IPA「情報セキュリティ10大脅威2025」についてわかりやすく解説

IPA「情報セキュリティ10大脅威2025」についてわかりやすく解説
2025.01.30

毎年公開されているIPA(独立行政法人 情報処理推進機構)の「情報セキュリティ10大脅威」。2025年版が発表されました。
このランキングは、前年に発生した社会的に影響が大きかったと考えられる情報セキュリティ事案について、ランキング形式でまとめられたもので、その対策を考える上で重要な指針となっています。
2025年1月30日に発表された内容について、対策を含めて解説します。

セキュリティ無料相談

目次

2025年の公表内容

情報セキュリティ10大脅威2025(組織部門)の内容は以下の通りです。

順位10大脅威での取り扱い
内容
1位10年連続10回目ランサム攻撃による被害
2位7年連続7回目サプライチェーンや委託先を狙った攻撃撃
3位5年連続8回目システムの脆弱性を突いた攻撃
4位10年連続10回目内部不正による情報漏えい等
5位10年連続10回目機密情報等を狙った標的型攻撃
6位5年連続5回目リモートワーク等の環境や仕組みを狙った攻撃
7位初選出地政学的リスクに起因するサイバー攻撃
8位5年ぶり6回目分散型サービス妨害攻撃(DDoS攻撃)
9位8年連続8回目ビジネスメール詐欺
10位7年連続8回目不注意による情報漏えい等
出典:IPA(独立行政法人 情報処理推進機構)「情報セキュリティ10大脅威 2025」
https://www.ipa.go.jp/security/10threats/10threats2025.html

前年(2024年)との比較

2024年は大企業を狙った攻撃が目立ちました。対策をしっかり行っている大企業でも攻撃の被害にあっていることから「分散型サービス妨害攻撃(DDoS攻撃)」や「地政学的リスクに起因するサイバー攻撃」がランキングされました。また、コロナの影響が少なくなり昨年5位⇒9位に下がった「リモートワーク等の環境や仕組みを狙った攻撃」は大手企業への攻撃に利用されたことにより6位に浮上しました。

情報セキュリティ10大脅威2025の注目するべき点

法人を狙ったフィッシング(ビジネスメール詐欺)

昨今、法人を狙ったフィッシング攻撃が急増しており、深刻な脅威となっています。特に、取引先や関係機関を装った巧妙な偽装メールを通じて、ランサムウェアに感染させる手口が確認されています。一度感染すると、重要なデータが暗号化され、業務が停止に追い込まれるだけでなく、多額の身代金を要求される可能性があります。また、情報漏洩による取引先との信頼関係の毀損や、対応コストの発生など、企業経営に深刻な影響を及ぼす恐れがあります。

このような脅威に対抗するためには、従業員一人一人のセキュリティ意識向上が不可欠です。特に、標的型攻撃メールに対する訓練は、実践的な対応力を養うために極めて重要です。定期的な訓練を通じて、不審なメールの特徴を理解し、適切な判断・対応ができる組織文化を醸成することが求められます。

以下のような点に特に注意が必要です

  • 取引先からの急な銀行口座変更の連絡
  • 経営層や上司を装った至急の振込み依頼
  • 添付ファイルを開かせようとする不自然な催促
  • URLリンクのクリックを急かす内容

標的型攻撃メール訓練では、このような実際の脅威を模した演習を行い、従業員の対応をモニタリングすることで、組織としての脆弱性を把握し、必要な対策を講じることができます。また、訓練結果を基に、具体的な改善点を見出し、より効果的な教育プログラムを策定することが可能となります。
セキュリティ対策は、技術的な防御措置だけでは不十分です。最後の砦となる従業員一人一人の意識と判断力を高めることが、組織を守る最も確実な方法となります。定期的な訓練の実施を通じて、全社的なセキュリティレベルの向上を図ることを強く推奨いたします。

ランサムウェアは依然としてネットワーク経由

ランサムウェアによる被害が1位になるのは、これで連続5年目です。
警察庁が発表した「令和6年上半期におけるサイバー空間をめぐる脅威の情勢等について」でも、高止まりで横ばい状態であったランサムウェアの件数が若干の増加傾向にあります。

企業・団体等におけるランサムウェア被害の報告件数の推移
出典:警察庁「令和6年上半期におけるサイバー空間をめぐる脅威の情勢等について」
【企業・団体等におけるランサムウェア被害の報告件数の推移】


ランサムウェアの対策

ランサムウェアの感染経路で7割を占めていたVPN機器からの侵入は減ったものの、リモートデスクトップからの侵入が増えており、ネットワーク経由の侵入が依然として8割を占めています。
そのため、ランサムウェア対策のポイントは、FWやUTM、VPN機器などセキュリティのために導入した機器の脆弱性を放置せず、しっかり管理することです。

ランサムウェアの感染経路
出典:警察庁「令和5年上半期におけるサイバー空間をめぐる脅威の情勢等について」
「令和6年上半期におけるサイバー空間をめぐる脅威の情勢等について」
【ランサムウェアの感染経路】

管理においておきがちなトラブルは

  • ベンダが管理してくれているものと思っていた
  • 保守が切れたけど、そのまま使っていた

などの、機器の運用や保守に関する責任分界点があいまいであることが原因として考えられます。
ALSOK UTM運用サービスでは、導入したUTMをお客様に代わって脆弱性情報の収集、セキュリティパッチ適用することにより適切に管理いたします。

地政学的リスクに起因するサイバー攻撃

地政学的リスクに起因するサイバー攻撃は、重要インフラに対する攻撃や国家機関が直接・間接的に支援する形で行われる高度なサイバー攻撃です。これらの攻撃では、国家レベルの予算と人材を投入し、最先端の攻撃ツールや脆弱性を利用することが特徴です。また、長期的な作戦計画に基づいて実行されることが多く、機密情報の窃取、重要インフラの機能停止、政治的・軍事的優位性の確保、経済的損害の付与などを目的としています。

攻撃手法としては、APT(Advanced Persistent Threat)による特定組織への持続的な攻撃、ゼロデイ攻撃による未知の脆弱性の悪用、スピアフィッシングによる標的型攻撃、そしてサプライチェーン攻撃による信頼される組織を経由した攻撃などが挙げられますが、中でも単純なのに防ぐことが難しい攻撃としてDDoS攻撃(Distributed Denial of Service attack)があります。
DDoS攻撃は複数の攻撃元から標的のシステムやネットワークに大量のトラフィックを集中させ、正常なサービス提供を妨害する攻撃手法です。攻撃者は、マルウェアに感染させた多数のコンピュータ(ボットネット)を利用して一斉に通信を行い、サーバーの処理能力やネットワーク帯域を枯渇させます。これにより、正規ユーザーからのアクセスが困難となり、ウェブサービスの停止や重大な経済的損失を引き起こす可能性があります。
DDoS対策としてはWAFが有効で、トラフィックの監視と分析を行い、一定時間内のリクエスト数制限、地理的位置情報に基づくアクセス制御、特定のユーザーエージェントやヘッダー情報によるフィルタリング、そしてレイヤー7レベルでの不正なリクエストのブロックを行います。

さらに、WAFでは正規表現パターンマッチングを使用して、既知の攻撃シグネチャと照合し、不正なトラフィックを検知・遮断します。また、レート制限機能により、特定のIPアドレスやセッションからの過剰なリクエストを制限することで、アプリケーションレイヤーでのDDoS攻撃を緩和します。
これらの対策に加えて、CDNの利用やスケーラブルなインフラストラクチャの構築、バックアップシステムの整備など、総合的な防御戦略を講じることが重要です。

まとめ

IPAが発表する情報セキュリティ10大脅威は、その年の代表的な脅威をランキング形式で示すことで、情報セキュリティに関する意識啓発を目的としています。しかし、このランキングはあくまでも全体的な傾向を示すものであり、各組織が直面するリスクは、業種や規模、取り扱うデータの性質などによって大きく異なります。 最も重要なのは、ランキングの順位にとらわれることなく、自社の事業環境や保有する情報資産を適切に評価し、それらに基づいて必要な対策を実施することです。例えば、ランキングの下位に位置する脅威であっても、自社にとっては深刻なリスクとなる可能性があります。
10大脅威は、情報セキュリティ対策を検討する際の有用な参考情報として活用しつつ、最終的には自社の状況に即した実効性のある対策を実施することが、組織の情報セキュリティ体制の強化につながります。

セキュリティ無料相談