ニュース

IPA、「情報セキュリティ 10大脅威 2025 個人編」解説冊子を公開、PDFで48ページ

  • 松永 侑貴惠

2025年6月23日 06:30

 独立行政法人情報処理推進機構は6月18日、「情報セキュリティ 10大脅威 2025 個人編」の解説書を公開した。同機構のウェブサイトから、PDFを無料でダウンロードできる。

 「情報セキュリティ10大脅威 2025」は、2024年に発生した社会的に影響が大きいと考えられるセキュリティ事案を、情報セキュリティ分野の研究者、企業の実務担当者などから構成される「10大脅威選考会」において決定し、組織対象と個人対象のそれぞれについて、1月に発表されていた。組織編については、2025年2月にすでに公開している。

「自分にとってどのような危険があるのか」を考えながら対策を

情報セキュリティ 10大脅威の個人編

 個人編では、順位は掲載せず、五十音順で脅威を並べている。これは、脅威の危険度は各人の立場や状況によって異なるため、順位づけすることで下位になった脅威に対する対策がおろそかになることを懸念してのこと。「自分にとってどのような危険があるのか」を考えながら、各々脅威に対する対策を講じてほしいと期待している。

 個人向け脅威は以下の通りで、五十音順。解説書では、1件ごとに2ページの構成で、手口、事例、対策方法などを、イラスト入りで詳細に解説している。

インターネット上のサービスからの個人情報の窃取

 攻撃者が、ショッピングサイト(ECサイト)など各サイトの脆弱性や設定不備などを悪用し不正アクセスや不正ログインを行い、サービスに登録されている個人情報などの重要な情報を盗む。攻撃者がサービスを改ざんし、利用者が入力した情報を窃取するシステムを組み込む手口もある。

インターネット上のサービスへの不正ログイン

 攻撃者が、フィッシング詐欺やマルウェア感染などで取得した利用者のログイン情報(ID、パスワード)を使いログイン操作を行う。利用者はアカウントに紐づいた個人情報が窃取されたり、アカウントが乗っ取られて、SNSなら身に覚えのない投稿をされるなどの悪用をされる。

クレジットカード情報の不正利用

 攻撃者が、フィッシング詐欺やウェブスキミング(正規のECサイトの決済画面を改ざんする)といった手口を用いて、利用者のクレジットカード情報を窃取し、不正利用する。利用者がカード会社に連絡して利用を停止しても、不正利用が継続するオフライン決裁を悪用した手口も確認されている。

スマホ決済の不正利用

 攻撃者がスマートフォンのキャッシュレス決済やオフライン決済を悪用する。利用者は、決済サービスに事前に登録したクレジットカード情報や銀行口座番号を用いて不正なスマホ決済が行われる。

偽警告によるインターネット詐欺

 攻撃者はインターネット広告などを利用して、「マルウェアが見つかりました」のような偽の警告画面に利用者を誘導し、サポート先として電話番号も表示する。この電話番号に掛けた利用者に、解決のためと称して操作を指示し、個人情報や決済情報を入力させ、金銭を騙し取る。いわゆる「サポート詐欺」などが該当する。

ネット上の誹謗・中傷・デマ

 利用者がSNSなどで誹謗・中傷を受けたり、デマにだまされることも脅威だが、10大脅威の中では、利用者が誹謗・中傷をする側になったり、デマを意図せず拡散してしまうことを特に問題視している。解説書では「誹謗・中傷やデマの発信は犯罪になりうることや、情報の真偽を確認せず、安易に拡散した人も、その行為を特定され、名誉毀損等の社会的責任を問われることがある」と警告している。

フィッシングによる個人情報等の詐取

 攻撃者が公的機関や金融機関、ショッピングサイト、宅配業者等の有名企業をかたるメールやSMSを送信し、利用者を偽のウェブサイトへ誘導する。そして、誘導された利用者は、その画面の指示に従って認証情報やクレジットカード情報、個人情報を入力してしまい、詐取される。

不正アプリによるスマートフォン利用者への被害

 スマートフォンの利用者が不正アプリのダウンロードサイトへ誘導され、不正アプリをインストールし、スマートフォン内の情報窃取や不正操作される。

メールやSMS等を使った脅迫・詐欺の手口による金銭要求

 攻撃者がメールやSMSによる脅迫、セクストーション(性的な脅し)などを行う。被害者は弱みに付け込まれ、金銭を詐取される。攻撃者がSNSで親睦を深めて信用させる投資詐欺やロマンス詐欺も増加している。

ワンクリック請求等の不当請求による金銭被害

 利用者が悪意のあるウェブサイトを閲覧し、有料サービスの会員登録完了画面や利用料の請求画面が表示されることにより、金銭を不当に請求される。

10大脅威に対しての6つの共通対策で利用リスクを低減

共通対策

 10大脅威は以上の内容となるが、解説書では、これらの脅威に共通する日常的な対策として、次の6つの「共通対策」を挙げている。具体的な対策については冊子で解説しているが、各脅威の解説も参照しながら対策を実施していくことが重要である。

認証情報を適切に運用する

 パスワードなどの認証情報は、推測可能なパスワードの設定や使い回しの不適切な管理をすると不正ログインの被害に遭う可能性が高くなる。このため適切なパスワードの設定や他人に教えないなどの適切な保管をする。また、多要素認証(パスワード、生体認証など)の導入やパスキーの利用も検討する。

情報リテラシー、情報モラルを向上させる

 SNSの利用にあたっては、情報を鵜呑みしないことや安易な情報拡散をしないこと、発信を適切にすることを意識する。インターネットの利用では、本物を騙った偽のウェブサイトや個人情報を盗むウェブサイトが混在するため、特に個人情報や金銭に関する情報の入力を求められたときには注意する。このほか、生成AIの利用に関しても、掲載されている情報が正しいとは限らず、誤った情報が掲載されているおそれもあるため、情報を鵜呑みにしない。

メールの添付ファイルの開封、メールやSMSのURLリンクのクリックを安易にしない

 本物のサービスをかたったメールやSMSを受け取った場合は、添付されたURLやQRコードを安易に読み取ったりせず、正規のウェブサイトに直接アクセスするなどして確認する。

 なお、IPAのウェブページでは、攻撃手口を紹介している。日頃から確認し、不審なメール・SMSに備えるようにとしている。

適切な報告/連絡/相談を行う

 もし何らかの被害を受けた際は、まずは落ち着いてITに詳しい知人に相談した上で、各相談機関などに連絡することが望ましい。なお、どこに相談すればいいかが分からない場合は、IPAの情報セキュリティ安心相談窓口や、国民生活センター、消費生活センターに問い合わせるようにとしている。

発生した出来事による、推奨する相談窓口

サーバーやPC、ネットワーク機器に適切なセキュリティ対策を行う

 サポート切れのソフトウェアやハードウェアを使用しないなどの脆弱性対策をするほか、セキュリティソフトを導入する。また、スマートフォンのアプリは不明な提供元からインストールせず、App StoreやGoogle Playなど公式マーケットからインストールする。

適切なバックアップ運用を行う

 PCやスマートフォンの故障、ランサムウェアへの感染、操作ミスによる消去などによるデータ破損に備え、使用するデバイスのバックアップを取り、保管場所の検討などを行う。