IPA(日本情報処理推進機構)より「情報セキュリティ10大脅威2025」が発表されました。
この10大脅威は、前年に発生したセキュリティ事故や攻撃などの事案から、社会的に影響が大きかった脅威を選出したランキングになります。今回は、この10大脅威から特に注目するポイントや対策について解説します。
情報セキュリティ10大脅威 2025の発表
2025年「情報セキュリティ10大脅威(組織編)」は以下の通りです。
| 順位 | 組織 | 初選出年 |
10大脅威での取り扱い
(2016年以降)
|
|---|---|---|---|
| 1位 | ランサム攻撃による被害 | 2016年 | 10年連続10回目 |
| 2位 | サプライチェーンや委託先を狙った攻撃 | 2019年 | 7年連続7回目 |
| 3位 | システムの脆弱性を突いた攻撃 | 2016年 | 5年連続8回目 |
| 4位 | 内部不正による情報漏えい等 | 2016年 | 10年連続10回目 |
| 5位 | 機密情報等を狙った標的型攻撃 | 2016年 | 10年連続10回目 |
| 6位 | リモートワーク等の環境や仕組みを狙った攻撃 | 2021年 | 5年連続5回目 |
| 7位 | 地政学的リスクに起因するサイバー攻撃 | 2025年 | 初選出 |
| 8位 | 分散型サービス妨害攻撃(DDoS攻撃) | 2016年 | 5年ぶり6回目 |
| 9位 | ビジネスメール詐欺 | 2018年 | 8年連続8回目 |
| 10位 | 不注意による情報漏えい等 | 2016年 | 7年連続8回目 |
出典:IPA(日本情報処理推進機構)「情報セキュリティ10大脅威 2025 [組織]」
https://www.ipa.go.jp/security/10threats/10threats2025.html
注目ポイント
ランサム攻撃による被害
出典:IPA(日本情報処理推進機構)「『情報セキュリティ10大脅威 2025』解説書 [組織編]」
https://www.ipa.go.jp/security/10threats/eid2eo0000005231-att/kaisetsu_2025_soshiki.pdf
「ランサム攻撃による被害」は10年連続で10回目のランクインとなり、2021年からは5年連続で1位に選ばれています。
ランサムウェアは、感染したパソコンや端末をロックしたり、データの窃取、暗号化を行い、これらを取引材料として金銭を要求するマルウェアの一種です。最近では、暗号化せずに、窃取した情報を公開すると脅迫して金銭を要求する「ノーウェアランサム」といった攻撃も増えてきています。
2024年には、某有名企業で大きな被害を出し、約24億円の特別損失を計上するなど、大きな話題となりました。近年、ランサムウェアの攻撃方法はますます巧妙化しており、サイバーセキュリティに気をつけている企業でも侵入を防ぐのが難しくなってきています。
対策
- 定期的なバックアップの実施
- OSやソフトウェア、セキュリティ製品のアップデート確認
- ゼロトラストセキュリティの導入
- フィッシング対策及び従業員のセキュリティ教育
- インシデント発生時の対応体制
サプライチェーンや委託先を狙った攻撃
出典:IPA(日本情報処理推進機構)「『情報セキュリティ10大脅威 2025』解説書 [組織編]」
https://www.ipa.go.jp/security/10threats/eid2eo0000005231-att/kaisetsu_2025_soshiki.pdf
「サプライチェーンや委託先を狙った攻撃」が7年連続で7回目のランクインとなり、注目されています。
サプライチェーン攻撃は、取引先や委託先の企業を経由して行われるサイバー攻撃です。
取引先や委託先が狙われる理由は、セキュリティ対策されている大企業を直接ターゲットにするより、セキュリティ対策が不十分な取引先をターゲットにした方が、侵入できる確率が高いからです。
このような「ビジネス上の繋がり」を悪用した攻撃は、自社の対策のみでは防ぐことが難しいため、取引先や委託先も含めたセキュリティ対策が必要な脅威と言えます。
対策
- 取引先、委託先のセキュリティ評価と管理
- データのアクセス制御の厳格化やアカウントログの取得と監視
- 利用ソフトウェア、クラウドサービスの信頼性
- 従業員や協力会社へのサプライチェーン攻撃のリスク教育
- インシデント発生時の対応体制
地政学的リスクに起因するサイバー攻撃
出典:IPA(日本情報処理推進機構)「『情報セキュリティ10大脅威 2025』解説書 [組織編]」
https://www.ipa.go.jp/security/10threats/eid2eo0000005231-att/kaisetsu_2025_soshiki.pdf
今回初選出された「地政学的リスクに起因するサイバー攻撃」とは、政治的・経済的に対立する周辺国に対して、社会的に混乱を引き起こすことを目的としたサイバー攻撃です。
これは国家機関の職員等によって構成されたサイバー攻撃を実施するグループや、国や団体が支援する組織的犯罪グループが攻撃しているとされています。
対策
- サイバー攻撃の情報収集と連携体制の確立
- ネットワーク、端末の監視体制
- ゼロトラスト的なセキュリティ運用
- サイバーレジリエンスの強化
- インシデント発生時の対応体制
分散型サービス妨害攻撃(DDoS攻撃)
出典:IPA(日本情報処理推進機構)「『情報セキュリティ10大脅威 2025』解説書 [組織編]」
https://www.ipa.go.jp/security/10threats/eid2eo0000005231-att/kaisetsu_2025_soshiki.pdf
「分散型サービス妨害攻撃(DDoS攻撃)」は企業や組織のサーバーやネットワークに大量のアクセスを一斉に仕掛けて高負荷状態にさせる、もしくは回線帯域を圧迫させて、サービスを停止させるサイバー攻撃です。
2024年には、日本航空や三菱UFJ銀行に対するDDoS攻撃があり、サービスが一時的に利用できなくなる事態が発生しました。DDoS攻撃は古くからあるサイバー攻撃ですが、昨年末から増加傾向にあるためランクインしたと考えられます。
対策
- DDoS防御サービスの導入
- トラフィックの異常検知と緊急対応体制
- DDoS攻撃をされてもサービス継続ができる予備手段の整備
- 自社のDDoS攻撃対象の洗い出し、可視化
- インシデント発生時の対応体制
まとめ
2025年の情報セキュリティは、ランサムウェアやサプライチェーン攻撃、AIを悪用したフィッシング、そして地政学リスクに基づく標的型攻撃など、脅威はさらに多様化・巧妙化していくと予想されます。
従来の「ウィルスに感染しないように注意する」という考え方のセキュリティ対策だけでは、大きな経営リスクとなる可能性があります。2025年は「自社や顧客にとって、何が最もリスクとなるのか」を見極め、セキュリティツールの導入以外に、従業員への日常的なセキュリティ教育の積み重ねが重要となりそうです。