2020年1月のIT総括

2020年1月に話題となったIT関連のトピックスにつき、概要と参考URLを記していきます。

JASAが2020年のセキュリティ十大トレンドを発表

1月6日、特定非営利活動法人 日本セキュリティ監査協会(JASA)は、「監査人の警鐘 - 2020年 情報セキュリティ十大トレンド」を公開しました。同協会より認定を受けた情報セキュリティ監査人約1,800人を対象に実施したアンケートによって選ばれたもので、第1位には「自然災害によるIT被害の拡大」が前年のランク外からランクインしました。

また、第2位、第3位はそれぞれ「クラウド・バイ・デフォルト時代の新しい安全性評価制度の開始」「クラウドサービスの障害による大規模なビジネス影響」がランクインしました。同協議会は、2020年のトレンドについて、「DX化の進展によりさらに加速するセキュリティ人材不足」「働き方改革の推進普及による新たな脅威の発生」など、新たなビジネス活動の変化に伴うトピックスが散見されたとコメントしています。

JASAが2020年のセキュリティ十大トレンドを発表(セキュリティニュース)

「My SoftBank」のIDを盗もうとするフィッシングに注意喚起

1月9日、フィッシング対策協議会は、ソフトバンクをかたるフィッシングについて注意を呼びかけました。

メールの件名は、「注意:アカウントが凍結されました」などとなっており、アカウントが閉鎖される可能性があるとして、本人確認に必要な情報を更新するよう呼びかける内容です。メールに記載されたURLをクリックすると、フィッシングサイトに誘導され、My SoftBank ID(携帯電話番号、パスワード)などが盗まれる可能性があります。

同協議会では、類似のフィッシングサイトが公開される恐れもあるとして注意を呼びかけるとともに、フィッシングサイトで携帯電話番号、パスワードなどを入力しないよう注意しています。

「My SoftBank」のIDを盗もうとするフィッシングに注意喚起(セキュリティニュース)

IPAが「産業用制御システムのセキュリティ -10大脅威と対策 2019-」を公開

1月14日、独立行政法人 情報処理推進機構(IPA)は、「産業用制御システムのセキュリティ -10大脅威と対策 2019-」を公開しました。ドイツ連邦政府 情報セキュリティ庁(BSI)が作成したものを、IPAが許可を得て翻訳し、発表したもので、公開された資料はIPAのホームページからダウンロード可能です。

なお、資料で示された10大脅威は次のとおりです。

1位:リムーバブルメディアや外部機器経由のマルウェア感染
2位:インターネットやイントラネット経由のマルウェア感染
3位:ヒューマンエラーと妨害行為
4位:外部ネットワークやクラウドコンポーネントの攻撃
5位:ソーシャルエンジニアリングとフィッシング
6位:DoS(Denial of Service:サービス妨害攻撃) / DDoS(Distributed Denial of Service attack:分散型サービス妨害攻撃)
7位:インターネットに接続された制御機器
8位:リモートアクセスからの侵入
9位:技術的な不具合と不可抗力
10位:スマートデバイスへの攻撃

IPAが「産業用制御システムのセキュリティ -10大脅威と対策 2019-」を公開(セキュリティニュース)

カスペルスキーが「2020年サイバー脅威の予測」を公開

1月16日、カスペルスキーは研究開発部門の中核「GReAT」による「Kaspersky Security Bulletin:2020年サイバー脅威の予測」を公開しました。GReATが2019年に観測した変化をもとに、標的型攻撃の傾向と予測をまとめたものです。

これによると、サイバー攻撃者は、この数年間で、漏洩した個人情報を利用した標的型攻撃を行いやすくなったと言及。これにより、生体認証データなど、より機密性の高いデータを悪用した標的型攻撃など、攻撃の幅が一段と広がるだろうとしており、たとえば、ディープフェイクなどの手法が詐欺やソーシャルエンジニアリングなどに用いられることが考えられます。

カスペルスキーが「2020年サイバー脅威の予測」を公開(セキュリティニュース)

2019年第4四半期のインシデント報告件数は前四半期から12%増加

1月21日、一般社団法人 JPCERT コーディネーションセンター(JPCERT/CC)は、「インシデント報告対応レポート」を公開しました。

2019年10月1日から12月31日までの四半期に寄せられたセキュリティインシデントの報告件数は5,189件で、前四半期(4,618件)から12%増加しました。カテゴリー別では、「フィッシングサイト」が68.7%を占め、システムの弱点を探索する「スキャン」が13.8%と続いています。

また、レポートではインシデントの傾向についても言及しており、フィッシングサイトについては、報告を受けたフィッシングサイトの件数は3,700件で、前四半期(3,457件)から7%増加しました。また、標的型攻撃については、この四半期で報告のあったインシデント件数は6件でした。

2019年第4四半期のインシデント報告件数は前四半期から12%増加(セキュリティニュース)

東京商工リサーチが「上場企業の個人情報漏洩・紛失事故」調査結果を公表

1月23日、東京商工リサーチは、「上場企業の個人情報漏洩・紛失事故」に関する調査結果を発表しました。2019年に上場企業とその子会社で、個人情報の漏洩、紛失事故を公表したのは66社、86件で、漏洩した個人情報は903万1,734人分に達しました。

調査を開始した2012年から2019年の累計は372社、事故件数は685件となっており、漏洩、紛失事故を起こした上場企業は全上場企業(約3,700社)の約1割を占め、漏洩・紛失した可能性のある個人情報は累計8,889万人分にのぼります。

「上場企業の個人情報漏洩・紛失事故」調査 (東京商工リサーチ)
【セキュリティ ニュース】流出個人情報、9割超が不正アクセスなどに起因(Security NEXT)

関連キーワード:

BSI

DDoS

DoS

DX化

GReAT

IPA

JASA

JPCERT/CC

My SoftBank

インシデント

インターネット

イントラネット

カスペルスキー

クラウド

スキャン

ソフトバンク

ソーシャルエンジニアリング

ディープフェイク

ヒューマンエラー

フィッシング

フィッシングサイト

マルウェア感染

リムーバブルメディア

リモートアクセス

個人情報

妨害行為

東京商工リサーチ

標的型攻撃

漏洩

生体認証

紛失事故

自然災害

詐欺