2025.03.12
2025年1月、独立行政法人情報処理推進機構(IPA)が「情報セキュリティ10大脅威」2025年度版を発表しました。これは2024年に発生した情報セキュリティ事案からIPAが選出した脅威候補から、約200名の専門家からなる「10大脅威選考会」が決定したものです。
「情報セキュリティ10大脅威」は、個人向け、および企業など組織向けの2つがありますが、今回の記事では主に組織向けのランキングで選出された脅威について紹介し、その対策について解説します。
- もくじ
1.「情報セキュリティ10大脅威 2025」とは?
「情報セキュリティ10大脅威」とは、前年に発生した情報セキュリティ事案からIPAが脅威候補を選出して、さらに「10大脅威選考会」(専門家約200名で構成)による審議・投票を元に決定されたものです。
2025年1月、独立行政法人情報処理推進機構(IPA)は「情報セキュリティ10大脅威 2025」を発表しました。
「情報セキュリティ10大脅威」は個人向けと組織向けがあります。
今回は「組織向けのランキング」で選出された脅威を紹介し、その対策について解説していきます。
※注意点:ランキングの高低=自組織の重要度とは限らないケースもあります。
組織向けの「情報セキュリティ10大脅威」のランキングは、脅威の高さを示していますが、必ずしも上位の項目を優先してセキュリティ対策を行えば良いというわけではありません。
なぜなら、このランキングは、社会全体で起きうる脅威を順位づけしたものであり、各組織のITの運用状況により優先される項目や対応は異なるためです。
組織によって重要度が異なることに注意しましょう。
2.組織向けランキングで見る"10大脅威"と対策
ここでは組織向けランキング順に「情報セキュリティ10大脅威」とその対策を見ていきましょう。個人の対策の参考にもしてください。
1位 ランサムウェア攻撃による被害
今回、最も危険であると認定されたのは「ランサムウェア攻撃による被害」です。
「ランサムウェア」は、ransom(身代金)とsoftwareからの造語です。ランサムウェアはウイルスの一種であり、感染したコンピューター内のデータを暗号化し、システムからいっさい利用できないようにします。
ランサムウェアで攻撃してきた犯人は暗号化したデータの「身代金」(足のつきにくい暗号通貨が利用される)を支払わない限り、暗号化されたデータを復元することはできないと脅してきます。当然ですが、犯人は暗号化されたデータに自在にアクセスできるので、データ内の個人情報や機密データを全世界に公開する、という脅しもかけてきます。
すでに日本国内でも多くの被害が報告されていて、ある病院のシステムがランサムウェアに感染した結果、電子カルテや会計システムが使えなくなり、復旧するまでに数ヶ月を要しています。
また、食品製造業の企業グループ全体で使用する基幹システムがランサムウェアに感染した結果、バックアップまで暗号化されたことで復旧に時間がかかり、決算報告書の提出延期を余儀なくされた、というものもありました。
さらに、ランサムウェアに感染した企業のシステムとネットワークで接続されていた納品先組織のシステムにまでランサムウェアの感染による被害が広がった事例もあります。これらの事例からもわかるように、一度ランサムウェアに感染すると、システムを正常な状態に戻すまでに非常に多くの時間と労力が費やされることになります。
「ランサムウェアに引っかかっても身代金を払えば良いのでは?」という考えもあるかもしれませんが、身代金を払っても本当にデータが正しく復旧できる保証はありません。また、犯人からは扱いやすい相手(カモ)とみなされ、さらなる攻撃のターゲットとなる恐れもあるので、お勧めできません。
主な対策
ランサムウェアは、メールやウェブサイトからの感染、ソフトウェアの脆弱性を突いた攻撃などによって感染します。
そのため以下のような一般的なセキュリティ対策がそのままランサムウェア対策となります。
- 不用意にメールやウェブサイトに記載されたリンクをクリックしない
- OSやアプリケーションは脆弱性対策を施された最新版を使用する
- 最新のウイルス対策ソフトを使用する
- アカウントとパスワードを適切に管理する
2位 サプライチェーンや委託先を狙った攻撃
続いて「サプライチェーンや委託先を狙った攻撃」にも注意が必要です。
昨今、企業の多くは他社と協業することでビジネスを行っています。原料の調達、製造、在庫管理、ロジスティクス、販売といったこれらの企業間の結びつきは、サプライチェーンと呼ばれます。
サプライチェーン内で最もセキュリティ対策の弱い企業を最初のターゲットとし、そこを踏み台として本来のターゲットである企業を狙うタイプの攻撃も増えてきています。
サプライチェーンには国内外のさまざまな企業が含まれることが当たり前になっています。例えば本社では厳密にセキュリティ運用を行っていても、子会社や取引先企業ではセキュリティ意識が弱く隙だらけといったこともあるでしょう。
実際、国内の光学機器メーカーのアメリカ子会社が攻撃を受け、大量の(数百ギガバイトオーダー)機密データが窃取された事例があります。また、建設コンサルティング企業のデータが、業務委託先から流出した事例もありました。
主な対策
時として世界規模にまで繋がるサプライチェーンは、今や世界中の犯罪者・犯罪組織から攻撃されることを念頭に安全確保の仕組みを構築しなければなりません。
子会社や取引先とは情報管理に関する規則を定め、攻撃を受けた場合の対応策などもあらかじめ計画しておくことが重要です。
3位 システムの脆弱性を突いた攻撃
「システムの脆弱性を突いた攻撃」とは、開発ベンダー等が公開した脆弱性対策の情報を悪用し脆弱性対策がされていないシステムを狙って攻撃することです。
システムやソフトウェアの脆弱性が発見されると開発ベンダーが修正プログラムを公開します。
その公開された情報をもとに攻撃プログラムを作成し、修正プログラムやパッチを適用していないシステムに対して攻撃を行います。
脆弱性を突かれると、マルウェア感染や情報漏えい、ファイルの改ざんなどの被害リスクが高まります。
実際に、2024年にはWindows上で動作するCGIモードのPHPにOSコマンドインジェクションの脆弱性があることが報じられ、その回避策が悪用されました。Webshellが設置されたり、ランサムウェアの感染活動に利用されるなどの被害が確認されています。
主な対策
脆弱性を狙った攻撃の対策としては、以下のようなものがあります。
- インシデント対応の体制を整えておく
- 脆弱性情報の収集や対策状況の管理
- セキュリティサポートが充実したソフトウェアを使う
組織としては、被害に遭わないための対策だけでなく、被害に遭った際の早期検知や対応体制の整備も、大きな被害を生まないための重要な対策と言えるでしょう。
4位 内部不正による情報漏えい等
「内部不正による情報漏えい」とは、社外への持ち出しが禁止されている機密情報が企業の社員や元社員により持ち出されるなどの行為を指します。
社員に対する必要以上に広範囲なアクセス権限の付与や、当該社員の退職後もIT管理者がアカウントを消去していなかったことによる悪用などのほか、データ窃取にUSBメモリーなどの外部記憶装置を用いる例もあります。
持ち出された情報は、金銭目的で競合他社に売却、あるいは転職を有利にするための取引材料にされることもあり、被害側企業に深刻な損害をもたらすこともあります。
例えばモバイルキャリアの元社員が、営業秘密に相当する情報を転職先企業に提供した事案があり、モバイルキャリア側は転職先の企業に10億円の支払いを求める民事訴訟を起こしています。
主な対策
内部不正の対策としては以下のようなものがあります。
- 利用者各人のアクセス権限を最小限に制限する
- 退職者のアカウントを直ちに無効化する
- USBメモリーやスマートフォンなど記録できるデバイスについて、重要なデータへアクセスできるエリア内への持ち込み禁止または利用制限をする
また、これに加えて大切なこととして、人材面での意識変革も重要です。
- メンバーの情報リテラシーの向上
- コンプライアンス教育の強化
なども取り組んでいくことをおすすめします。
5位 機密情報等を狙った標的型攻撃
「機密情報等を狙った標的型攻撃」とは、官公庁や企業、研究所といった特定の組織をターゲットとした攻撃です。政府機関の機密情報やその企業にとって重要な知的財産に関する情報などが漏洩した場合、その影響は深刻です。
一方、高度な研究開発などに無縁で、重要な個人情報などを持たない企業であれば安全かといえば、決してそんなことはありません。
その場合はサプライチェーンなどで関連した組織・企業を攻撃する際の踏み台として利用するために狙われることもあり、すべての企業は、自らが標的型攻撃のターゲットになりうるという認識を持つべきです。
日本国内では食品小売業の企業がサイバー攻撃を受け、企業情報などが流出した事案のほか、大手IT企業が提供する情報共有ツールが不正アクセスを受け、クライアントから預かっている情報が盗まれたという事件も起きています。
さらに恐ろしいのは、これらの事案のように情報窃取が判明した事例ばかりではないということです。窃取に気づかないまま、長期間にわたって機密情報を抜かれ続けている目に見えない「事案」もありえます。
標的型攻撃は、メールの添付ファイルを開かせたりリンクをクリックさせたりすることでウイルスを仕込むことから始まる例が多いです。実際の取引先などを装って数回にわたっていわゆる「なりすまし」メールを送信し、時になりすました上でのやりとりまで行って油断を誘うといった手口が使われます。ほかにも、標的の組織が多く利用するサイトを狙った不正アクセスでウイルスを仕込むといった手口もあります。
主な対策
標的型攻撃のターゲットとなりうる組織は、このような攻撃があるいうことを組織内で周知するべきです。
また、組織内の情報に関する運用ルールを定め、社員などへ付与するアクセス権限をなるべく小さくするなどして、標的型攻撃を受けた場合でも被害を最小限に抑える対策を実施しましょう。
6位 リモートワーク等の環境や仕組みを狙った攻撃
「リモートワーク等の環境や仕組みを狙った攻撃」にも注意が必要です。
2020年以降の新型コロナウイルスの蔓延により、テレワークの導入が普及し、自宅からVPN経由で社内システムにアクセスしたり、Zoomなどのウェブ会議システムを利用したりする機会が急激に増加しました。
十分な準備期間がなかったため、セキュリティ面が不十分な状態で始められたテレワークに対する攻撃が増えています。
VPN機器の修正済みの脆弱性対策を実施していない組織で、機器の認証情報が数万社分流出した事例が起きています。また、リモートワークにおいて、勤務先企業の許可を得ず(許可が不要な場合も)個人所有のパソコンを利用しているパターンも多く見られます。
主な対策
テレワークを利用する組織は以下のような対策をしましょう。
- セキュリティポリシーを策定し、各メンバーに遵守をさせる
- メンバーには出勤する場合とリモートワーク勤務での場合の違いを教育する
- ハードウェア/ソフトウェアともにセキュリティパッチを適用する
7位 地政学的リスクに起因するサイバー攻撃
「地政学的リスクに起因するサイバー攻撃」とは、政治的に対立する周囲の国に対して行われるサイバー攻撃です。
他国にサイバー攻撃を仕掛ける国家は、外交や安全保障上の対立をきっかけに、嫌がらせや報復として行うようです。
こういった攻撃の被害に遭うと、国のインフラが攻撃され使用不可になったり、Webサイトの情報が改ざんされたり、アクセスが出来なくなるなど社会的な混乱を招く恐れがあります。
2024年10月には、ロシアを支持するハッカー集団が日本軍事演習に対する抗議のために、日本の自治体や交通機関などのWebサイトにサイバー攻撃を行ったことをSNSに投稿しました。
これにより、自治体のWebサイトにアクセスが集中して一時的に閲覧しにくい状態に陥りました。
主な対策
組織としては、まず地政学的リスクの攻撃による影響を把握しておくことが重要です。
そしてインシデント対応の体制を整えておきましょう。
また、地政学的リスクに起因するサイバー攻撃の主な手法としては、DDoS攻撃やランサムウェア感染、フィッシング、ソーシャルエンジニアリングなどがあるので、各手法の対策も検討し実施しましょう。
8位 分散型サービス妨害攻撃(DDoS攻撃)
「分散型サービス妨害攻撃(DDoS攻撃)」とは、複数の機器を乗っ取り、ネットワークを構成し、そこから組織が提供するインターネット上のサービスに対して大量のアクセスをする攻撃です。
これにより、システムが高負荷状態になり、Webサイトが閲覧しにくくなったり、機能が停止されたりなど、サービス提供に悪影響を及ぼします。
2024年には、日本航空や三菱UFJ銀行、りそな銀行、みずほ銀行などでDDoS攻撃の被害が確認されました。
システムの復旧まで数時間かかるケースもあり、多くの人の生活に影響が出ました。
主な対策
対策としては以下のようなものがあります。
- WAFやIDS/IPSなどDDoS対策システムを導入する
- CDNの導入を検討する
- IoT機器への不正アクセスを防ぎ、システムの乗っ取りを防ぐ
また、万が一被害に遭った際は多方面に影響を及ぼすことも考えられますので、影響調査やインシデント対応体制の整備も実施しておきましょう。
9位 ビジネスメール詐欺
「ビジネスメール詐欺」とは、自社の経営者や重役、または取引先などメールの送信元としてなりすまし、攻撃者の口座に支払わせる偽の請求書を送りつける詐欺のことです。
実際の従業員のメールアカウントを乗っ取って、そこから送信する場合もあり、受け取った側は内容がおかしいと思ってもメールアドレスを見て騙されてしまうことになります。
実際に起きた事例として、海外支社の担当者宛てに本社の役員を騙ったビジネス詐欺メールが届いた事件が発生しています。
内容は「機密性の高い金融取引を個人的に行いたい」というもので、実在する弁護士のメールアドレスを騙ったアドレスがCCに追加されており、信用性を高める工夫がされていたそうです。
主な対策
この手の詐欺メールは、不自然な言い回しの日本語が使われていたり、中国語フォントが使われていたりして、以前は一目見ればわかるものもありました。
しかし、昨今では文章もより巧妙な仕上がりになっており、見た目だけでは判断が難しい場合もあります。
そのため、メールで支払いを要求された場合は、なりすまされたと思われるメール送信元に電話や公式Web上の問い合わせフォームなど他の手段でも確認を取るといったことも必要になります。
また、支払いに関するやりとりはメールではなくより信頼性の担保された別のシステムを利用するといった根本的な解決策も検討するべきです。
10位 不注意による情報漏えい等
「不注意による情報漏えい」は、どれほど安全なシステムを構築しようとも、防ぎきれません。
メールの宛先の誤送信や、複数のメールアドレスの送信する際に宛先をBCCにするべきところをCCにしてしまい送信アドレスが受信者全員に見えてしまうミス、業務用パソコンやUSBメモリーを持ち出した社外で紛失するなど、人為的なミスによる情報漏洩は常に起こり得るのです。
2021年にも、信販事業を手掛ける企業が誤って会員のIDとパスワードを必要のない委託先に渡していた事案がありました。
また、別の例で、顧客の問い合わせメールに返信する際に、他の顧客のデータを含むファイルを誤って添付した事案もありました。
主な対策
重要情報を保存したパソコンやUSBメモリーを外出先で紛失した、といった事案は、どの企業でも起きうるミスでしょう。
システムでは「人間が最大のセキュリティホールである」という認識の元、ミスの起きにくい作業プロセスの検討が必要です。
また、情報リテラシーの教育の一環として、不注意による情報漏洩の結果どのような被害が起きるのかを各人が正しく認識することも必要でしょう。
3.身近に迫っている10大脅威と対策ポイント
ここまで見てきたように、「情報セキュリティ10大脅威」は多岐にわたり、個人と組織で内容が異なりますが、その「攻撃の糸口」は似通っているとIPAは指摘しています。
このポイントは「情報セキュリティ10大脅威 2025 セキュリティ対策の基本と共通対策」という文書にまとめられています。
最近はクラウドサービスの利用も増え、状況が複雑化している反面、「情報セキュリティ10大脅威」を見ると意外にも「個人の不注意」がきっかけになっているものもあります。
また、ソーシャルハッキング的な攻撃が増えているともいえます。上のIPAの文書では、脅威の対策に有効な共通事項が指摘されています。
指摘されているのは「認証の適切運用」、「リテラシーの向上」、「怪しいメールのリンクを踏まない」、「ファイルを開かない」といった、基本的とも言える対策です。
基本に忠実に、基礎対策をしっかりと行うことが、なによりの対策ポイントなのかもしれません。
まとめ
今回、IPAが公開した「情報セキュリティ10大脅威 2025」を説明しました。
個人・企業に押し寄せる情報セキュリティの脅威は多岐にわたります。
その対策に近道はありません。常に情報を収集し、ヒューマンエラーが起きにくい仕組みを導入し、各人へのITリテラシー教育を実施する正攻法こそが結局は最短の道となることでしょう。
