2023年2月28日、IPA （情報処理推進機構）より「情報セキュリティ10大脅威2023」および関連資料が公開されました。順位は、2022年に発生した情報セキュリティにおける事案から IPA が脅威候補を選出し、研究者や企業の実務担当者などの審議・投票で決定したものです。今回はその中で、今年新たにランクインした「犯罪のビジネス化（アンダーグラウンドサービス）」について一部抜粋してご紹介します。

情報セキュリティ10大脅威 2023 「組織」向けの脅威の順位

10位 犯罪のビジネス化（アンダーグラウンドサービス）

攻撃手口

ツールやサービス、認証情報を購入し攻撃

アンダーグラウンドで購入したサービスやツールを利用して攻撃を行う。脆弱性の悪用やボットネットの利用等、ツールやサービスの種類によって攻撃方法は異なる。また、IDやパスワード等の認証情報を利用して、ウェブサービス等に不正ログインを行う。

対策/対応

組織としての体制の確立

• インシデント体制の整備、対応

被害の予防

• DDoS 攻撃の影響を緩和する ISP（インターネットサービスプロバイダ）や CDN（コンテンツデリバリーネットワーク）等のサービスを利用
• システムの冗長化等の軽減策
• サーバーやクライアント、ネットワークに適切なセキュリティ対策
• 添付ファイルの開封、メールやSMSのリンク、URLのクリック防止
• 多要素認証等の強い認証方式の利用

被害の早期検知

• 不審なログイン履歴の確認
• ダークウェブを監視し、自組織情報流出の有無を確認

被害を受けた後の対応

• 適切な報告/連絡/相談
• 通信制御（DDoS 攻撃元をブロック等）
• ウェブサイト停止時の代替サーバーの用意と告知手段の整備
• インシデント体制の整備、対応
• 適切なバックアップ運用

情報セキュリティ対策の基本

攻撃の糸口	情報セキュリティ対策の基本	目的
ソフトウェアの脆弱性	ソフトウェアの更新	脆弱性を解消し攻撃によるリスクを低減する
ウイルス感染	セキュリティソフトの利用	攻撃をブロックする
パスワード窃取	パスワードの管理・認証の強化	パスワード窃取によるリスクを低減する
設定不備	設定の見直し	誤った設定を攻撃に利用されないようにする
誘導(罠にはめる)	脅威・手口を知る	手口から重要視するべき対策を理解する