ニュース
IPA、「情報セキュリティ10大脅威 2025」発表。組織の脅威に「地政学的リスクに起因するサイバー攻撃」が初選出
2025年1月31日 06:30
独立行政法人情報処理推進機構(IPA)は1月30日、2024年に発生し、社会的に影響の大きかったセキュリティ脅威をまとめた「情報セキュリティ10大脅威 2025」を公開した。
同機構が毎年公開しているもので、2024年に発生した情報セキュリティが懸念される事案から脅威候補を選出し、セキュリティ分野の研究者、企業の実務担当者などの約200名のメンバーからなる「10大脅威選考会」による投票で決定される。
昨年と同様、個人対象の10大脅威には順位がつけられていない。これは、順位が高い脅威から優先的に対応し、下位の脅威への対策が疎かになることを懸念してのことだという。IPAは、順位に関わらず、自身に関係のある脅威に対して対策を行ってほしいと呼び掛けている。
組織では「地政学的リスクに起因するサイバー攻撃」が初選出
組織を対象とした脅威については、1位の「ランサム(ランサムウェア)攻撃による被害」と2位の「サプライチェーンや委託先を狙った攻撃」は昨年と順位が変わらなかった。一方で、昨年7位だった「システムの脆弱性を突いた攻撃」が3位に順位を上げているが、「修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃)」を統合した影響が一因として考えられるという。
また、今回新設された「地政学的リスクに起因するサイバー攻撃」が7位に選出された。具体的には、中国国家の関与が疑われるとされる「MirrorFace」によるサイバー攻撃が挙げられる。そのほか、2024年〜2025年の年末年始にも発生し、話題となった「分散型サービス妨害攻撃(DDoS攻撃)」が2020年以来再びランクインした。
IPAは、セキュリティ対策情報を継続的に収集し、使用している機器やサービスに適切なセキュリティ対策を講じつつ、各脅威が自組織の事業や体制にどのようなリスクがあるのか洗い出すことが重要だと呼び掛けている。
| 順位 | 脅威(カッコ内は前回順位) |
| 1位 | ランサム攻撃による被害(1位) |
| 2位 | サプライチェーンや委託先を狙った攻撃(2位) |
| 3位 | システムの脆弱性を突いた攻撃(5、7位) |
| 4位 | 内部不正による情報漏えい等(3位) |
| 5位 | 機密情報等を狙った標的型攻撃(4位) |
| 6位 | リモートワーク等の環境や仕組みを狙った攻撃(9位) |
| 7位 | 地政学的リスクに起因するサイバー攻撃(圏外) |
| 8位 | 分散型サービス妨害攻撃(DDoS攻撃)(圏外) |
| 9位 | ビジネスメール詐欺(8位) |
| 10位 | 不注意による情報漏えい等(6位) |
個人対象の項目は昨年と同じでも、手口は日々巧妙に進化
個人を対象とした10大脅威の内容は、2024年と全く同じものとなった。しかし、種類が同じでも、脅威を取り巻く環境は前年と同じではないという。
攻撃者は社会的に注目されるニュースや新技術(生成AIなど)を巧妙に利用して、日々新たな攻撃を仕掛けている。常日頃から脅威に関する最新情報に注意を払い、手口を知っておくことが重要だとしている。
| 脅威(50音順。カッコ内は初選出年と2016年以降の取り扱い) |
| インターネット上のサービスからの個人情報の窃取(2016/6年連続9回目) |
| インターネット上のサービスへの不正ログイン(2016/10年連10回目) |
| クレジットカード情報の不正利用(2016/10年連続10回目) |
| スマホ決済の不正利用(2020/6年連続6回目) |
| 偽警告によるインターネット詐欺(2020/6年連続6回目) |
| ネット上の誹謗・中傷・デマ(2016/10年連続10回目) |
| フィッシングによる個人情報等の詐取(2019/7年連続7回目) |
| 不正アプリによるスマートフォン利用者への被害(2016/10年連続10回目) |
| メールやSMS等を使った脅迫・詐欺の手口による金銭要求(2019/7年連続7回目) |
| ワンクリック請求等の不当請求による金銭被害(2016/3年連続5回目) |