こんにちは。ランシステムのヒロ田中です。今回のお知らせです!
独立行政法人情報処理推進機構(IPA)は、前年のセキュリティ事故や攻撃動向を分析し、専門家による評価をもとに「情報セキュリティ10大脅威2025」を発表しました。これは日本のサイバーセキュリティの優先課題を把握するうえで、極めて重要な指針です。
サイバー攻撃は新旧の手口が混在し、日々進化しています。今年は特に「地政学的リスクに起因するサイバー攻撃」が初めてランクインし、攻撃者の高度化と国際情勢の影響が浮き彫りとなりました。こうした状況に対しては、基本的な対策の徹底に加え、最新動向への柔軟な対応が求められます。
前回のコラムでは、ゼロトラスト、EPP、EDRといった現代のサイバーセキュリティ戦略を「家のセキュリティ」に例えて解説しました 。IPAの報告書が示すように、内部不正や不注意など「人」に起因する脅威が多いことから 、いかに高度な技術を導入しても、それを運用する人の意識やモラルが低ければ効果は半減します。したがって、これらの技術的ソリューションは、個人の情報リテラシーと情報モラルの向上 という「人の対策」とセットで考えることで、組織全体のサイバーレジリエンスが真に強化されます。
組織を狙うサイバー脅威の最前線
2025年「組織編」の概要と注目すべき傾向
2025年の「情報セキュリティ10大脅威【組織編】」は、企業が直面するサイバーリスクの現状を明確に示しています。このランキングは、企業がサイバーセキュリティへの投資とリソース配分を決定する上で極めて重要な情報源となります。特に上位の脅威は、その広範な影響と高い発生頻度から、企業が最優先で対策を講じるべき領域を示唆しています。
情報セキュリティ10大脅威2025【組織編】
| 順位 | 「組織」向け脅威 | 初選出年 | 10大脅威での取り扱い(連続回数) |
|---|---|---|---|
| 1 | ランサム攻撃による被害 | 2016年 | 10年連続10回目 |
| 2 | サプライチェーンや委託先を狙った攻撃 | 2019年 | 7年連続7回目 |
| 3 | システムの脆弱性を突いた攻撃 | 2016年 | 5年連続8回目 |
| 4 | 内部不正による情報漏えい等 | 2016年 | 10年連続10回目 |
| 5 | 機密情報等を狙った標的型攻撃 | 2016年 | 10年連続10回目 |
| 6 | リモートワーク等の環境や仕組みを狙った攻撃 | 2021年 | 5年連続5回目 |
| 7 | 地政学的リスクに起因するサイバー攻撃 | 2025年 | 初選出 |
| 8 | 分散型サービス妨害攻撃(DDoS攻撃) | 2016年 | 5年ぶり6回目 |
| 9 | ビジネスメール詐欺 | 2018年 | 8年連続8回目 |
| 10 | 不注意による情報漏えい等 | 2016年 | 7年連続8回目 |
ランサム攻撃、内部不正、標的型攻撃が10年連続でランクインしていることは、これらの脅威がもはや「特殊な事象」ではなく、企業にとって「常態的なリスク」として認識し、恒久的な対策を講じる必要があることを強く示唆しています。一方で、「地政学的リスクに起因するサイバー攻撃」が初めて選出されたことは、国際情勢の不安定化がサイバー空間に直接的な影響を及ぼし、企業が従来のセキュリティ対策の枠を超えて、より広範なリスク要因を考慮する必要があるという新たな課題を突きつけています。これは、セキュリティ対策が技術的な問題だけでなく、経営戦略や国際情勢といったマクロな視点と結びつく時代に入ったことを意味しており、経営層から現場まで共通認識を持つための基礎となります。特に連続ランクインしている脅威は、その持続的な危険性を示唆し、初選出の脅威は新たな警戒点を示すため、戦略的な対策立案に不可欠です。
特に警戒すべき上位脅威の深掘り
組織が直面するサイバー脅威は多岐にわたりますが、ここでは特に警戒すべき上位の脅威に焦点を当て、その概要と対策の要点をコンパクトに解説します。
- ランサム攻撃による被害(1位)
- ランサムウェアは、端末のロックやデータの窃取・暗号化を通じて業務継続を困難にする攻撃です。金銭の支払いを強要するために複数の脅迫手法を組み合わせることが多く、RaaS(Ransomware as a Service)やDDoS攻撃を仕掛けると脅迫する「ノーウェアランサム」も確認されています 。
- 2024年には、KADOKAWAがランサムウェア攻撃を含む大規模なサイバー攻撃を受け、約25万4,000人分の個人情報や企業情報が漏えいし、SNSで拡散される事態が発生しました 。これらの事例が示すように、ランサムウェアは単なるデータ暗号化に留まらず、情報窃取と公開による脅迫(二重脅迫)や、サービスとしての提供(RaaS)へと進化しています。リモートワーク環境の脆弱性が侵入経路となるケースも確認されており、対策の重要性が増しています 。
- 対策としては、経営層によるインシデント対応体制の整備、多要素認証の有効化、適切なバックアップ運用(WORM機能の活用を含む)を徹底し、身代金は原則として支払わない方針を堅持することが重要です 。
- サプライチェーンや委託先を狙った攻撃(2位)
- この種の攻撃は、調達から販売、業務委託といった一連の商流において、セキュリティ対策が手薄な組織を攻撃の足掛かりとします。ソフトウェアサプライチェーンの悪用や、取引先・業務委託先からの情報漏えいを引き起こす手口が確認されています 。
- 2024年には、イセトーがVPN経由の不正アクセスを受け、自治体だけでも約50万件以上の個人情報が漏えいした可能性が公表されました 。また、Linux環境で広く利用されている「XZ Utils」に共同開発者によって悪意あるコードが仕込まれた事例も発生しています 。これらの事例は、直接的な攻撃だけでなく、セキュリティ対策が手薄な「取引先」や「委託先」が攻撃の足掛かりとなり、最終的な標的(自組織やその顧客)に被害が及ぶ「間接的な攻撃」が主流になっていることを示しています。これは、自組織だけでなくサプライチェーン全体のセキュリティレベルを把握し、管理する「エコシステム全体での防御」が不可欠であることを意味します 。
- 対策としては、経営層によるインシデント対応体制の整備、信頼できる委託先の選定と管理、契約内容の確認、納品物の検証(SBOMの活用を含む)など、サプライチェーン全体でのセキュリティ対策が不可欠です 。
- 地政学的リスクに起因するサイバー攻撃(7位)
- 地政学的リスクに起因するサイバー攻撃は、政治的に対立する周辺国に対し社会的な混乱を引き起こすことを目的とした国家によるサイバー攻撃を指します。嫌がらせや報復、機密情報窃取、外貨獲得など、その動機は多岐にわたります 。
- 2024年には、ロシアを支持するハッカー集団が日本の自治体や交通機関等のウェブサイトに対してDDoS攻撃を行ったことをSNSに投稿しました 。また、中国の関与が疑われるサイバー攻撃グループMirrorFaceが、日本の学術機関や政治家などを標的に情報窃取を目的としたサイバー攻撃を行っていたことも確認されています 。
- 「地政学的リスクに起因するサイバー攻撃」が初めて選出されたことは、国際政治の緊張がサイバー空間に直接的に反映され、国家が関与する攻撃が顕在化していることを示しています。これは、企業がサイバーセキュリティを単なるITリスクとして捉えるだけでなく、国家安全保障の文脈で「国家レベルの脅威」として認識し、政府機関との連携や脅威インテリジェンスの活用を通じて、より高度な防御戦略を構築する必要があることを意味します 。
- 対策としては、経営層による地政学的リスクの情報収集と影響調査、インシデント対応体制の整備、DDoS対策、多要素認証の利用、適切なバックアップ運用などが求められます 。
個人が直面するサイバーリスクと自己防衛の鍵
2025年「個人編」の概要と変わらぬ脅威の性質
「情報セキュリティ10大脅威2025 個人編」では、2023年以降、全ての脅威が連続してランクインしており、その攻撃手口の多くが古くから使われ続けているものであると指摘されています 。個人向けの脅威は順位付けがされておらず、五十音順で表記されています。これは、「上位の脅威が必ずしも危険度が高いとは限らない」という考えに基づき、各個人の立場やインターネット利用状況によって危険度が異なるため、読者自身が「自分にとってどのような危険があるのか」を考えながら対策を講じることの重要性を強調しています 。
このアプローチは、セキュリティ対策が画一的なものではなく、個人のライフスタイルや利用サービスに合わせたカスタマイズが必要であるという認識の表れです。個人のセキュリティ意識の低さが、結果的に組織全体のサプライチェーンリスクの一部となり得るという、より広範な影響を指摘しています。したがって、個人のセキュリティ対策は、単に自己防衛に留まらず、社会全体のサイバーレジリエンスを高める上で不可欠な要素となります。
情報セキュリティ10大脅威2025【個人編】
| 「個人」向け脅威 | 初選出年 | 10大脅威での取り扱い (2016年以降) |
|---|---|---|
| インターネット上のサービスからの個人情報の窃取 | 2016年 | 6年連続9回目 |
| インターネット上のサービスへの不正ログイン | 2016年 | 10年連続10回目 |
| クレジットカード情報の不正利用 | 2016年 | 10年連続10回目 |
| スマホ決済の不正利用 | 2020年 | 6年連続6回目 |
| 偽警告によるインターネット詐欺 | 2020年 | 6年連続6回目 |
| ネット上の誹謗・中傷・デマ | 2016年 | 10年連続10回目 |
| フィッシングによる個人情報等の詐取 | 2019年 | 7年連続7回目 |
| 不正アプリによるスマートフォン利用者への被害 | 2016年 | 10年連続10回目 |
| メールや SMS 等を使った脅迫・詐欺の手口による金銭要求 | 2019年 | 7年連続7回目 |
| ワンクリック請求等の不当請求による金銭被害 | 2016年 | 3年連続5回目 |
個人編の各脅威と対策のポイント
- インターネット上のサービスからの個人情報の窃取
- インターネットサービスからの個人情報窃取は、不正アクセスや不正ログインにより発生し、窃取された情報は詐欺や不正利用に繋がります 。2024年には積水ハウスやJF全漁連、WorkPortで大規模な情報漏えい事例が報告されています 。対策として、不要なサービスの退会、多要素認証の利用、認証情報の適切な運用が重要です。早期検知のためには、利用明細やログイン履歴の定期的な確認、漏えい検索サービスの活用が推奨されます 。
- インターネット上のサービスへの不正ログイン
- 不正ログインは、不正に入手したIDとパスワードで第三者がサービスにログインし、アカウント乗っ取りや情報窃取を行う脅威です 。フィッシングやマルウェア感染、パスワードリスト攻撃などが手口です 。2024年には日産カーシェアや明治薬科大学、LINEビジネスIDで不正ログイン被害が報告され、金融庁も証券会社を装った不正アクセスに注意喚起しています 。対策は、ブックマークからのアクセス、セキュリティソフトの利用、多要素認証の有効化、不審なリンクの回避、不要サービスの退会、利用履歴の定期確認が有効です 。
- ネット上の誹謗・中傷・デマ
- ネット上の誹謗・中傷・デマは、匿名での発信や情報の拡散・改変により、社会的な混乱や経済的損失、法的問題を引き起こします 。2024年にはタレントの誹謗中傷による活動休止や、医師の不適切投稿による解任事例が発生しました 。2025年4月には「情報流通プラットフォーム対処法」が施行され、プラットフォーム事業者の削除対応が義務化されました 。対策は、情報リテラシー・モラルの向上、情報の信頼性確認、誹謗中傷の回避、発信内容への十分な留意、被害時の削除依頼と相談が重要です 。
共通の対策と未来への備え
サイバー脅威は日々進化し、その手口は巧妙化しています。しかし、多くの脅威に共通して有効な基本的な対策が存在します。これらの対策を日常的に意識し、実践することで、インターネットやスマートフォン利用におけるリスクを一定程度低減することが可能です。
情報セキュリティ対策の基本
IPAが提唱する「情報セキュリティ対策の基本」は、サイバー攻撃の「糸口」を5つに分類し、それぞれに対応する対策を示しています。技術の進歩やサービスの多様化が進む現代においても、これらの基本的な手口は依然として使われ続けており、基本的な対策の重要性は変わりません 。
情報セキュリティ対策の基本
- ソフトウェアの脆弱性
ソフトウェアの更新:脆弱性を解消し、脆弱性の悪用による攻撃のリスクを低減する
- マルウェアに感染
セキュリティソフトの利用:攻撃を検知してブロックする
- パスワード窃取
パスワードの管理・認証の強化:パスワード窃取による情報漏えい等のリスクを低減する
- 設定不備
設定の見直し:誤った設定を逆手にとった悪用を回避する
- 誘導(罠にはめる)
脅威・手口を知る:手口から重視すべき対策を理解する
複数の脅威に有効な「共通対策」
IPAは、10大脅威にランクインしているほとんどの脅威に有効な「共通対策」を提示しています。これらの対策を「情報セキュリティ対策の基本」と併せて実施することで、より効率的に広範囲な対策を進めることが可能になります。
複数の脅威に有効な共通対策
| 対策 | 対象 |
|---|---|
| 認証情報を適切に運用する | 個人、組織 |
| 情報リテラシー、情報モラルを向上させる | 個人、組織 |
| メールの添付ファイルの開封、メールや SMS のURL リンクのクリックを安易にしない | 個人、組織 |
| 適切な報告/連絡/相談を行う | 個人、組織 |
| インシデント対応体制を整備し対応する | 組織 |
| サーバーや PC、ネットワーク機器に適切なセキュリティ対策を行う | 個人、組織 |
| 適切なバックアップ運用を行う | 個人、組織 |
これらの共通対策は、現代のサイバーセキュリティ戦略において、技術的なソリューションと並び、人間の行動と意識が極めて重要であることを示しています。例えば、「認証情報を適切に運用する」ことは、パスワードの使い回しを避け、多要素認証を活用することで、不正ログインや情報窃取のリスクを大幅に低減します 。また、「情報リテラシー、情報モラルを向上させる」ことは、偽情報や詐欺手口を見破る力を養い、不注意による情報漏えいを防ぐ基盤となります 。特に、「メールの添付ファイルの開封、メールやSMSのURLリンクのクリックを安易にしない」という行動は、フィッシングやマルウェア感染の主要な経路を遮断する上で極めて重要です 。
技術と人の融合で築くレジリエンス
前回のコラムで解説したゼロトラスト、EPP、EDRといった技術的な概念は、今回のIPAの報告書が示す多様な脅威に対抗するための強力なツールです。しかし、これらの高度な技術を導入したとしても、それを運用する「人」の意識やモラルが低ければ、その効果は半減してしまいます。例えば、EPPやEDRが不審な活動を検知しても、従業員がその警告を無視したり、ゼロトラストの原則である「決して信頼せず、常に検証する」が組織文化として根付いていなければ、セキュリティの穴は埋まりません。
個人のセキュリティ意識の低さが組織全体のサプライチェーンリスクの一部となり得るように、個人の情報リテラシーと情報モラルの向上は、組織全体のサイバーレジリエンスを真に強化するための不可欠な要素です。これは、技術的なソリューションが、個人の意識と行動変容を促す教育と一体となって初めて、その真価を発揮することを示唆しています。企業は、従業員一人ひとりがセキュリティの「最後の砦」であるという認識を持ち、継続的な教育と訓練を通じて、セキュリティ意識を組織全体に浸透させる必要があります。
まとめ
IPAが発表した「情報セキュリティ10大脅威2025」は、サイバー攻撃が依然として高度化・多様化している現状を明確に示しています。ランサム攻撃や標的型攻撃といった既存の脅威が常態化する一方で、地政学的リスクに起因する攻撃のような新たな脅威も顕在化しており、企業はこれらを経営戦略の一部として捉える必要があります。
今回の分析により、以下の重要な点が明らかになりました。
- 脅威の常態化と進化への対応: ランサム攻撃、内部不正、標的型攻撃はもはや特殊な事象ではなく、企業はこれらに対する恒久的な対策を講じる必要があります。同時に、地政学的リスクのような新たな要因がサイバー空間に直接影響を及ぼす時代に入り、従来のセキュリティ対策の枠を超えた広範なリスク要因の考慮が求められます。
- サプライチェーン全体での防御の必要性: 委託先や取引先を狙った攻撃の増加は、自組織だけでなく、サプライチェーン全体のセキュリティレベルを把握し、契約、監査、技術的検証を通じて管理する「エコシステム全体での防御」が不可欠であることを強調しています。
- ヒューマンエラーの普遍性と組織的対策の重要性: 不注意による情報漏えい事例が示すように、いくら技術的な防御を固めても、最終的に情報を扱う「人」の行動がリスクとなる普遍的な課題が存在します。情報リテラシーやモラルの向上といった個人の意識改革だけでなく、自動化やシステム化、厳格な確認プロセス、DLP製品導入といった「組織的な仕組み」でヒューマンエラーを補完する対策が不可欠です。
- リモートワーク環境の継続的な脆弱性: VPN機器やリモートデスクトップ経由の攻撃がランサムウェア感染経路の大部分を占める事実は、リモートワーク環境におけるセキュリティ対策が、従業員のセキュリティ意識の継続的な向上と、組織としての包括的なリスク管理体制の構築が不可欠であることを示しています。
- AI技術による詐欺の高度化への警戒: 生成AIやディープフェイクを活用したビジネスメール詐欺の増加は、従来の判断基準が通用しなくなりつつあることを示唆しています。技術的なメールフィルタリングに加え、AI技術を悪用した詐欺手口に関する従業員教育、そして「多要素認証」や「多段階承認プロセス」といった「信頼の多重確認」の徹底が喫緊の課題です。
これらの知見を踏まえ、企業および個人は下記の対応をすべきと考えています。
- 多層防御の徹底と継続的な見直し: ゼロトラストの考え方を基盤とし、EPPやEDRといった技術的な防御策を導入しつつ、それらが最新の脅威に対応できるよう継続的に更新・最適化を行うべきです。
- 「人」への投資と意識改革: 情報リテラシー、情報モラルの向上に向けた継続的な教育と訓練は、技術的な対策と同等、あるいはそれ以上に重要です。従業員一人ひとりがセキュリティリスクを「自分ごと」として捉え、適切な行動を取れるよう、組織的な支援を強化すべきです。
- サプライチェーン・リスク管理の強化: 自社だけでなく、取引先や委託先のセキュリティレベルを可視化し、契約面での要件定義、定期的な監査、SBOM(ソフトウェア部品構成表)の活用などにより、サプライチェーン全体のリスクを低減する取り組みを推進すべきです。
- インシデント対応体制の確立と訓練: 万が一の事態に備え、CSIRTの構築、明確な報告・連絡・相談フローの確立、そして実効性のある訓練を定期的に実施し、有事の際の対応能力を高めるべきです。
サイバーセキュリティは、技術的な防御だけでなく、「人」の意識と行動、そして組織全体のガバナンスが一体となって初めて機能するものです。この複雑な課題に対し、私たちは常に学び、適応し、未来に向けて強靭なデジタル社会を築いていく必要があります。
おわりに:お客様の安心と事業の持続的な成長のために
ランシステムでは、お客様のビジネスをサイバー攻撃から守るための包括的なセキュリティソリューションを提供しています。ゼロトラスト、EPP、EDRを組み合わせた最適なセキュリティ戦略にご興味がございましたら、ぜひ当社のウェブサイトをご覧ください。お客様の安心と事業の持続的な成長を、ランシステムが強力にサポートいたします。
※本コラムに記載されている商品名または名称等は、各社の商標または登録商標です。