基調講演では、情報処理推進機構（IPA）セキュリティセンター・セキュリティ対策推進部・脆弱性対策グループの大友更紗氏が登壇。「情報セキュリティ10大脅威2023 組織編」をテーマに講演した。


　経済産業省所管の独立行政法人であるIPAは、その主要業務の一つに「情報セキュリティ対策の実現」を掲げる。具体的な活動としては、不正アクセス届け出の受付、情報セキュリティの調査研究・普及活動、事故発生時の初動対応と情報共有など。普及活動の中では、毎年発表されるランキング「情報セキュリティ10大脅威」が特によく知られている。

　「情報セキュリティ10大脅威2023 組織編」でトップ3にあがっているのは、「ランサムウェアによる被害」「サプライチェーンの弱点を悪用した攻撃」「標的型攻撃による機密情報の窃取」。大友氏は「22年版と比較して順位に大きな変動はなかったが、23年版では第10位に『犯罪のビジネス化（アンダーグラウンドサービス）』がランクインしている」と説明する。

　情報セキュリティ10大脅威は、前年に発生したセキュリティ事故の中からIPAが候補を選び、専門家による選考会の投票で決定する。大友氏は、23年版のもとになった事故例の中から特徴的な3件を取り上げ、発生状況を詳しく解説した。

　第1の事故例は、社員向けWebサービスの脆弱性が悪用されてActive Directoryサーバーに侵入され、社内の管理情報や顧客情報がリークサイトに公開されてしまったケース。ランサムウェア攻撃も仕掛けられ、社内の機器が暗号化されてしまったという。

　第2の例は、SaaS事業者が一般企業に提供しているサービスが改ざんされてしまい、そのサービスを利用していた一般企業のWebサイトから顧客の個人情報が漏洩してしまった事故。大友氏は「ITベンダーの製品に仕掛けをして、それを利用する組織を攻撃する手法は『サプライチェーン攻撃』と呼ばれている」と注意を促した。

　第3の事故例としては、ある政党の関係者に送られたメールでのスピアフィッシングが紹介された。メールの差出人は党本部の広報チームや有力政治家となっており、添付ファイルには情報を窃取するウイルスが仕込まれていたという。

　「さまざまな脅威があるものの、攻撃の糸口は似通っている」と大友氏。ソフトウェアの更新、セキュリティソフトの利用、パスワード管理と認証の強化といった基本的な対策の重要性はこれからも変わらないと強くアピールした。