報道によれば、3月31日、独立行政法人・情報処理推進機構(IPA)は、企業や組織が直面すると推測される情報セキュリティ上の10大脅威をまとめた資料「2010年版 10大脅威 あぶり出される組織の弱点!」を公開した。
資料は、2009年にIPAへ届け出のあったセキュリティ情報や一般報道を基にして、情報セキュリティ分野の研究者や実務担当者120人で構成する「10大脅威執筆者会」がまとめた。
2005年から毎年公開し、今年で6回目となる。
今年のランキングは以下の通りだ。
1位 「変化を続けるWebサイト改竄(かいざん)の手口」
Weサイトを閲覧しただけで、利用者がウイルスに感染することがある。
このような脅威をもたらす攻撃に新しい手口が現れた。
2位 「アップデートしていないクライアントソフト」
2009年もソフトウェアの脆弱性が攻撃に悪用された。
悪用された脆弱性の中には未修正のものが多かった。
利用者側のアップデートが徹底されていれば、被害を減らせたはず。
3位 「悪質なコンピュータ・ウイルスやボットの多目的化」
コンピュータ・ウイルスやボット(以降、ウイルス)は利用者にとって身近な脅威。
ウイルスには多様な目的があり、2009年にはウイルスの亜種が爆発的に増加した。
4位 「対策をしていないサーバー製品の脆弱性」
サーバー製品の脆弱性対策を行わずに運用しているWebサイトの存在が明らかになった。
これは怠慢以外の何物でもない。
5位 「事後対応が必要! 情報漏洩(ろうえい)事件」
情報漏洩にはさまざまな原因がある。
漏洩した情報の種類によって被害も異なる。
6位 「被害に気づけない標的型攻撃」
メールの送付元を知人や取引先企業になりすまして、ウイルスを送付する手口がある。
このようなソーシャルエンジニアリングによって、ウイルスに感染させる攻撃を標的型攻撃という。
7位 「深刻なDDoS攻撃」
DDoS(Distributed Denial of Service)攻撃は、DoS攻撃(サーバーやルータなどの機能をマヒ状態にさせる)の一種。
2009年7月に米国や韓国が攻撃を受けた。
8位 「正規のアカウントを悪用される脅威」
コンピュータに対して自分であることを証明する情報(ユーザIDとパスワードなど)がアカウント。
アカウントの不適切な運用によって、事件に発展する例が多発している。
9位 「クラウドコンピューティングのセキュリティ問題」
クラウドコンピューティングが普及するにつれ、クラウドにおけるセキュリティの問題も指摘されつつある。
10位 「インターネットインフラを支えるプロトコルの脆弱性」
多くのコンピュータでインターネットに接続するための機能が備えられている。
これらの機能に脆弱性が発見され、攻撃された場合、インターネットに大きな被害が生じる可能性がある。
IPAは、「近年の情報セキュリティを取り巻く状況の理解や対策の参考にして欲しい。」としている。