とし穴ウェ ブサイト を狙った攻撃
身近に潜む魔の手…
あなたの職場は大丈夫?パスワード 流出の脅威 紛失や設定不備による情報漏えい
インターネッ ト 基盤技術を
悪用した攻撃
6位セキュリ ティ 対策不備がもたらす
ト ラブル
続々発覚、 スマート フォンや
タブレッ ト を狙った攻撃
脆弱性公表に伴う 攻撃
サービス妨害 悪意のあるスマート フォンアプリ10位ミ ニブログサービスやSNSの
利用者を狙った攻撃
使用者情報の不適切な取扱いによる
信用失墜フィ ッ シング詐欺
9位クラウド ・ コンピューティ ングの
セキュリ ティ
危ない!アカウント の使いまわしが
被害を拡大!内部犯行 ウイルスを使った詐欺・ 恐喝
継続するガンブラーの被害・2011年には収束
脆弱性を悪用した攻撃
不正ログイン
標的型攻撃関連
インターネッ ト バンキング
を狙った攻撃
内部要因による情報漏えい
スマート フォンを狙った攻撃
フィ ッ シング
ランサムウェ ア
DDoS攻撃
ユーザーを騙す詐欺・ 恐喝
凡例:
2010年~2014年のランキング順位 2010年 2011年 2012年 2013年 2014年
10大脅威名 10大脅威2011 10大脅威2012 10大脅威2013 10大脅威2014 10大脅威2015
標的型メ ールを用いた組織への
スパイ・ 諜報活動
インターネッ ト バンキングや
クレジッ ト カード 情報の不正利用
2位止まらない!ウェ ブサイト を
経由した攻撃
1位 「 人」 が起こしてしまう 情報漏えい機密情報が盗まれる!?
新しいタイプの攻撃
クライアント ソフト の脆弱性を
突いた攻撃
予測不能の災害発生!
引き起こされた業務停止標的型諜報攻撃の脅威 不正ログイン・ 不正利用 内部不正による情報漏えい
3位定番ソフト ウェ アの脆弱性を
狙った攻撃特定できぬ、 共通思想集団による攻撃
スマート デバイスを狙った悪意ある
アプリ の横行ウェ ブサイト の改ざん
5位複数の攻撃を組み合わせた
新しいタイプの攻撃
4位 狙われ出したスマート フォン今もどこかで…更新忘れの
クライアント ソフト を狙った攻撃
止まらない!ウェ ブサイト を
狙った攻撃
予期せぬ業務停止 悪意あるスマート フォンアプリ
標的型攻撃による諜報活動
ウェ ブサービスからの利用者情報の漏
えいウェ ブサービスへの不正ログインウイルスを使った遠隔操作
金銭窃取を目的としたウイルスの横行 オンラインバンキングからの不正送金 ウェ ブサービスからの顧客情報の窃取
ハッ カー集団によるサイバーテロ
SNSへの不適切な情報公開 ウェ ブサイト の改ざん
8位 攻撃に気づけない標的型攻撃
7位携帯電話向けウェ ブサイト の
セキュリ ティ
大丈夫!?電子証明書に思わぬ
落とし穴ウェ ブサイト を狙った攻撃
身近に潜む魔の手…
あなたの職場は大丈夫?パスワード 流出の脅威 紛失や設定不備による情報漏えい
インターネッ ト 基盤技術を
悪用した攻撃
6位セキュリ ティ 対策不備がもたらす
ト ラブル
続々発覚、 スマート フォンや
タブレッ ト を狙った攻撃
脆弱性公表に伴う 攻撃
サービス妨害 悪意のあるスマート フォンアプリ10位ミ ニブログサービスやSNSの
利用者を狙った攻撃
使用者情報の不適切な取扱いによる
信用失墜フィ ッ シング詐欺
9位クラウド ・ コンピューティ ングの
セキュリ ティ
危ない!アカウント の使いまわしが
被害を拡大!内部犯行 ウイルスを使った詐欺・ 恐喝
スマートフォンを狙った攻撃がランクイン・2010年以降常に10大脅威にランクイン・スマートフォンに特化した攻撃は主に不正アプリ
脆弱性を悪用した攻撃
不正ログイン
標的型攻撃関連
インターネッ ト バンキング
を狙った攻撃
内部要因による情報漏えい
スマート フォンを狙った攻撃
フィ ッ シング
ランサムウェ ア
DDoS攻撃
ユーザーを騙す詐欺・ 恐喝
凡例:
2010年~2014年のランキング順位 2010年 2011年 2012年 2013年 2014年
10大脅威名 10大脅威2011 10大脅威2012 10大脅威2013 10大脅威2014 10大脅威2015
標的型メ ールを用いた組織への
スパイ・ 諜報活動
インターネッ ト バンキングや
クレジッ ト カード 情報の不正利用
2位止まらない!ウェ ブサイト を
経由した攻撃
1位 「 人」 が起こしてしまう 情報漏えい機密情報が盗まれる!?
新しいタイプの攻撃
クライアント ソフト の脆弱性を
突いた攻撃
予測不能の災害発生!
引き起こされた業務停止標的型諜報攻撃の脅威 不正ログイン・ 不正利用 内部不正による情報漏えい
3位定番ソフト ウェ アの脆弱性を
狙った攻撃特定できぬ、 共通思想集団による攻撃
スマート デバイスを狙った悪意ある
アプリ の横行ウェ ブサイト の改ざん
5位複数の攻撃を組み合わせた
新しいタイプの攻撃
4位 狙われ出したスマート フォン今もどこかで…更新忘れの
クライアント ソフト を狙った攻撃
止まらない!ウェ ブサイト を
狙った攻撃
予期せぬ業務停止 悪意あるスマート フォンアプリ
標的型攻撃による諜報活動
ウェ ブサービスからの利用者情報の漏
えいウェ ブサービスへの不正ログインウイルスを使った遠隔操作
金銭窃取を目的としたウイルスの横行 オンラインバンキングからの不正送金 ウェ ブサービスからの顧客情報の窃取
ハッ カー集団によるサイバーテロ
SNSへの不適切な情報公開 ウェ ブサイト の改ざん
8位 攻撃に気づけない標的型攻撃
7位携帯電話向けウェ ブサイト の
セキュリ ティ
大丈夫!?電子証明書に思わぬ
落とし穴ウェ ブサイト を狙った攻撃
身近に潜む魔の手…
あなたの職場は大丈夫?パスワード 流出の脅威 紛失や設定不備による情報漏えい
インターネッ ト 基盤技術を
悪用した攻撃
6位セキュリ ティ 対策不備がもたらす
ト ラブル
続々発覚、 スマート フォンや
タブレッ ト を狙った攻撃
脆弱性公表に伴う 攻撃
サービス妨害 悪意のあるスマート フォンアプリ10位ミ ニブログサービスやSNSの
利用者を狙った攻撃
使用者情報の不適切な取扱いによる
信用失墜フィ ッ シング詐欺
9位クラウド ・ コンピューティ ングの
セキュリ ティ
危ない!アカウント の使いまわしが
被害を拡大!内部犯行 ウイルスを使った詐欺・ 恐喝
インターネットバンキングを狙った攻撃による被害増・インターネットバンキングを狙ったウイルスの増加 (MITB攻撃など)・インターネットバンキングの被害額は2017年まで増加傾向
脆弱性を悪用した攻撃
不正ログイン
標的型攻撃関連
インターネッ ト バンキング
を狙った攻撃
内部要因による情報漏えい
スマート フォンを狙った攻撃
フィ ッ シング
ランサムウェ ア
DDoS攻撃
ユーザーを騙す詐欺・ 恐喝
凡例:
2015年~2018年のランキング
脆弱性を悪用した攻撃
不正ログイン
標的型攻撃関連
インターネッ ト バンキング
を狙った攻撃
内部要因による情報漏えい
スマート フォンを狙った攻撃
フィ ッ シング
ランサムウェ ア
DDoS攻撃
ユーザーを騙す詐欺・ 恐喝
凡例:順位 2015年 2016年 2017年 2018年
10大脅威名 10大脅威2016 10大脅威2017 10大脅威2018 10大脅威2019
標的型攻撃による情報流出 標的型攻撃による情報流出 標的型攻撃による情報流出 標的型攻撃による被害
インターネッ ト バンキングや
クレジッ カード 情報等の不正利用
インターネッ ト バンキングや
クレジッ ト カード 情報等の不正利用
インターネッ ト バンキングや
クレジッ ト カード 情報等の不正利用クレジッ ト カード 情報の不正利用
内部不正による情報漏えいや
サービス停止ランサムウェ アによる被害 ランサムウェ アによる被害 ビジネスメ ール詐欺による被害
ランサムウェ アを使った詐欺・ 恐喝 ランサムウェ アによる被害 ランサムウェ アによる被害 フィ ッ シングによる個人情報等の詐取
ウェ ブサービスからの個人情報の窃取 ウェ ブサービスからの個人情報の窃取 ビジネスメ ール詐欺による被害 ランサムウェ アによる被害
審査をすり 抜け公式マーケッ ト に
紛れ込んだスマート フォンアプリ
スマート フォンやスマート フォン
アプリ を狙った攻撃ネッ ト 上の誹謗・ 中傷
不正アプリ によるスマート フォン
利用者の被害
サービス妨害攻撃による
サービスの停止
サービス妨害攻撃による
サービスの停止脆弱性対策情報の公開に伴う 悪用増加
サプライチェ ーンの弱点を悪用した
攻撃の高まり
巧妙・ 悪質化するワンクリ ッ ク請求 ウェ ブサービスへの不正ログインスマート フォンやスマート フォン
アプリ を狙った攻撃
メ ールやSNSを使った脅迫・ 詐欺の
手口による金銭要求
ウェ ブサイト の改ざん内部不正による情報漏えいと
それに伴う 業務停止
脅威に対応するためのセキュリ ティ 人
材の不足内部不正による情報漏えい
ウェ ブサービスへの不正ログイン ワンクリ ッ ク請求等の不当請求 ウェ ブサービスへの不正ログイン ネッ ト 上の誹謗・ 中傷・ デマ
対策情報の公開に伴い公知となる
脆弱性の悪用増加ウェ ブサイト の改ざん ウェ ブサービスからの個人情報の窃取
サービス妨害攻撃による
サービスの停止
匿名によるネッ ト 上の誹謗・ 中傷 ウェ ブサービスからの個人情報の窃取 ウェ ブサービスからの個人情報の窃取 偽警告によるインターネッ ト 詐欺
ランサムウェ アを使った詐欺・ 恐喝 ウェ ブサービスへの不正ログイン IoT機器の脆弱性の顕在化インターネッ ト サービスからの
個人情報の窃取
ウェ ブサービスからの個人情報の窃取 ネッ ト 上の誹謗・ 中傷 情報モラル欠如に伴う 犯罪の低年齢化 インターネッ ト バンキングの不正利用
インターネッ ト バンキングや
クレジッ ト カード 情報の不正利用IoT機器の脆弱性の顕在化 内部不正による情報漏えい IoT機器の脆弱性の顕在化
情報モラル不足に伴う 犯罪の低年齢化 情報モラル欠如に伴う 犯罪の低年齢化 ワンクリ ッ ク請求等の不当請求インターネッ ト サービスへの
不正ログイン
ウェ ブサービスへの不正ログイン攻撃のビジネス化
( アンダーグラウンド サービス)
サービス妨害攻撃による
サービスの停止脆弱性対策情報の公開に伴う 悪用増加
職業倫理欠如による不適切な情報公開インターネッ ト 上のサービスを
悪用した攻撃Iot機器の不適切な管理 ランサムウェ アによる被害
過失による情報漏えいインターネッ ト バンキングや
クレジッ ト カード 情報の不正利用
犯罪のビジネス化
(アンダーグラウンド サービス)不注意による情報漏えい
インターネッ ト の広告機能を
悪用した攻撃IoT機器の不適切な管理 偽警告によるインターネッ ト 詐欺 IoT機器の不適切な管理
10位
9位
8位
7位
6位
5位
4位
3位
2位
1位
順位 2015年 2016年 2017年 2018年
10大脅威名 10大脅威2016 10大脅威2017 10大脅威2018 10大脅威2019
標的型攻撃による情報流出 標的型攻撃による情報流出 標的型攻撃による情報流出 標的型攻撃による被害
インターネッ ト バンキングや
クレジッ カード 情報等の不正利用
インターネッ ト バンキングや
クレジッ ト カード 情報等の不正利用
インターネッ ト バンキングや
クレジッ ト カード 情報等の不正利用クレジッ ト カード 情報の不正利用
内部不正による情報漏えいや
サービス停止ランサムウェ アによる被害 ランサムウェ アによる被害 ビジネスメ ール詐欺による被害
ランサムウェ アを使った詐欺・ 恐喝 ランサムウェ アによる被害 ランサムウェ アによる被害 フィ ッ シングによる個人情報等の詐取
ウェ ブサービスからの個人情報の窃取 ウェ ブサービスからの個人情報の窃取 ビジネスメ ール詐欺による被害 ランサムウェ アによる被害
審査をすり 抜け公式マーケッ ト に
紛れ込んだスマート フォンアプリ
スマート フォンやスマート フォン
アプリ を狙った攻撃ネッ ト 上の誹謗・ 中傷
不正アプリ によるスマート フォン
利用者の被害
サービス妨害攻撃による
サービスの停止
サービス妨害攻撃による
サービスの停止脆弱性対策情報の公開に伴う 悪用増加
サプライチェ ーンの弱点を悪用した
攻撃の高まり
巧妙・ 悪質化するワンクリ ッ ク請求 ウェ ブサービスへの不正ログインスマート フォンやスマート フォン
アプリ を狙った攻撃
メ ールやSNSを使った脅迫・ 詐欺の
手口による金銭要求
ウェ ブサイト の改ざん内部不正による情報漏えいと
それに伴う 業務停止
脅威に対応するためのセキュリ ティ 人
材の不足内部不正による情報漏えい
ウェ ブサービスへの不正ログイン ワンクリ ッ ク請求等の不当請求 ウェ ブサービスへの不正ログイン ネッ ト 上の誹謗・ 中傷・ デマ
対策情報の公開に伴い公知となる
脆弱性の悪用増加ウェ ブサイト の改ざん ウェ ブサービスからの個人情報の窃取
サービス妨害攻撃による
サービスの停止
匿名によるネッ ト 上の誹謗・ 中傷 ウェ ブサービスからの個人情報の窃取 ウェ ブサービスからの個人情報の窃取 偽警告によるインターネッ ト 詐欺
ランサムウェ アを使った詐欺・ 恐喝 ウェ ブサービスへの不正ログイン IoT機器の脆弱性の顕在化インターネッ ト サービスからの
個人情報の窃取
ウェ ブサービスからの個人情報の窃取 ネッ ト 上の誹謗・ 中傷 情報モラル欠如に伴う 犯罪の低年齢化 インターネッ ト バンキングの不正利用
インターネッ ト バンキングや
クレジッ ト カード 情報の不正利用IoT機器の脆弱性の顕在化 内部不正による情報漏えい IoT機器の脆弱性の顕在化
情報モラル不足に伴う 犯罪の低年齢化 情報モラル欠如に伴う 犯罪の低年齢化 ワンクリ ッ ク請求等の不当請求インターネッ ト サービスへの
不正ログイン
ウェ ブサービスへの不正ログイン攻撃のビジネス化
( アンダーグラウンド サービス)
サービス妨害攻撃による
サービスの停止脆弱性対策情報の公開に伴う 悪用増加
職業倫理欠如による不適切な情報公開インターネッ ト 上のサービスを
悪用した攻撃Iot機器の不適切な管理 ランサムウェ アによる被害
過失による情報漏えいインターネッ ト バンキングや
クレジッ ト カード 情報の不正利用
犯罪のビジネス化
(アンダーグラウンド サービス)不注意による情報漏えい
インターネッ ト の広告機能を
悪用した攻撃IoT機器の不適切な管理 偽警告によるインターネッ ト 詐欺 IoT機器の不適切な管理
10位
9位
8位
7位
6位
5位
4位
3位
2位
1位
2015年~2018年のランキング
継続するインターネットバンキングの被害・攻撃対象は都銀→地銀→信用金庫と変化・2018年には被害額減少、クレジットカード不正利用の被害大
脆弱性を悪用した攻撃
不正ログイン
標的型攻撃関連
インターネッ ト バンキング
を狙った攻撃
内部要因による情報漏えい
スマート フォンを狙った攻撃
フィ ッ シング
ランサムウェ ア
DDoS攻撃
ユーザーを騙す詐欺・ 恐喝
凡例:
順位 2015年 2016年 2017年 2018年
10大脅威名 10大脅威2016 10大脅威2017 10大脅威2018 10大脅威2019
標的型攻撃による情報流出 標的型攻撃による情報流出 標的型攻撃による情報流出 標的型攻撃による被害
インターネッ ト バンキングや
クレジッ カード 情報等の不正利用
インターネッ ト バンキングや
クレジッ ト カード 情報等の不正利用
インターネッ ト バンキングや
クレジッ ト カード 情報等の不正利用クレジッ ト カード 情報の不正利用
内部不正による情報漏えいや
サービス停止ランサムウェ アによる被害 ランサムウェ アによる被害 ビジネスメ ール詐欺による被害
ランサムウェ アを使った詐欺・ 恐喝 ランサムウェ アによる被害 ランサムウェ アによる被害 フィ ッ シングによる個人情報等の詐取
ウェ ブサービスからの個人情報の窃取 ウェ ブサービスからの個人情報の窃取 ビジネスメ ール詐欺による被害 ランサムウェ アによる被害
審査をすり 抜け公式マーケッ ト に
紛れ込んだスマート フォンアプリ
スマート フォンやスマート フォン
アプリ を狙った攻撃ネッ ト 上の誹謗・ 中傷
不正アプリ によるスマート フォン
利用者の被害
サービス妨害攻撃による
サービスの停止
サービス妨害攻撃による
サービスの停止脆弱性対策情報の公開に伴う 悪用増加
サプライチェ ーンの弱点を悪用した
攻撃の高まり
巧妙・ 悪質化するワンクリ ッ ク請求 ウェ ブサービスへの不正ログインスマート フォンやスマート フォン
アプリ を狙った攻撃
メ ールやSNSを使った脅迫・ 詐欺の
手口による金銭要求
ウェ ブサイト の改ざん内部不正による情報漏えいと
それに伴う 業務停止
脅威に対応するためのセキュリ ティ 人
材の不足内部不正による情報漏えい
ウェ ブサービスへの不正ログイン ワンクリ ッ ク請求等の不当請求 ウェ ブサービスへの不正ログイン ネッ ト 上の誹謗・ 中傷・ デマ
対策情報の公開に伴い公知となる
脆弱性の悪用増加ウェ ブサイト の改ざん ウェ ブサービスからの個人情報の窃取
サービス妨害攻撃による
サービスの停止
匿名によるネッ ト 上の誹謗・ 中傷 ウェ ブサービスからの個人情報の窃取 ウェ ブサービスからの個人情報の窃取 偽警告によるインターネッ ト 詐欺
ランサムウェ アを使った詐欺・ 恐喝 ウェ ブサービスへの不正ログイン IoT機器の脆弱性の顕在化インターネッ ト サービスからの
個人情報の窃取
ウェ ブサービスからの個人情報の窃取 ネッ ト 上の誹謗・ 中傷 情報モラル欠如に伴う 犯罪の低年齢化 インターネッ ト バンキングの不正利用
インターネッ ト バンキングや
クレジッ ト カード 情報の不正利用IoT機器の脆弱性の顕在化 内部不正による情報漏えい IoT機器の脆弱性の顕在化
情報モラル不足に伴う 犯罪の低年齢化 情報モラル欠如に伴う 犯罪の低年齢化 ワンクリ ッ ク請求等の不当請求インターネッ ト サービスへの
不正ログイン
ウェ ブサービスへの不正ログイン攻撃のビジネス化
( アンダーグラウンド サービス)
サービス妨害攻撃による
サービスの停止脆弱性対策情報の公開に伴う 悪用増加
職業倫理欠如による不適切な情報公開インターネッ ト 上のサービスを
悪用した攻撃Iot機器の不適切な管理 ランサムウェ アによる被害
過失による情報漏えいインターネッ ト バンキングや
クレジッ ト カード 情報の不正利用
犯罪のビジネス化
(アンダーグラウンド サービス)不注意による情報漏えい
インターネッ ト の広告機能を
悪用した攻撃IoT機器の不適切な管理 偽警告によるインターネッ ト 詐欺 IoT機器の不適切な管理
10位
9位
8位
7位
6位
5位
4位
3位
2位
1位
2015年~2018年のランキング
ランサムウェアによる被害がランクイン・ランサムウェアが表示する脅迫文が日本語に・金銭の支払いは仮想通貨で要求
脆弱性を悪用した攻撃
不正ログイン
標的型攻撃関連
インターネッ ト バンキング
を狙った攻撃
内部要因による情報漏えい
スマート フォンを狙った攻撃
フィ ッ シング
ランサムウェ ア
DDoS攻撃
ユーザーを騙す詐欺・ 恐喝
凡例:
順位 2015年 2016年 2017年 2018年
10大脅威名 10大脅威2016 10大脅威2017 10大脅威2018 10大脅威2019
標的型攻撃による情報流出 標的型攻撃による情報流出 標的型攻撃による情報流出 標的型攻撃による被害
インターネッ ト バンキングや
クレジッ カード 情報等の不正利用
インターネッ ト バンキングや
クレジッ ト カード 情報等の不正利用
インターネッ ト バンキングや
クレジッ ト カード 情報等の不正利用クレジッ ト カード 情報の不正利用
内部不正による情報漏えいや
サービス停止ランサムウェ アによる被害 ランサムウェ アによる被害 ビジネスメ ール詐欺による被害
ランサムウェ アを使った詐欺・ 恐喝 ランサムウェ アによる被害 ランサムウェ アによる被害 フィ ッ シングによる個人情報等の詐取
ウェ ブサービスからの個人情報の窃取 ウェ ブサービスからの個人情報の窃取 ビジネスメ ール詐欺による被害 ランサムウェ アによる被害
審査をすり 抜け公式マーケッ ト に
紛れ込んだスマート フォンアプリ
スマート フォンやスマート フォン
アプリ を狙った攻撃ネッ ト 上の誹謗・ 中傷
不正アプリ によるスマート フォン
利用者の被害
サービス妨害攻撃による
サービスの停止
サービス妨害攻撃による
サービスの停止脆弱性対策情報の公開に伴う 悪用増加
サプライチェ ーンの弱点を悪用した
攻撃の高まり
巧妙・ 悪質化するワンクリ ッ ク請求 ウェ ブサービスへの不正ログインスマート フォンやスマート フォン
アプリ を狙った攻撃
メ ールやSNSを使った脅迫・ 詐欺の
手口による金銭要求
ウェ ブサイト の改ざん内部不正による情報漏えいと
それに伴う 業務停止
脅威に対応するためのセキュリ ティ 人
材の不足内部不正による情報漏えい
ウェ ブサービスへの不正ログイン ワンクリ ッ ク請求等の不当請求 ウェ ブサービスへの不正ログイン ネッ ト 上の誹謗・ 中傷・ デマ
対策情報の公開に伴い公知となる
脆弱性の悪用増加ウェ ブサイト の改ざん ウェ ブサービスからの個人情報の窃取
サービス妨害攻撃による
サービスの停止
匿名によるネッ ト 上の誹謗・ 中傷 ウェ ブサービスからの個人情報の窃取 ウェ ブサービスからの個人情報の窃取 偽警告によるインターネッ ト 詐欺
ランサムウェ アを使った詐欺・ 恐喝 ウェ ブサービスへの不正ログイン IoT機器の脆弱性の顕在化インターネッ ト サービスからの
個人情報の窃取
ウェ ブサービスからの個人情報の窃取 ネッ ト 上の誹謗・ 中傷 情報モラル欠如に伴う 犯罪の低年齢化 インターネッ ト バンキングの不正利用
インターネッ ト バンキングや
クレジッ ト カード 情報の不正利用IoT機器の脆弱性の顕在化 内部不正による情報漏えい IoT機器の脆弱性の顕在化
情報モラル不足に伴う 犯罪の低年齢化 情報モラル欠如に伴う 犯罪の低年齢化 ワンクリ ッ ク請求等の不当請求インターネッ ト サービスへの
不正ログイン
ウェ ブサービスへの不正ログイン攻撃のビジネス化
( アンダーグラウンド サービス)
サービス妨害攻撃による
サービスの停止脆弱性対策情報の公開に伴う 悪用増加
職業倫理欠如による不適切な情報公開インターネッ ト 上のサービスを
悪用した攻撃Iot機器の不適切な管理 ランサムウェ アによる被害
過失による情報漏えいインターネッ ト バンキングや
クレジッ ト カード 情報の不正利用
犯罪のビジネス化
(アンダーグラウンド サービス)不注意による情報漏えい
インターネッ ト の広告機能を
悪用した攻撃IoT機器の不適切な管理 偽警告によるインターネッ ト 詐欺 IoT機器の不適切な管理
10位
9位
8位
7位
6位
5位
4位
3位
2位
1位
2015年~2018年のランキング
ユーザーを騙す手口が増加・組織向けの脅威としてビジネスメール詐欺が登場・個人向けの脅威として偽警告によるインターネット詐欺が登場
脆弱性を悪用した攻撃
不正ログイン
標的型攻撃関連
インターネッ ト バンキング
を狙った攻撃
内部要因による情報漏えい
スマート フォンを狙った攻撃
フィ ッ シング
ランサムウェ ア
DDoS攻撃
ユーザーを騙す詐欺・ 恐喝
凡例:
順位 2015年 2016年 2017年 2018年
10大脅威名 10大脅威2016 10大脅威2017 10大脅威2018 10大脅威2019
標的型攻撃による情報流出 標的型攻撃による情報流出 標的型攻撃による情報流出 標的型攻撃による被害
インターネッ ト バンキングや
クレジッ カード 情報等の不正利用
インターネッ ト バンキングや
クレジッ ト カード 情報等の不正利用
インターネッ ト バンキングや
クレジッ ト カード 情報等の不正利用クレジッ ト カード 情報の不正利用
内部不正による情報漏えいや
サービス停止ランサムウェ アによる被害 ランサムウェ アによる被害 ビジネスメ ール詐欺による被害
ランサムウェ アを使った詐欺・ 恐喝 ランサムウェ アによる被害 ランサムウェ アによる被害 フィ ッ シングによる個人情報等の詐取
ウェ ブサービスからの個人情報の窃取 ウェ ブサービスからの個人情報の窃取 ビジネスメ ール詐欺による被害 ランサムウェ アによる被害
審査をすり 抜け公式マーケッ ト に
紛れ込んだスマート フォンアプリ
スマート フォンやスマート フォン
アプリ を狙った攻撃ネッ ト 上の誹謗・ 中傷
不正アプリ によるスマート フォン
利用者の被害
サービス妨害攻撃による
サービスの停止
サービス妨害攻撃による
サービスの停止脆弱性対策情報の公開に伴う 悪用増加
サプライチェ ーンの弱点を悪用した
攻撃の高まり
巧妙・ 悪質化するワンクリ ッ ク請求 ウェ ブサービスへの不正ログインスマート フォンやスマート フォン
アプリ を狙った攻撃
メ ールやSNSを使った脅迫・ 詐欺の
手口による金銭要求
ウェ ブサイト の改ざん内部不正による情報漏えいと
それに伴う 業務停止
脅威に対応するためのセキュリ ティ 人
材の不足内部不正による情報漏えい
ウェ ブサービスへの不正ログイン ワンクリ ッ ク請求等の不当請求 ウェ ブサービスへの不正ログイン ネッ ト 上の誹謗・ 中傷・ デマ
対策情報の公開に伴い公知となる
脆弱性の悪用増加ウェ ブサイト の改ざん ウェ ブサービスからの個人情報の窃取
サービス妨害攻撃による
サービスの停止
匿名によるネッ ト 上の誹謗・ 中傷 ウェ ブサービスからの個人情報の窃取 ウェ ブサービスからの個人情報の窃取 偽警告によるインターネッ ト 詐欺
ランサムウェ アを使った詐欺・ 恐喝 ウェ ブサービスへの不正ログイン IoT機器の脆弱性の顕在化インターネッ ト サービスからの
個人情報の窃取
ウェ ブサービスからの個人情報の窃取 ネッ ト 上の誹謗・ 中傷 情報モラル欠如に伴う 犯罪の低年齢化 インターネッ ト バンキングの不正利用
インターネッ ト バンキングや
クレジッ ト カード 情報の不正利用IoT機器の脆弱性の顕在化 内部不正による情報漏えい IoT機器の脆弱性の顕在化
情報モラル不足に伴う 犯罪の低年齢化 情報モラル欠如に伴う 犯罪の低年齢化 ワンクリ ッ ク請求等の不当請求インターネッ ト サービスへの
不正ログイン
ウェ ブサービスへの不正ログイン攻撃のビジネス化
( アンダーグラウンド サービス)
サービス妨害攻撃による
サービスの停止脆弱性対策情報の公開に伴う 悪用増加
職業倫理欠如による不適切な情報公開インターネッ ト 上のサービスを
悪用した攻撃Iot機器の不適切な管理 ランサムウェ アによる被害
過失による情報漏えいインターネッ ト バンキングや
クレジッ ト カード 情報の不正利用
犯罪のビジネス化
(アンダーグラウンド サービス)不注意による情報漏えい
インターネッ ト の広告機能を
悪用した攻撃IoT機器の不適切な管理 偽警告によるインターネッ ト 詐欺 IoT機器の不適切な管理
10位
9位
8位
7位
6位
5位
4位
3位
2位
1位
2015年~2018年のランキング
IoT機器関連の被害が登場・IoT機器を狙うウイルス(Miraiおよびその亜種)・初期パスワードのまま利用している機器に不正アクセス
脆弱性を悪用した攻撃
不正ログイン
標的型攻撃関連
インターネッ ト バンキング
を狙った攻撃
内部要因による情報漏えい
スマート フォンを狙った攻撃
フィ ッ シング
ランサムウェ ア
DDoS攻撃
ユーザーを騙す詐欺・ 恐喝
凡例:
情報セキュリティ対策の基本
情報セキュリティ対策の基本
多数の脅威があるが「攻撃の糸口」は似通っている
基本的な対策の重要性は長年変わらない
攻撃の糸口 情報セキュリティ対策の基本 目的
ソフトウェアの脆弱性 ソフトウェアの更新 脆弱性を解消し攻撃によるリスクを低減する
ウイルス感染 セキュリティソフトの利用 攻撃をブロックする
パスワード窃取 パスワードの管理・認証の強化 パスワード窃取によるリスクを低減する
設定不備 設定の見直し 誤った設定を攻撃に利用されないようにする
誘導(罠にはめる) 脅威・手口を知る 手口から重要視するべき対策を理解する
ソフトウェアの更新
ソフトウェアが持つ脆弱性は、ソフトウェアを更新して根本的に解消する
■例えばウェブサーバー管理者は・・・
・ウェブサーバー関連ソフトウェアの更新(Apache、WordPressなど)
■例えば一般ユーザーは・・・
・OSや主にインターネット関連のソフトウェアを更新(Windows、Adobe、Javaなど)
セキュリティソフトの利用
ウイルス対策機能でウイルスの感染を未然に防ぐ
ファイアウォール機能で不正な通信をブロックする
■例えばWindowsユーザーは・・・
・最低限Windows標準のセキュリティ機能は有効にする(Windows Defenderなど)
・その他市販のセキュリティソフトの利用も検討
パスワードの管理・認証の強化
推測されにくいパスワードを設定
複数のインターネットサービスでパスワードを使い回さない
二要素認証等、強い認証方式が利用できれば利用する
・パスワード管理ソフトの利用も検討
・2018年度のIPAの意識調査で、使い回しをしていないという回答は48.7%
設定の見直し
不要な設定 (機能) は無効にする
製品共通の初期パスワードのまま利用しない
ソフトウェア更新の自動化
・IoT機器は直接インターネットに接続することが前提なので特に注意
脅威・手口を知る
公的機関の注意喚起やニュースなどから脅威の手口に関する情報を収集
変化する手口を理解して適切な対策を実践
・注意喚起や情報発信しているSNSアカウントのフォロー
・メールマガジンの登録
振り返りから見える傾向と対策
振り返りから見える傾向と対策順位 2005年 2006年 2007年 2008年 2009年 2010年 2011年 2012年 2013年 2014年 2015年 2016年 2017年 2018年
10大脅威名 10大脅威2006 10大脅威2007 10大脅威2008 10大脅威2009 10大脅威2010 10大脅威2011 10大脅威2012 10大脅威2013 10大脅威2014 10大脅威2015 10大脅威2016 10大脅威2017 10大脅威2018 10大脅威2019
標的型攻撃による情報流出 標的型攻撃による情報流出 標的型攻撃による情報流出 標的型攻撃による被害
インターネッ ト バンキングや
クレジッ カード 情報等の不正利用
インターネッ ト バンキングや
クレジッ ト カード 情報等の不正利用
インターネッ ト バンキングや
クレジッ ト カード 情報等の不正利用クレジッ ト カード 情報の不正利用
内部不正による情報漏えいや
サービス停止ランサムウェ アによる被害 ランサムウェ アによる被害 ビジネスメ ール詐欺による被害
ランサムウェ アを使った詐欺・ 恐喝 ランサムウェ アによる被害 ランサムウェ アによる被害 フィ ッ シングによる個人情報等の詐取
ウェ ブサービスからの個人情報の窃取 ウェ ブサービスからの個人情報の窃取 ビジネスメ ール詐欺による被害 ランサムウェ アによる被害
審査をすり 抜け公式マーケッ ト に
紛れ込んだスマート フォンアプリ
スマート フォンやスマート フォン
アプリ を狙った攻撃ネッ ト 上の誹謗・ 中傷
不正アプリ によるスマート フォン
利用者の被害
サービス妨害攻撃による
サービスの停止
サービス妨害攻撃による
サービスの停止脆弱性対策情報の公開に伴う 悪用増加
サプライチェ ーンの弱点を悪用した
攻撃の高まり
巧妙・ 悪質化するワンクリ ッ ク請求 ウェ ブサービスへの不正ログインスマート フォンやスマート フォン
アプリ を狙った攻撃
メ ールやSNSを使った脅迫・ 詐欺の
手口による金銭要求
ウェ ブサイト の改ざん内部不正による情報漏えいと
それに伴う 業務停止
脅威に対応するためのセキュリ ティ 人
材の不足内部不正による情報漏えい
ウェ ブサービスへの不正ログイン ワンクリ ッ ク請求等の不当請求 ウェ ブサービスへの不正ログイン ネッ ト 上の誹謗・ 中傷・ デマ
対策情報の公開に伴い公知となる
脆弱性の悪用増加ウェ ブサイト の改ざん ウェ ブサービスからの個人情報の窃取
サービス妨害攻撃による
サービスの停止
匿名によるネッ ト 上の誹謗・ 中傷 ウェ ブサービスからの個人情報の窃取 ウェ ブサービスからの個人情報の窃取 偽警告によるインターネッ ト 詐欺
ランサムウェ アを使った詐欺・ 恐喝 ウェ ブサービスへの不正ログイン IoT機器の脆弱性の顕在化インターネッ ト サービスからの
個人情報の窃取
ウェ ブサービスからの個人情報の窃取 ネッ ト 上の誹謗・ 中傷 情報モラル欠如に伴う 犯罪の低年齢化 インターネッ ト バンキングの不正利用
インターネッ ト バンキングや
クレジッ ト カード 情報の不正利用IoT機器の脆弱性の顕在化 内部不正による情報漏えい IoT機器の脆弱性の顕在化
情報モラル不足に伴う 犯罪の低年齢化 情報モラル欠如に伴う 犯罪の低年齢化 ワンクリ ッ ク請求等の不当請求インターネッ ト サービスへの
不正ログイン
ウェ ブサービスへの不正ログイン攻撃のビジネス化
( アンダーグラウンド サービス)
サービス妨害攻撃による
サービスの停止脆弱性対策情報の公開に伴う 悪用増加
職業倫理欠如による不適切な情報公開インターネッ ト 上のサービスを
悪用した攻撃Iot機器の不適切な管理 ランサムウェ アによる被害
過失による情報漏えいインターネッ ト バンキングや
クレジッ ト カード 情報の不正利用
犯罪のビジネス化
(アンダーグラウンド サービス)不注意による情報漏えい
インターネッ ト の広告機能を
悪用した攻撃IoT機器の不適切な管理 偽警告によるインターネッ ト 詐欺 IoT機器の不適切な管理
5位
6位
7位
8位
9位
ウェ ブサービスへの不正ログイン
標的型攻撃による諜報活動
内部不正による情報漏えい
インターネッ ト バンキングや
クレジッ ト カード 情報の不正利用
脆弱性公表に伴う 攻撃
インターネッ ト 基盤技術を
悪用した攻撃
ウェ ブサイト の改ざん
ハッ カー集団によるサイバーテロ
ウェ ブサービスからの顧客情報の窃取
ウイルスを使った詐欺・ 恐喝
ウイルスを使った遠隔操作
スマート デバイスを狙った悪意ある
アプリ の横行
標的型諜報攻撃の脅威
クライアント ソフト の脆弱性を
突いた攻撃
標的型メ ールを用いた組織への
スパイ・ 諜報活動
不正ログイン・ 不正利用
ウェ ブサイト の改ざん
ウェ ブサービスからの利用者情報の漏
えい
内部犯行
パスワード 流出の脅威
ウェ ブサイト を狙った攻撃
予期せぬ業務停止
金銭窃取を目的としたウイルスの横行
セキュリ ティ 対策不備がもたらす
ト ラブル
複数の攻撃を組み合わせた
新しいタイプの攻撃
狙われ出したスマート フォン
定番ソフト ウェ アの脆弱性を
狙った攻撃
止まらない!ウェ ブサイト を
経由した攻撃
オンラインバンキングからの不正送金
悪意あるスマート フォンアプリ
SNSへの不適切な情報公開
紛失や設定不備による情報漏えい
事件化するSQLインジェ クショ ン
W innyを通じたウイルス感染による
情報漏えいの多発
音楽CDに格納された「 ルート キッ ト に
類似した機能」 の事件化
巧妙化するスパイウエア
流行が続く ボッ ト
情報家電、 携帯機器などの組込み
ソフト ウェ アにひそむ脆弱性
セキュリ ティ 製品の持つ脆弱性
ゼロデイ攻撃
漏えい情報のW innyによる
止まらない流通
表面化しづらい標的型(スピア型)攻撃
悪質化・ 潜在化するボッ ト
ユーザーIDとパスワード の
使いまわしによる危険性組み込み製品の脆弱性の増加
巧妙化する標的型攻撃
DNSキャッ シュポイズニングの脅威
正規ウェ ブサイト を経由した
攻撃の猛威
クラウド ・ コンピューティ ングの
セキュリ ティ
攻撃に気づけない標的型攻撃
高まる「 誘導型」 攻撃の脅威
ウェ ブサイト を狙った攻撃の広まり
恒常化する情報漏えい
正規のアカウント を悪用される攻撃
クラウド ・ コンピューティ ングの
セキュリ ティ 問題
10位不適切な設定のDNSサーバを狙う
攻撃の発生
攻撃が急増するSQLインジェ クショ ン
悪質化するフィ ッ シング詐欺 深刻化するゼロデイ攻撃
ますます多様化するフィ ッ シング詐欺
増え続けるスパムメ ール
減らない情報漏えいウェ ブサイト を狙う CSRFの流行
狙われ続ける安易なパスワード
悪質なウイルスやボッ ト の多目的化
対策をしていないサーバー製品の
脆弱性
あわせて事後対応を!情報漏えい事件
被害に気づけない標的型攻撃
深刻なDDoS攻撃
1位
2位
3位
4位
減らないスパムメ ール
国内製品の脆弱性が頻発
検索エンジンからマルウエア
配信サイト に誘導
検知されにく いボッ ト 、 潜在化する
コンピュータウイルス
巧妙化する標的型攻撃
多様化するウイルスやボッ ト の
感染経路
恒常化する情報漏えい
脆弱な無線LAN暗号方式における脅威
誘導型攻撃の顕在化
減らないスパムメ ール
組込み製品に潜む脆弱性
信用できなく なった正規サイト
変化を続けるウェ ブサイト
改ざんの手口
アッ プデート していない
クライアント ソフト
インターネッ ト インフラを支える
プロト コルの脆弱性
ミ ニブログサービスやSNSの
利用者を狙った攻撃
使用者情報の不適切な取扱いによる
信用失墜フィ ッ シング詐欺 サービス妨害 悪意のあるスマート フォンアプリ
携帯電話向けウェ ブサイト の
セキュリ ティ
止まらない!ウェ ブサイト を
狙った攻撃
続々発覚、 スマート フォンや
タブレッ ト を狙った攻撃
大丈夫!?電子証明書に思わぬ
落とし穴
身近に潜む魔の手…
あなたの職場は大丈夫?
危ない!アカウント の使いまわしが
被害を拡大!
「 人」 が起こしてしまう 情報漏えい機密情報が盗まれる!?
新しいタイプの攻撃
予測不能の災害発生!
引き起こされた業務停止
特定できぬ、 共通思想集団による攻撃
今もどこかで…更新忘れの
クライアント ソフト を狙った攻撃
振り返りから見える傾向と対策順位 2005年 2006年 2007年 2008年 2009年 2010年 2011年 2012年 2013年 2014年 2015年 2016年 2017年 2018年
10大脅威名 10大脅威2006 10大脅威2007 10大脅威2008 10大脅威2009 10大脅威2010 10大脅威2011 10大脅威2012 10大脅威2013 10大脅威2014 10大脅威2015 10大脅威2016 10大脅威2017 10大脅威2018 10大脅威2019
標的型攻撃による情報流出 標的型攻撃による情報流出 標的型攻撃による情報流出 標的型攻撃による被害
インターネッ ト バンキングや
クレジッ カード 情報等の不正利用
インターネッ ト バンキングや
クレジッ ト カード 情報等の不正利用
インターネッ ト バンキングや
クレジッ ト カード 情報等の不正利用クレジッ ト カード 情報の不正利用
内部不正による情報漏えいや
サービス停止ランサムウェ アによる被害 ランサムウェ アによる被害 ビジネスメ ール詐欺による被害
ランサムウェ アを使った詐欺・ 恐喝 ランサムウェ アによる被害 ランサムウェ アによる被害 フィ ッ シングによる個人情報等の詐取
ウェ ブサービスからの個人情報の窃取 ウェ ブサービスからの個人情報の窃取 ビジネスメ ール詐欺による被害 ランサムウェ アによる被害
審査をすり 抜け公式マーケッ ト に
紛れ込んだスマート フォンアプリ
スマート フォンやスマート フォン
アプリ を狙った攻撃ネッ ト 上の誹謗・ 中傷
不正アプリ によるスマート フォン
利用者の被害
サービス妨害攻撃による
サービスの停止
サービス妨害攻撃による
サービスの停止脆弱性対策情報の公開に伴う 悪用増加
サプライチェ ーンの弱点を悪用した
攻撃の高まり
巧妙・ 悪質化するワンクリ ッ ク請求 ウェ ブサービスへの不正ログインスマート フォンやスマート フォン
アプリ を狙った攻撃
メ ールやSNSを使った脅迫・ 詐欺の
手口による金銭要求
ウェ ブサイト の改ざん内部不正による情報漏えいと
それに伴う 業務停止
脅威に対応するためのセキュリ ティ 人
材の不足内部不正による情報漏えい
ウェ ブサービスへの不正ログイン ワンクリ ッ ク請求等の不当請求 ウェ ブサービスへの不正ログイン ネッ ト 上の誹謗・ 中傷・ デマ
対策情報の公開に伴い公知となる
脆弱性の悪用増加ウェ ブサイト の改ざん ウェ ブサービスからの個人情報の窃取
サービス妨害攻撃による
サービスの停止
匿名によるネッ ト 上の誹謗・ 中傷 ウェ ブサービスからの個人情報の窃取 ウェ ブサービスからの個人情報の窃取 偽警告によるインターネッ ト 詐欺
ランサムウェ アを使った詐欺・ 恐喝 ウェ ブサービスへの不正ログイン IoT機器の脆弱性の顕在化インターネッ ト サービスからの
個人情報の窃取
ウェ ブサービスからの個人情報の窃取 ネッ ト 上の誹謗・ 中傷 情報モラル欠如に伴う 犯罪の低年齢化 インターネッ ト バンキングの不正利用
インターネッ ト バンキングや
クレジッ ト カード 情報の不正利用IoT機器の脆弱性の顕在化 内部不正による情報漏えい IoT機器の脆弱性の顕在化
情報モラル不足に伴う 犯罪の低年齢化 情報モラル欠如に伴う 犯罪の低年齢化 ワンクリ ッ ク請求等の不当請求インターネッ ト サービスへの
不正ログイン
ウェ ブサービスへの不正ログイン攻撃のビジネス化
( アンダーグラウンド サービス)
サービス妨害攻撃による
サービスの停止脆弱性対策情報の公開に伴う 悪用増加
職業倫理欠如による不適切な情報公開インターネッ ト 上のサービスを
悪用した攻撃Iot機器の不適切な管理 ランサムウェ アによる被害
過失による情報漏えいインターネッ ト バンキングや
クレジッ ト カード 情報の不正利用
犯罪のビジネス化
(アンダーグラウンド サービス)不注意による情報漏えい
インターネッ ト の広告機能を
悪用した攻撃IoT機器の不適切な管理 偽警告によるインターネッ ト 詐欺 IoT機器の不適切な管理
5位
6位
7位
8位
9位
ウェ ブサービスへの不正ログイン
標的型攻撃による諜報活動
内部不正による情報漏えい
インターネッ ト バンキングや
クレジッ ト カード 情報の不正利用
脆弱性公表に伴う 攻撃
インターネッ ト 基盤技術を
悪用した攻撃
ウェ ブサイト の改ざん
ハッ カー集団によるサイバーテロ
ウェ ブサービスからの顧客情報の窃取
ウイルスを使った詐欺・ 恐喝
ウイルスを使った遠隔操作
スマート デバイスを狙った悪意ある
アプリ の横行
標的型諜報攻撃の脅威
クライアント ソフト の脆弱性を
突いた攻撃
標的型メ ールを用いた組織への
スパイ・ 諜報活動
不正ログイン・ 不正利用
ウェ ブサイト の改ざん
ウェ ブサービスからの利用者情報の漏
えい
内部犯行
パスワード 流出の脅威
ウェ ブサイト を狙った攻撃
予期せぬ業務停止
金銭窃取を目的としたウイルスの横行
セキュリ ティ 対策不備がもたらす
ト ラブル
複数の攻撃を組み合わせた
新しいタイプの攻撃
狙われ出したスマート フォン
定番ソフト ウェ アの脆弱性を
狙った攻撃
止まらない!ウェ ブサイト を
経由した攻撃
オンラインバンキングからの不正送金
悪意あるスマート フォンアプリ
SNSへの不適切な情報公開
紛失や設定不備による情報漏えい
事件化するSQLインジェ クショ ン
W innyを通じたウイルス感染による
情報漏えいの多発
音楽CDに格納された「 ルート キッ ト に
類似した機能」 の事件化
巧妙化するスパイウエア
流行が続く ボッ ト
情報家電、 携帯機器などの組込み
ソフト ウェ アにひそむ脆弱性
セキュリ ティ 製品の持つ脆弱性
ゼロデイ攻撃
漏えい情報のW innyによる
止まらない流通
表面化しづらい標的型(スピア型)攻撃
悪質化・ 潜在化するボッ ト
ユーザーIDとパスワード の
使いまわしによる危険性組み込み製品の脆弱性の増加
巧妙化する標的型攻撃
DNSキャッ シュポイズニングの脅威
正規ウェ ブサイト を経由した
攻撃の猛威
クラウド ・ コンピューティ ングの
セキュリ ティ
攻撃に気づけない標的型攻撃
高まる「 誘導型」 攻撃の脅威
ウェ ブサイト を狙った攻撃の広まり
恒常化する情報漏えい
正規のアカウント を悪用される攻撃
クラウド ・ コンピューティ ングの
セキュリ ティ 問題
10位不適切な設定のDNSサーバを狙う
攻撃の発生
攻撃が急増するSQLインジェ クショ ン
悪質化するフィ ッ シング詐欺 深刻化するゼロデイ攻撃
ますます多様化するフィ ッ シング詐欺
増え続けるスパムメ ール
減らない情報漏えいウェ ブサイト を狙う CSRFの流行
狙われ続ける安易なパスワード
悪質なウイルスやボッ ト の多目的化
対策をしていないサーバー製品の
脆弱性
あわせて事後対応を!情報漏えい事件
被害に気づけない標的型攻撃
深刻なDDoS攻撃
1位
2位
3位
4位
減らないスパムメ ール
国内製品の脆弱性が頻発
検索エンジンからマルウエア
配信サイト に誘導
検知されにく いボッ ト 、 潜在化する
コンピュータウイルス
巧妙化する標的型攻撃
多様化するウイルスやボッ ト の
感染経路
恒常化する情報漏えい
脆弱な無線LAN暗号方式における脅威
誘導型攻撃の顕在化
減らないスパムメ ール
組込み製品に潜む脆弱性
信用できなく なった正規サイト
変化を続けるウェ ブサイト
改ざんの手口
アッ プデート していない
クライアント ソフト
インターネッ ト インフラを支える
プロト コルの脆弱性
ミ ニブログサービスやSNSの
利用者を狙った攻撃
使用者情報の不適切な取扱いによる
信用失墜フィ ッ シング詐欺 サービス妨害 悪意のあるスマート フォンアプリ
携帯電話向けウェ ブサイト の
セキュリ ティ
止まらない!ウェ ブサイト を
狙った攻撃
続々発覚、 スマート フォンや
タブレッ ト を狙った攻撃
大丈夫!?電子証明書に思わぬ
落とし穴
身近に潜む魔の手…
あなたの職場は大丈夫?
危ない!アカウント の使いまわしが
被害を拡大!
「 人」 が起こしてしまう 情報漏えい機密情報が盗まれる!?
新しいタイプの攻撃
予測不能の災害発生!
引き起こされた業務停止
特定できぬ、 共通思想集団による攻撃
今もどこかで…更新忘れの
クライアント ソフト を狙った攻撃
が昔から現在に至るまで多数脆弱性を悪用した攻撃
対策は・・・
振り返りから見える傾向と対策順位 2005年 2006年 2007年 2008年 2009年 2010年 2011年 2012年 2013年 2014年 2015年 2016年 2017年 2018年
10大脅威名 10大脅威2006 10大脅威2007 10大脅威2008 10大脅威2009 10大脅威2010 10大脅威2011 10大脅威2012 10大脅威2013 10大脅威2014 10大脅威2015 10大脅威2016 10大脅威2017 10大脅威2018 10大脅威2019
標的型攻撃による情報流出 標的型攻撃による情報流出 標的型攻撃による情報流出 標的型攻撃による被害
インターネッ ト バンキングや
クレジッ カード 情報等の不正利用
インターネッ ト バンキングや
クレジッ ト カード 情報等の不正利用
インターネッ ト バンキングや
クレジッ ト カード 情報等の不正利用クレジッ ト カード 情報の不正利用
内部不正による情報漏えいや
サービス停止ランサムウェ アによる被害 ランサムウェ アによる被害 ビジネスメ ール詐欺による被害
ランサムウェ アを使った詐欺・ 恐喝 ランサムウェ アによる被害 ランサムウェ アによる被害 フィ ッ シングによる個人情報等の詐取
ウェ ブサービスからの個人情報の窃取 ウェ ブサービスからの個人情報の窃取 ビジネスメ ール詐欺による被害 ランサムウェ アによる被害
審査をすり 抜け公式マーケッ ト に
紛れ込んだスマート フォンアプリ
スマート フォンやスマート フォン
アプリ を狙った攻撃ネッ ト 上の誹謗・ 中傷
不正アプリ によるスマート フォン
利用者の被害
サービス妨害攻撃による
サービスの停止
サービス妨害攻撃による
サービスの停止脆弱性対策情報の公開に伴う 悪用増加
サプライチェ ーンの弱点を悪用した
攻撃の高まり
巧妙・ 悪質化するワンクリ ッ ク請求 ウェ ブサービスへの不正ログインスマート フォンやスマート フォン
アプリ を狙った攻撃
メ ールやSNSを使った脅迫・ 詐欺の
手口による金銭要求
ウェ ブサイト の改ざん内部不正による情報漏えいと
それに伴う 業務停止
脅威に対応するためのセキュリ ティ 人
材の不足内部不正による情報漏えい
ウェ ブサービスへの不正ログイン ワンクリ ッ ク請求等の不当請求 ウェ ブサービスへの不正ログイン ネッ ト 上の誹謗・ 中傷・ デマ
対策情報の公開に伴い公知となる
脆弱性の悪用増加ウェ ブサイト の改ざん ウェ ブサービスからの個人情報の窃取
サービス妨害攻撃による
サービスの停止
匿名によるネッ ト 上の誹謗・ 中傷 ウェ ブサービスからの個人情報の窃取 ウェ ブサービスからの個人情報の窃取 偽警告によるインターネッ ト 詐欺
ランサムウェ アを使った詐欺・ 恐喝 ウェ ブサービスへの不正ログイン IoT機器の脆弱性の顕在化インターネッ ト サービスからの
個人情報の窃取
ウェ ブサービスからの個人情報の窃取 ネッ ト 上の誹謗・ 中傷 情報モラル欠如に伴う 犯罪の低年齢化 インターネッ ト バンキングの不正利用
インターネッ ト バンキングや
クレジッ ト カード 情報の不正利用IoT機器の脆弱性の顕在化 内部不正による情報漏えい IoT機器の脆弱性の顕在化
情報モラル不足に伴う 犯罪の低年齢化 情報モラル欠如に伴う 犯罪の低年齢化 ワンクリ ッ ク請求等の不当請求インターネッ ト サービスへの
不正ログイン
ウェ ブサービスへの不正ログイン攻撃のビジネス化
( アンダーグラウンド サービス)
サービス妨害攻撃による
サービスの停止脆弱性対策情報の公開に伴う 悪用増加
職業倫理欠如による不適切な情報公開インターネッ ト 上のサービスを
悪用した攻撃Iot機器の不適切な管理 ランサムウェ アによる被害
過失による情報漏えいインターネッ ト バンキングや
クレジッ ト カード 情報の不正利用
犯罪のビジネス化
(アンダーグラウンド サービス)不注意による情報漏えい
インターネッ ト の広告機能を
悪用した攻撃IoT機器の不適切な管理 偽警告によるインターネッ ト 詐欺 IoT機器の不適切な管理
5位
6位
7位
8位
9位
ウェ ブサービスへの不正ログイン
標的型攻撃による諜報活動
内部不正による情報漏えい
インターネッ ト バンキングや
クレジッ ト カード 情報の不正利用
脆弱性公表に伴う 攻撃
インターネッ ト 基盤技術を
悪用した攻撃
ウェ ブサイト の改ざん
ハッ カー集団によるサイバーテロ
ウェ ブサービスからの顧客情報の窃取
ウイルスを使った詐欺・ 恐喝
ウイルスを使った遠隔操作
スマート デバイスを狙った悪意ある
アプリ の横行
標的型諜報攻撃の脅威
クライアント ソフト の脆弱性を
突いた攻撃
標的型メ ールを用いた組織への
スパイ・ 諜報活動
不正ログイン・ 不正利用
ウェ ブサイト の改ざん
ウェ ブサービスからの利用者情報の漏
えい
内部犯行
パスワード 流出の脅威
ウェ ブサイト を狙った攻撃
予期せぬ業務停止
金銭窃取を目的としたウイルスの横行
セキュリ ティ 対策不備がもたらす
ト ラブル
複数の攻撃を組み合わせた
新しいタイプの攻撃
狙われ出したスマート フォン
定番ソフト ウェ アの脆弱性を
狙った攻撃
止まらない!ウェ ブサイト を
経由した攻撃
オンラインバンキングからの不正送金
悪意あるスマート フォンアプリ
SNSへの不適切な情報公開
紛失や設定不備による情報漏えい
事件化するSQLインジェ クショ ン
W innyを通じたウイルス感染による
情報漏えいの多発
音楽CDに格納された「 ルート キッ ト に
類似した機能」 の事件化
巧妙化するスパイウエア
流行が続く ボッ ト
情報家電、 携帯機器などの組込み
ソフト ウェ アにひそむ脆弱性
セキュリ ティ 製品の持つ脆弱性
ゼロデイ攻撃
漏えい情報のW innyによる
止まらない流通
表面化しづらい標的型(スピア型)攻撃
悪質化・ 潜在化するボッ ト
ユーザーIDとパスワード の
使いまわしによる危険性組み込み製品の脆弱性の増加
巧妙化する標的型攻撃
DNSキャッ シュポイズニングの脅威
正規ウェ ブサイト を経由した
攻撃の猛威
クラウド ・ コンピューティ ングの
セキュリ ティ
攻撃に気づけない標的型攻撃
高まる「 誘導型」 攻撃の脅威
ウェ ブサイト を狙った攻撃の広まり
恒常化する情報漏えい
正規のアカウント を悪用される攻撃
クラウド ・ コンピューティ ングの
セキュリ ティ 問題
10位不適切な設定のDNSサーバを狙う
攻撃の発生
攻撃が急増するSQLインジェ クショ ン
悪質化するフィ ッ シング詐欺 深刻化するゼロデイ攻撃
ますます多様化するフィ ッ シング詐欺
増え続けるスパムメ ール
減らない情報漏えいウェ ブサイト を狙う CSRFの流行
狙われ続ける安易なパスワード
悪質なウイルスやボッ ト の多目的化
対策をしていないサーバー製品の
脆弱性
あわせて事後対応を!情報漏えい事件
被害に気づけない標的型攻撃
深刻なDDoS攻撃
1位
2位
3位
4位
減らないスパムメ ール
国内製品の脆弱性が頻発
検索エンジンからマルウエア
配信サイト に誘導
検知されにく いボッ ト 、 潜在化する
コンピュータウイルス
巧妙化する標的型攻撃
多様化するウイルスやボッ ト の
感染経路
恒常化する情報漏えい
脆弱な無線LAN暗号方式における脅威
誘導型攻撃の顕在化
減らないスパムメ ール
組込み製品に潜む脆弱性
信用できなく なった正規サイト
変化を続けるウェ ブサイト
改ざんの手口
アッ プデート していない
クライアント ソフト
インターネッ ト インフラを支える
プロト コルの脆弱性
ミ ニブログサービスやSNSの
利用者を狙った攻撃
使用者情報の不適切な取扱いによる
信用失墜フィ ッ シング詐欺 サービス妨害 悪意のあるスマート フォンアプリ
携帯電話向けウェ ブサイト の
セキュリ ティ
止まらない!ウェ ブサイト を
狙った攻撃
続々発覚、 スマート フォンや
タブレッ ト を狙った攻撃
大丈夫!?電子証明書に思わぬ
落とし穴
身近に潜む魔の手…
あなたの職場は大丈夫?
危ない!アカウント の使いまわしが
被害を拡大!
「 人」 が起こしてしまう 情報漏えい機密情報が盗まれる!?
新しいタイプの攻撃
予測不能の災害発生!
引き起こされた業務停止
特定できぬ、 共通思想集団による攻撃
今もどこかで…更新忘れの
クライアント ソフト を狙った攻撃
も満遍なくランクイン起因となる は昔からある手口だが2018年はフィッシングが特に目立った
不正ログイン
フィ ッ シング
対策は・・・
振り返りから見える傾向と対策順位 2005年 2006年 2007年 2008年 2009年 2010年 2011年 2012年 2013年 2014年 2015年 2016年 2017年 2018年
10大脅威名 10大脅威2006 10大脅威2007 10大脅威2008 10大脅威2009 10大脅威2010 10大脅威2011 10大脅威2012 10大脅威2013 10大脅威2014 10大脅威2015 10大脅威2016 10大脅威2017 10大脅威2018 10大脅威2019
標的型攻撃による情報流出 標的型攻撃による情報流出 標的型攻撃による情報流出 標的型攻撃による被害
インターネッ ト バンキングや
クレジッ カード 情報等の不正利用
インターネッ ト バンキングや
クレジッ ト カード 情報等の不正利用
インターネッ ト バンキングや
クレジッ ト カード 情報等の不正利用クレジッ ト カード 情報の不正利用
内部不正による情報漏えいや
サービス停止ランサムウェ アによる被害 ランサムウェ アによる被害 ビジネスメ ール詐欺による被害
ランサムウェ アを使った詐欺・ 恐喝 ランサムウェ アによる被害 ランサムウェ アによる被害 フィ ッ シングによる個人情報等の詐取
ウェ ブサービスからの個人情報の窃取 ウェ ブサービスからの個人情報の窃取 ビジネスメ ール詐欺による被害 ランサムウェ アによる被害
審査をすり 抜け公式マーケッ ト に
紛れ込んだスマート フォンアプリ
スマート フォンやスマート フォン
アプリ を狙った攻撃ネッ ト 上の誹謗・ 中傷
不正アプリ によるスマート フォン
利用者の被害
サービス妨害攻撃による
サービスの停止
サービス妨害攻撃による
サービスの停止脆弱性対策情報の公開に伴う 悪用増加
サプライチェ ーンの弱点を悪用した
攻撃の高まり
巧妙・ 悪質化するワンクリ ッ ク請求 ウェ ブサービスへの不正ログインスマート フォンやスマート フォン
アプリ を狙った攻撃
メ ールやSNSを使った脅迫・ 詐欺の
手口による金銭要求
ウェ ブサイト の改ざん内部不正による情報漏えいと
それに伴う 業務停止
脅威に対応するためのセキュリ ティ 人
材の不足内部不正による情報漏えい
ウェ ブサービスへの不正ログイン ワンクリ ッ ク請求等の不当請求 ウェ ブサービスへの不正ログイン ネッ ト 上の誹謗・ 中傷・ デマ
対策情報の公開に伴い公知となる
脆弱性の悪用増加ウェ ブサイト の改ざん ウェ ブサービスからの個人情報の窃取
サービス妨害攻撃による
サービスの停止
匿名によるネッ ト 上の誹謗・ 中傷 ウェ ブサービスからの個人情報の窃取 ウェ ブサービスからの個人情報の窃取 偽警告によるインターネッ ト 詐欺
ランサムウェ アを使った詐欺・ 恐喝 ウェ ブサービスへの不正ログイン IoT機器の脆弱性の顕在化インターネッ ト サービスからの
個人情報の窃取
ウェ ブサービスからの個人情報の窃取 ネッ ト 上の誹謗・ 中傷 情報モラル欠如に伴う 犯罪の低年齢化 インターネッ ト バンキングの不正利用
インターネッ ト バンキングや
クレジッ ト カード 情報の不正利用IoT機器の脆弱性の顕在化 内部不正による情報漏えい IoT機器の脆弱性の顕在化
情報モラル不足に伴う 犯罪の低年齢化 情報モラル欠如に伴う 犯罪の低年齢化 ワンクリ ッ ク請求等の不当請求インターネッ ト サービスへの
不正ログイン
ウェ ブサービスへの不正ログイン攻撃のビジネス化
( アンダーグラウンド サービス)
サービス妨害攻撃による
サービスの停止脆弱性対策情報の公開に伴う 悪用増加
職業倫理欠如による不適切な情報公開インターネッ ト 上のサービスを
悪用した攻撃Iot機器の不適切な管理 ランサムウェ アによる被害
過失による情報漏えいインターネッ ト バンキングや
クレジッ ト カード 情報の不正利用
犯罪のビジネス化
(アンダーグラウンド サービス)不注意による情報漏えい
インターネッ ト の広告機能を
悪用した攻撃IoT機器の不適切な管理 偽警告によるインターネッ ト 詐欺 IoT機器の不適切な管理
5位
6位
7位
8位
9位
ウェ ブサービスへの不正ログイン
標的型攻撃による諜報活動
内部不正による情報漏えい
インターネッ ト バンキングや
クレジッ ト カード 情報の不正利用
脆弱性公表に伴う 攻撃
インターネッ ト 基盤技術を
悪用した攻撃
ウェ ブサイト の改ざん
ハッ カー集団によるサイバーテロ
ウェ ブサービスからの顧客情報の窃取
ウイルスを使った詐欺・ 恐喝
ウイルスを使った遠隔操作
スマート デバイスを狙った悪意ある
アプリ の横行
標的型諜報攻撃の脅威
クライアント ソフト の脆弱性を
突いた攻撃
標的型メ ールを用いた組織への
スパイ・ 諜報活動
不正ログイン・ 不正利用
ウェ ブサイト の改ざん
ウェ ブサービスからの利用者情報の漏
えい
内部犯行
パスワード 流出の脅威
ウェ ブサイト を狙った攻撃
予期せぬ業務停止
金銭窃取を目的としたウイルスの横行
セキュリ ティ 対策不備がもたらす
ト ラブル
複数の攻撃を組み合わせた
新しいタイプの攻撃
狙われ出したスマート フォン
定番ソフト ウェ アの脆弱性を
狙った攻撃
止まらない!ウェ ブサイト を
経由した攻撃
オンラインバンキングからの不正送金
悪意あるスマート フォンアプリ
SNSへの不適切な情報公開
紛失や設定不備による情報漏えい
事件化するSQLインジェ クショ ン
W innyを通じたウイルス感染による
情報漏えいの多発
音楽CDに格納された「 ルート キッ ト に
類似した機能」 の事件化
巧妙化するスパイウエア
流行が続く ボッ ト
情報家電、 携帯機器などの組込み
ソフト ウェ アにひそむ脆弱性
セキュリ ティ 製品の持つ脆弱性
ゼロデイ攻撃
漏えい情報のW innyによる
止まらない流通
表面化しづらい標的型(スピア型)攻撃
悪質化・ 潜在化するボッ ト
ユーザーIDとパスワード の
使いまわしによる危険性組み込み製品の脆弱性の増加
巧妙化する標的型攻撃
DNSキャッ シュポイズニングの脅威
正規ウェ ブサイト を経由した
攻撃の猛威
クラウド ・ コンピューティ ングの
セキュリ ティ
攻撃に気づけない標的型攻撃
高まる「 誘導型」 攻撃の脅威
ウェ ブサイト を狙った攻撃の広まり
恒常化する情報漏えい
正規のアカウント を悪用される攻撃
クラウド ・ コンピューティ ングの
セキュリ ティ 問題
10位不適切な設定のDNSサーバを狙う
攻撃の発生
攻撃が急増するSQLインジェ クショ ン
悪質化するフィ ッ シング詐欺 深刻化するゼロデイ攻撃
ますます多様化するフィ ッ シング詐欺
増え続けるスパムメ ール
減らない情報漏えいウェ ブサイト を狙う CSRFの流行
狙われ続ける安易なパスワード
悪質なウイルスやボッ ト の多目的化
対策をしていないサーバー製品の
脆弱性
あわせて事後対応を!情報漏えい事件
被害に気づけない標的型攻撃
深刻なDDoS攻撃
1位
2位
3位
4位
減らないスパムメ ール
国内製品の脆弱性が頻発
検索エンジンからマルウエア
配信サイト に誘導
検知されにく いボッ ト 、 潜在化する
コンピュータウイルス
巧妙化する標的型攻撃
多様化するウイルスやボッ ト の
感染経路
恒常化する情報漏えい
脆弱な無線LAN暗号方式における脅威
誘導型攻撃の顕在化
減らないスパムメ ール
組込み製品に潜む脆弱性
信用できなく なった正規サイト
変化を続けるウェ ブサイト
改ざんの手口
アッ プデート していない
クライアント ソフト
インターネッ ト インフラを支える
プロト コルの脆弱性
ミ ニブログサービスやSNSの
利用者を狙った攻撃
使用者情報の不適切な取扱いによる
信用失墜フィ ッ シング詐欺 サービス妨害 悪意のあるスマート フォンアプリ
携帯電話向けウェ ブサイト の
セキュリ ティ
止まらない!ウェ ブサイト を
狙った攻撃
続々発覚、 スマート フォンや
タブレッ ト を狙った攻撃
大丈夫!?電子証明書に思わぬ
落とし穴
身近に潜む魔の手…
あなたの職場は大丈夫?
危ない!アカウント の使いまわしが
被害を拡大!
「 人」 が起こしてしまう 情報漏えい機密情報が盗まれる!?
新しいタイプの攻撃
予測不能の災害発生!
引き起こされた業務停止
特定できぬ、 共通思想集団による攻撃
今もどこかで…更新忘れの
クライアント ソフト を狙った攻撃
がここ数年で増加傾向(ビジネスメール詐欺、偽警告、メールでの恐喝など。ワンクリック請求の手口も継続)
ユーザーを騙す詐欺・ 恐喝
対策は・・・
10大脅威の詳細な解説について
以下のWebページのPDF資料をご覧ください。
情報セキュリティ10大脅威 2019https://www.ipa.go.jp/security/vuln/10threats2019.html
