
IPA発表!2025年版「情報セキュリティ10大脅威 」をチェック
アクモスセキュリティチームです!
IPA(独立行政法人情報処理推進機構)が2025年1月30日に「情報セキュリティ10大脅威 2025」を発表しました。これは毎年発表されており、2024年に特に大きな影響を与えたサイバー攻撃やセキュリティリスクをまとめたものです。
企業の情報システム担当者や中小企業の経営者にとって、最新の脅威を知り、しっかり対策を考えるための大切な指針になります。
本記事では、「組織編」の中でも特に注目の3つの脅威について、わかりやすく解説していきます!
目次[非表示]
情報セキュリティ10大脅威 2025【個人編】
個人向け情報セキュリティ10大脅威は以下のとおりです。
「個人」向け脅威(五十音順) | |
インターネット上のサービスからの個人情報の窃取 |
6年連続9回目 |
インターネット上のサービスへの不正ログイン |
10年連続10回目 |
クレジットカード情報の不正利用 |
10年連続10回目 |
スマホ決済の不正利用 |
6年連続6回目 |
偽警告によるインターネット詐欺 |
6年連続6回目 |
ネット上の誹謗・中傷・デマ |
10年連続10回目 |
フィッシングによる個人情報等の詐取 |
7年連続7回目 |
不正アプリによるスマートフォン利用者への被害 |
10年連続10回目 |
メールやSMS等を使った脅迫・詐欺の手口による金銭要求 |
7年連続7回目 |
ワンクリック請求等の不当請求による金銭被害 |
3年連続5回目 |
SNSを悪用するなど多種多様な手口による詐欺被害が広がっており、今後も注意が必要です。また、アクモスブログ内では、「Microsoftを装った偽の警告(サポート詐欺)」に関する記事へのアクセスが多数あり、多くの人が今も被害に遭っている可能性があります。
企業としても、社員がこうした詐欺に巻き込まれないよう、しっかり啓発していくことが大切です。
なお、個人向けのセキュリティ脅威について、IPAは「人によって危険度の感じ方が異なるため、順位をつけると下位の脅威が軽視される可能性がある」と指摘しています。そのため、「個人向けの脅威」については順位をなくし、五十音順で紹介する形に変更されています。
情報セキュリティ10大脅威 2025 【組織編】
順位 |
「組織」向け脅威 *( )は前回順位 |
|
1 |
ランサム攻撃による被害 |
10年連続10回目 (1) |
2 |
サプライチェーンや委託先を狙った攻撃 |
7年連続7回目 (2) |
3 |
システムの脆弱性を突いた攻撃 |
5年連続8回目 (5) (7) |
4 |
内部不正による情報漏えい等 |
10年連続10回目 (3) |
5 |
機密情報等を狙った標的型攻撃 |
10年連続10回目 (4) |
6 |
リモートワーク等の環境や仕組みを狙った攻撃 |
5年連続5回目 (9) |
7 |
地政学的リスクに起因するサイバー攻撃 |
初選出 (圏外) |
8 |
分散型サービス妨害攻撃(DDoS攻撃) |
5年ぶり6回目 (圏外) |
9 |
ビジネスメール詐欺 |
8年連続8回目 (8) |
10 |
不注意による情報漏えい等 |
7年連続8回目 (6) |
1位と2位は昨年と変わらず、依然として大きな脅威となっています。特に昨年は、大手企業や主要のサービスがランサムウェアの被害を受け、大きな話題となりました。
今回は、改めて1位の「ランサム攻撃による被害」に加え、今年新たにランクインした「地政学的リスクに起因するサイバー攻撃」と「分散型サービス妨害攻撃(DDoS攻撃)」について注目していきます。
【組織編】の注目の脅威
1位 ・ランサム攻撃による被害
これまでも当ブログで何度かご紹介していますが、ランサム攻撃とは、ランサムウェアによって企業や組織のデータを暗号化し、その解除のために身代金を要求するサイバー攻撃です。
最近では、単にデータを暗号化するだけでなく、「二重恐喝(ダブルエクストーション)」と呼ばれる手口が増えています。
これは、企業や団体が持つ機密データや個人情報を事前に盗み出し、「身代金を支払わなければデータを公開する」と脅迫する手法です。
◆◆ 被害の実態(例)◆◆
- 製造業:工場のシステムが停止し、生産が大幅に遅れる
- 医療機関:電子カルテが使えず、診療や手術ができなくなる
- 出版社:個人情報や取引先のデータが流出したり、サービスが一時停止に
被害は金銭的な損失だけでなく、信用の低下や業務の長期停止にもつながります。企業や組織にとって、事前の対策がとても重要です。
◆◆ 主な感染経路◆◆
ランサムウェアは、さまざまな手口でシステムに侵入します。特に次のような経路から感染しやすいため、注意が必要です。
- 標的型攻撃メール・フィッシングメール(偽の添付ファイルやリンクを開かせる手口)
- 脆弱なリモートアクセス(RDP)の悪用(安全対策が不十分なリモート接続を狙う)
- 古いソフトウェアの脆弱性を突く攻撃(更新されていないシステムが標的に)
- VPNの脆弱性を狙う攻撃(不正アクセスで内部ネットワークに侵入)
◆◆ 有効な対策 ◆◆
ランサム攻撃の被害を防ぐためには、日頃からの対策がとても大切です。特に、次のポイントを押さえておきましょう。
- データのバックアップ(オフラインやクラウドに定期的に保存しておく)
- フィッシング対策(従業員向けの研修を行い、不審なメールへの対応を徹底する)
- セキュリティ更新(OSやソフトウェアを常に最新の状態に保つ)
- リモートアクセスの強化(多要素認証(MFA)の導入など、安全な接続環境を整える)
ランサム攻撃は、企業や組織にとって非常に深刻な脅威です。被害を防ぐためには、データのバックアップ、従業員のセキュリティ教育、システムの強化、緊急時の対応計画が欠かせません。
最近は「二重恐喝」などの手口が増えているため、バックアップを取るだけではなく、「攻撃される前提」での防御戦略を考えることが重要になっています。
7位 ・地政学的リスクに起因するサイバー攻撃
近年、国家が関与するサイバー攻撃が増えており、日本企業も標的になるケースが増加。その影響の大きさから、今回新たにランクインしました。
地政学的リスクとは、国際情勢や国家間の対立が原因で、政治・経済・安全保障に影響を及ぼすリスクのこと。戦争や経済制裁、外交問題などが企業活動に悪影響を与える可能性があります。
具体的には、国家が支援するハッカーによる企業・政府機関への攻撃や、紛争・制裁による特定企業の標的化などが挙げられます。今後もリスクが高まると考えられるため、適切な対策が求められます。
◆◆ 具体的な脅威 ◆◆
サイバー攻撃にはさまざまな手口があります。特に、以下のような攻撃が企業や社会に深刻な影響を及ぼす可能性があります。
標的型攻撃(APT:持続的標的型攻撃)
→ 特定の企業や組織を長期間にわたって監視し、機密データを盗み出す手口。
例: 政府機関や防衛関連企業へのサイバー侵入。
サプライチェーン攻撃
→ 大企業そのものではなく、取引先や子会社などを狙い、そこを経由して本体に侵入する方法。
例: 業務システムを改ざんし、顧客や取引先にも被害を広げる。
インフラ攻撃
→ 電力・通信・交通など、社会の基盤となるシステムを狙って混乱を引き起こす攻撃。
例:発電所や交通システムの遠隔制御を妨害し、大規模な影響を与える。
◆◆ 企業が取るべき対策例◆◆
ゼロトラストセキュリティの導入
→ 全てのアクセスを信頼せず、常に検証を行う仕組みを構築。
従業員のセキュリティ教育
→ 標的型攻撃メールの見分け方を定期的に訓練。
サプライチェーン管理の強化
→ 取引先にもセキュリティ基準を要求し、リスクを最小化。
近年、国家間の対立や経済制裁の影響で、サイバー攻撃が政治的・経済的な圧力として使われるケースが増えています。政府機関や企業の機密情報が狙われ、社会や経済に混乱を引き起こすリスクも高まっています。
そのため、企業はサイバーセキュリティ対策だけでなく、地政学的リスクを考えたリスク管理も取り入れることが大切です。
8位 ・分散型サービス妨害攻撃(DDoS攻撃)
ECサイト、金融機関、自治体のシステムなどが狙われやすく、業務の停止や経済的損失につながることも少なくありません。
昨年は中学生がDDoS攻撃の代行サービスを利用した事件も話題となり、この脅威への注目がさらに高まりました。
◆◆ DDoS攻撃の傾向 ◆◆
攻撃の大規模化・長時間化
→数百Gbps規模の攻撃が増え、数日間にわたるケースも発生。
身代金DDoS(RDoS)の増加
「攻撃をやめてほしければ金銭を支払え」と脅迫する手口。
IoT機器の悪用
防犯カメラやスマート家電などが乗っ取られ、攻撃の踏み台にされる。
DDoS攻撃の代行サービスやAIの活用
アンダーグラウンドでは、低コストで利用できるDDoS攻撃の代行サービスが確認されている。また、AIによる機械学習で、標的に最適な攻撃手法を導き出し、対策されにくいよう攻撃パターンを変化させるなど、より多様で高度な手法へと進化。
◆◆ 企業が取るべき対策 ◆◆
DDoS攻撃を防ぐためには、事前の対策がとても重要です。特に、最近増えているIoT機器を悪用した攻撃や身代金DDoSに備えるため、以下のような防御策を取り入れましょう。
CDN(コンテンツ配信ネットワーク)やWAF(Webアプリケーションファイアウォール)の導入
→ 攻撃の負荷を分散し、不正なアクセスをブロック。
クラウド型DDoS対策サービスの活用
→ 攻撃が発生する前に防御し、被害を最小限に抑える。
アクセス監視の強化
→ 予期しない大量アクセスをリアルタイムで検知し、すぐに対処できる体制を整える。
まとめ
IPAが発表した「情報セキュリティ10大脅威 2025」では、ランサム攻撃や地政学的リスクに起因するサイバー攻撃、DDoS攻撃など、企業にとって見過ごせない脅威が改めて浮き彫りになりました。
これらの攻撃は、業務の停止や情報漏えい、さらには企業の信用低下にもつながるため、しっかりと対策を講じることが重要です。
今回の発表をきっかけに、最新のサイバー脅威を知り、適切な対策を進めることが不可欠です。従業員のセキュリティ意識を高め、システムを強化し、リスク管理を見直すことで、企業全体のセキュリティを強化していきましょう。
また、IPAから2月下旬に各脅威の詳細な報告書が公開予定です。引き続き、注目すべきポイントを詳しく解説していきます!
<アクモスのセキュリティサービス紹介>
標的型攻撃メール訓練サービスの概要
<アクモスのセキュリティサービス紹介>
TMT3ヶ月プラン・料金の詳細
<資料で検討したい場合>
サービス資料のダウンロード
<問い合わせしたい場合>
お問い合わせ・導入相談
<2ヶ月間無料で体験できる無料プランで試してみたい場合>
Freeプランのお申込みはこちら