昨今、情報セキュリティに関する脅威が巧妙化しており、企業の情報システム担当者は対応を迫られています。適切なセキュリティ対策を実施するために、まずは情報セキュリティ脅威の実態を把握することが必要です。
そこで本記事では、情報処理推進機構(IPA)が公開した「情報セキュリティ10大脅威2025」を基に、今企業に求められる対策についてご紹介します。
ページコンテンツ
IPAが公開!2025年の情報セキュリティ10大脅威まとめ
情報セキュリティ10大脅威は、前年に発生したセキュリティ攻撃や事故から脅威を選定し、10位までランキング付けしたものです。2006年から毎年、情報セキュリティ対策を広めることを目的として、独立行政法人情報処理推進機構(IPA)が発表しています。
2025年の10大脅威は、2024年に発生した社会的影響の大きい情報セキュリティ事案を基に、2025年1月に公開されました。
2025年の情報セキュリティ脅威については以下の表の通りです。
|
順位 |
「組織」への脅威 |
|
1 |
ランサム攻撃による被害 |
|
2 |
サプライチェーンや委託先を狙った攻撃 |
|
3 |
システムの脆弱性を突いた攻撃 |
|
4 |
内部不正による情報漏えい等 |
|
5 |
機密情報等を狙った標的型攻撃 |
|
6 |
リモートワーク等の環境や仕組みを狙った攻撃 |
|
7 |
地政学的リスクに起因するサイバー攻撃 |
|
8 |
分散型サービス妨害攻撃(DDoS攻撃) |
|
9 |
ビジネスメール詐欺 |
|
10 |
不注意による情報漏えい等 |
これらのセキュリティインシデントが多数発生しており、情報システム担当者はそれぞれの脅威について把握し、対策を進める必要があります。
2025年のセキュリティ脅威の特長
「情報セキュリティ10大脅威2025年」[組織編]のランキングには、何年連続と何回選出されたのか記載されています。2025年の情報セキュリティ10大脅威では、初めて選出された脅威や5年ぶりに選出された脅威がありました。以下で、2025年のセキュリティ脅威の特長について詳しく解説します。
1位、2位はランキングに変動なし
組織向け脅威の1位、2位は2024年に引き続き「ランサム攻撃による被害」と「サプライチェーンや委託先を狙った攻撃」が選ばれました。
1位に選出された「ランサム攻撃による被害」は 、2016年以降10年連続で選出されています。近年では、暗号化せずに金銭要求を行う攻撃として、「ノーウェアランサム」による攻撃や、DDoS 攻撃を仕掛けると脅迫するランサムDDoS 攻撃も確認されています。ランサムウェアによる攻撃は年々変化しており、最新の動向に注意しつつ、適切な対策の実施が重要です。
2位に選出された「サプライチェーンや委託先を狙った攻撃」は、2019年以降7年連続で選出されている脅威です。攻撃を受けた場合、機密情報の漏えいや信用の失墜等、さまざまな被害が発生します。また、攻撃の足掛かりとされれば、取引相手に損害を与えたことで取引相手の損失や損害賠償を求められることもあります。
長年選出され続けている脅威であっても、年々攻撃は巧妙化しており、基本的な対策の重要性は変わりません。最新の動向に注意しつつ、適切な対策の実施が重要です。
地政学的リスクに起因するサイバー攻撃が初選出
組織向け脅威の7位に選出された「地政学的リスクに起因するサイバー攻撃」は、2025年のセキュリティ10大脅威で初めて選出されました。「地政学的リスクに起因するサイバー攻撃」とは、政治的に対立する周辺国に対して、社会的な混乱を引き起こすことを目的としたサイバー攻撃を行う国家の関与が疑われるサイバー攻撃です。
攻撃を受けて国の重要インフラが使用不能に陥ることや、情報の改ざんや削除が行われて情報に正しくアクセスできなくなるなど、社会的な混乱が引き起こされるおそれがあります。また、国や組織の機密情報が盗み出されることにより、社会情勢の混乱を招くおそれもあります。
2024年10月に確認された事例では、ロシアを支持するハッカー集団が、日本の自治体や交通機関などのWebサイトに対してサイバー攻撃を行いました。ある自治体のWebサイトには海外からアクセスが集中し、数時間閲覧しにくい状態が続いたほか、自民党、その他自治体、交通関連の企業などのサイトも、一時的に閲覧しにくい状態になっていたことが確認されています。
リモートワーク等の環境や仕組みを狙った攻撃が浮上
6位に選出された「リモートワーク等の環境や仕組みを狙った攻撃」は2021年から5年連続5回目の選出です。2024年の組織向けランキングでは、「テレワーク等のニューノーマルな働き方を狙った攻撃」として9位に選出されており、順位が浮上しました。
近年ではリモートワークの実現に必要な環境や仕組みを狙ったサイバー攻撃が多発しており、攻撃を受けると社内システムへのマルウェア感染などさまざまな不正アクセスの被害が起きるおそれがあります。また、業務の停止や遅延が生じ、業務の再開まで大きな影響を及ぼす恐れもあります。
警察庁によると、2024 年上半期におけるランサムウェア被害(47 件)のうち、感染経路はVPN 機器経由が22 件、リモートデスクトップ経由が17 件でした。またランサムウェア被害のうち、リモートワークに利用される機器などの脆弱性や強度の低い認証情報を悪用されたと考えられる割合が約 83.0%を占めています。
2022年、2023年とリモートワーク環境に関連した攻撃は増加傾向にあり、リモートワーク環境が依然として狙われていることを示しています。
分散型サービス妨害攻撃(DDoS攻撃)が再選出
5年ぶり6回目の選出となったのが8位に入選した「分散型サービス妨害攻撃(DDoS攻撃)」です。分散型サービス妨害攻撃(DDoS攻撃)とは、処理能力を超える負荷をサーバーにかけて高負荷状態にさせたり、回線帯域を占有してサービスを利用不能にしたりする攻撃のことを指します。
この攻撃は組織の事業に大きな影響を及ぼすだけではなく、人々の日常生活にも支障をきたすおそれもあります。2024年の年末から2025年の年始にかけて日本の企業に対するDDoS攻撃が多発しました。
2024年12月、ある航空会社が大規模な DDoS 撃を受けて一部のシステムに障害が発生したと公表しました。この障害により当日の国内線、国際線のチケット販売が一時停止するなどの影響が出たほか、航空便を利用する日本郵便の郵便物や宅配便など一部の配達にも影響が出たことが確認されています。
2025年の情報セキュリティ10大脅威対策
選出された情報セキュリティ10大脅威は、順位に関係なくしっかりと対策しておくことが大切です。ここでは、各攻撃に対するセキュリティ対策について詳しく解説します。
ランサム攻撃による被害に対する対策
ランサム攻撃は、PCやシステムに保存されているデータを暗号化し、人質として復号のために被害者に金銭(ランサム=身代金)を要求する攻撃です。
近年では、VPN機器などの外部公開サーバの脆弱性や設定不備が感染経路になるケースが増加しています。その他にも、サプライチェーンの弱点を悪用した攻撃と組み合わせた攻撃事例が報告されているほか、感染拡大や機密情報の漏えいなど二次被害を伴う広範囲の攻撃事例も増加傾向にあります。
被害の予防および被害に備えた対策としては、以下のような例を参考にしましょう。
- インシデント対応体制を整備する
- 添付ファイルの開封やリンク、URL のクリックを安易にしない
- 多要素認証の設定を有効にする
- 提供元が不明なファイルを実行しない
- 共有サーバーなどへのアクセス権の最小化と管理の強化をする
- 公開サーバーへの不正アクセス対策を施す
また、WORM(Write Once Read Many)機能などのバックアップ自体の暗号化に対する対策も有効です。
万が一被害を受けた場合は迅速な報告と報告を行い、適切なバックアップ運用を定期的に行っておき、インシデント対応体制を整備し備えましょう。
サプライチェーンや委託先を狙った攻撃に対する対策
サプライチェーンや委託先を狙った攻撃は、標的とする企業に直接攻撃を避けセキュリティ対策に弱点がある関連企業や取引先・委託先企業に攻撃を仕掛け、この企業を踏み台としてターゲット企業に不正侵入を行います。
2024年は委託先を標的とした攻撃が相次ぎ、脅威名に委託先が加筆されました。業務委託業者からの顧客情報の漏えいや、委託先への攻撃に起因するサービスの停止などの事例が報告されたほか、ソフトウェアサプライチェーンの悪用のおそれがある事例も報告されています。
このような攻撃の被害の予防および被害に備えた対策としては、以下のような例が挙げられます。
- 業務委託のセキュリティ対策が適切か定期的に確認、検討
- セキュリティ評価サービス(SRS)を用いた自組織のセキュリティ対策状況の把握
- 信頼できる委託先、取引先、サービスの選定
- 組織間の取引や委託契約における情報セキュリティ上の責任範囲を明確化し、合意
- 委託先組織の管理
- 納品物の検証
システムの脆弱性を突いた攻撃に対する対策
システムの脆弱性を突いた攻撃では、情報の公開後、パッチ適用をしていないシステムを狙って脆弱性を突く攻撃を仕掛けたり、パッチなどの対応策が広く公表される前にその脆弱性(ゼロデイ脆弱性)を悪用して行われる場合があります。
対策としては、以下のような例が挙げられます。
- 脆弱性情報の収集、対策状況の管理、パッチマネジメントの実施
- 利用している資産の把握、管理体制の整備
- 情報資産の重要度に応じて格付けした上で機密情報の管理者を定める
システムの脆弱性を突いた攻撃では被害の早期検知が重要です。早期検知のためにサーバーや PC、ネットワークに適切なセキュリティ対策をしておきましょう。万が一、被害を受けてしまうと影響範囲調査や原因究明、その他被害の報告や情報公開などの対応が求められます。定期的にバッチファイルを更新し、OSを最新の状態に保つほか、早期検知のためにサーバーや PC、ネットワークに適切なセキュリティ対策をしておきましょう。
内部不正による情報漏えい等に対する対策
内部不正による情報漏えい等に対する被害の予防および被害に備えた対策は、以下のような例が挙げられます。
- 基本方針の策定
- 情報リテラシー、モラル醸成、法令順守のための定期的な人材教育
- 機密情報の管理、保護
- 物理的管理の実施
- 必要に応じ、秘密保持義務を課す誓約書の取り交わし
- 適切なアクセス権限の設定、退職者のアクセスログ管理
被害の早期発見のためには、システム操作履歴の監視が有効です。具体的な行動としては、機密情報へのアクセス履歴や利用者の操作履歴などのログ、証跡の記録、監視が必要です。また、アクセスログの収集と管理について従業員に周知して不正な持ち出しを抑制しましょう。
リモートワーク等の環境や仕組みを狙った攻撃に対する対策
企業のDXが進み、テレワークやリモートワークは新しい働き方として受け入れられるようになりました。近年は、オフィス出社回帰の傾向が見られるものの、リモートワーク等の環境や仕組みを狙った攻撃は年々増加傾向にあります。
リモートワーク等の環境や仕組みを狙った攻撃に対して、従業員は組織のリモートワークの規則を遵守(使用する端末、ネットワーク環境、作業場所など)する、家庭環境のネットワーク機器の設定の見直しやファームウェアの更新を行うなどの対策ができます。
セキュリティ担当者、システム管理者による被害の予防および被害に備えた対策は以下のような例が挙げられます。
- シンクライアント、VDI、ZTNA/SDPなどのセキュリティに強いリモートワーク環境の採用
- リモートワークの規程や運用規則の整備
- サポート切れやメンテナンスが行えない機器の使用を避ける
- ネットワークレベル認証(NLA)を行う
IPA では「テレワークを行う際のセキュリティ上の注意事項」のページを公開しています。このページでは、リモートワークを行う際のセキュリティ上の注意事項に加え、リモートワークから職場に戻る際のセキュリティ上の注意事項も解説しているので、被害を受けた後の対応などについて参考にすると良いでしょう。
分散型サービス妨害攻撃(DDoS攻撃)に対する対策
2024年12月26日以降、国内の複数の企業に対してDDoS攻撃が確認されました。用いられた攻撃手法は、ネットワーク帯域消費型とシステム資源消費型の混成性の攻撃と考えられており、DDoS攻撃による被害の大きさは国内過去最大規模です。また、サイバー攻撃の代行サービスを使った攻撃も確認されており、未成年の摘発事例もありました。
DDoS攻撃の対策はwebサイトの運営者とサービス事業者で異なります。
webサイトの運営者の対策方法としては、DDoS攻撃の影響を緩和するCDNの利用、WAF・IDS/IPS・DDoS対策サービスの導入などが挙げられます。サービス事業者の対策方法は、公開サーバーの設定の見直し(DNS サーバーや NTP サーバーなど)、サポートの切れたloT機器を使用しないなどIoT 機器の脆弱性対策が有効です。
webサイトの運営者は、被害を確認したらCSIRTへの連絡、WAF・IDS/IPS・DDoS対策サービスの導入、通信制御(攻撃元 IP アドレスからの通信をブロックなど)、利用者への状況の告知などの対応が必要です。
ビジネスメール詐欺に対する対策
ビジネスメール詐欺とは、取引先担当者になりすまし、ターゲットに金銭を送金させる手口です。攻撃者は事前に企業のメールを盗み見るなどして、本物と見間違うような文面で攻撃を仕掛けてくるので見破るのが困難な場合があります。
ビジネスメール詐欺に関する対策方法は以下のような例が挙げられます。
- セキュリティリテラシーの啓蒙(従業員への教育や訓練)
- ガバナンスが機能する業務フローの構築
- 振込依頼について電話など複数の手段での確認
- メールの電子署名の付与(S/MIME や PGP)
- 送信ドメイン認証の導入(DKIMやDMARC)
ビジネスメール詐欺では、判断を急がせるメールに注意しておきましょう。至急の対応を要求するなど、担当者に真偽を判断する時間を与えないようにする手口も有りうるため、真偽を確認するフローを予め策定しておくと安心です。
不注意による情報漏えい等に対する対策
メール誤送信やクラウドサービスへのファイルの誤ったアップロードなど、不注意により意図せぬ相手に情報を漏えいしてしまうことがあります。近年では、クラウドサービスの設定ミスなどにより、非公開情報が誰でも閲覧可能になってしまう事案も増加しています。
不注意による情報漏えい等を防ぐためには以下のような対策例が挙げられます。
- メール誤送信システムの導入
- 情報リテラシー、モラルの向上
- 確認プロセスの策定とこれに基づく運用
- 情報の保護(暗号化、認証)、機密情報の格納場所の把握、可視化
- MDMの導入
生成AIに機密情報を入力してしまうケースも新たなリスクとして注目を集めています。入力したデータがAIの学習に取り込まれ、他者への応答に機密情報が現れてしまう可能性があります。そのため生成AIツールに備わるフィルター機能を活用したり、生成AIの利用状況を監視するなどして、組織としても対策を行うことが望ましいです。
最新の脅威に対応可能なゼロトラスト型セキュリティ
ランサムウェアやゼロデイ攻撃などの最新の脅威に対して、すべての通信を信頼しないことを前提にした仕組みである「ゼロトラスト」の考え方が重要になっています。
ゼロトラスト型エンドポイントセキュリティの「AppGuard」は、マルウェアかを判断するのではなく、OSに害のある動きをすべてブロックして無効化します。これにより、悪意あるプログラムに侵入されても発症を防ぎ、マルウェアの侵入に対してOSの正常な動作を守ります。また、ファイルサーバーや業務サーバーだけでなく、ADサーバーの掌握を目的とした直接攻撃からも守ってくれます。
そのほか、バックアップ対策やWebアプリケーション保護の対策も大切です。
例えば、「Synology NAS」を使うと、ランサムウェアに感染しても簡単にデータ復元が可能です。データを不可変な状態で保存する「イミュータブルスナップショット機能」を持っており、データの完全性と復元性を確保します。また、管理者権限が奪われても指定した期間のデータを保護してくれます。
また、DDoS対策やホームページの改ざん防止としてWAFの導入が有効です。Webアプリケーションの脆弱性を突いたあらゆる脅威からサイトを安全に保護します。シグネチャのアップデートが不要なロジックベース検知エンジンを搭載しています。
情報セキュリティ対策を効果的に実施するためには、まずどのような脅威があるかを知ることが大切です。日々進化し巧妙化するサイバー攻撃の手法や、実際に発生した被害事例を把握すれば、自組織にとって必要な対策を見極め、適切な防御策を実施できます。
最新のセキュリティ動向を常に注視し、想定されるリスクに備え、組織の情報資産を守りましょう。当社では、さまざまなニーズに対応できる幅広いセキュリティソリューションを取り扱っており、専門的な知識を有するスタッフがお客様の課題に合わせた最適なソリューションをご提案します。お気軽にお問い合わせください。
