情報処理推進機構(IPA)は、情報セキュリティにおける脅威のうち、2024年に社会的影響が大きかったトピックを「情報セキュリティ10大脅威 2025」として公表した。
情報セキュリティ10大脅威 2025(組織)
- ランサム攻撃による被害
- サプライチェーンや委託先を狙った攻撃
- システムの脆弱性を突いた攻撃
- 内部不正による情報漏えい等
- 機密情報等を狙った標的型攻撃
- リモートワーク等の環境や仕組みを狙った攻撃
- 地政学的リスクに起因するサイバー攻撃
- 分散型サービス妨害攻撃(DDoS攻撃)
- ビジネスメール詐欺
- 不注意による情報漏えい等
情報セキュリティ10大脅威 2025(個人)
- インターネット上のサービスからの個人情報の窃取
- インターネット上のサービスへの不正ログイン
- クレジットカード情報の不正利用
- スマホ決済の不正利用
- 偽警告によるインターネット詐欺
- ネット上の誹謗・中傷・デマ
- フィッシングによる個人情報等の詐取
- 不正アプリによるスマートフォン利用者への被害
- メールやSMS等を使った脅迫・詐欺の手口による金銭要求
- ワンクリック請求等の不当請求による金銭被害
「組織」向け脅威について、1位の「ランサム攻撃による被害」と2位の「サプライチェーンや委託先を狙った攻撃」は昨年と順位が変わらない一方、昨年7位の「システムの脆弱性を突いた攻撃」が3位に順位を上げている。これは、昨年5位の「修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃)」を今回「システムの脆弱性を突いた攻撃」に統合した影響が一因として考えられるとしている。また、今回新設した「地政学的リスクに起因するサイバー攻撃」が7位に選出。具体例として、国家の関与が疑われるとされるサイバー攻撃が挙げられるという。また、年末年始にも見られた「分散型サービス妨害攻撃(DDoS攻撃)」が2020年以来再びランクインしている。
「組織」向け脅威への対策について、IPAはセキュリティ対策情報を継続的に収集し、使用している機器やサービスに適切なセキュリティ対策を講じつつ、各脅威が自組織の事業や体制にどのようなリスクがあるのか洗い出すことが重要だという。
「個人」向け脅威は、すべて前年と同じラインアップになっている。しかし、前年と同じ脅威であっても取り巻く環境も同じというわけではないとしてIPAは注意を呼び掛ける。
情報セキュリティ10大脅威 2025の詳しい解説は、2月下旬以降、順次IPAのウェブサイトで公開する予定だとしている。
【関連記事】
・防衛省・経産省・IPAが日本のサイバー安全保障強化に向け連携協定を締結
・IPA「データ利活用・データスペースガイドブック第1.0版」公開 戦略策定から運用までを8段階で提示
・Windows 10のサポートが終了、IPAがセキュリティリスクを注意喚起
