IPAの「10大脅威 2025」、昨年から何が変わった？ 5年ぶりにDDoS攻撃がランクインした背景

大規模インシデントが“サイバー意識変革”の発端に

　「情報セキュリティ10大脅威」は、直近1年間に発生した情報セキュリティ上の脅威の中から、特に顕著なものや特筆すべきものを10個選び、ランキング形式で提示するもの。IPAから毎年公開されており、情報セキュリティ対策の指針として多くの企業・組織が参考にしている。

　2025年に発表された最新版「情報セキュリティ10大脅威 2025」は、1月30日に公開されている。EnterpriseZineでも速報的に取り上げたところ、読者から大きな関心が寄せられた。

　この10大脅威の中に含まれる脅威の選定作業は、毎年11月頃から始まるという。まずはIPAの担当者が30個程度の候補を選出し、情報セキュリティ分野の研究者や企業の実務担当者などの有識者約200名で構成される「10大脅威選考会」で議論された後、投票によって「組織編」「個人編」でそれぞれ10個に絞られる。組織編においては、その投票数が多かった順にランク付けされる流れだ。

　10大脅威選考会で選定する際に一つの基準となるのが、「社会的なインパクトや被害規模」だと篠塚氏は話す。情報セキュリティ10大脅威 2025の策定においては「2024年11月から検討が始まりました。選考会による投票を経て2025年1月末に最終結果を公開しています」と振り返る。

　2024年に「情報セキュリティ10大脅威 2024」が公開されてから約1年が経過している。篠塚氏によると、その間に脅威の傾向に大きな変化はなかったものの、インシデント数などは若干増加したという。また2024年6月に起きたKADOKAWAへのランサムウェア攻撃や、2024年末に発生したJALへの大規模DDoS攻撃などのインシデントが大きく報道されたことで、企業のセキュリティ意識には変化が見られると説く。

　「この1年間でインシデントの数が大きく増えたということはありません。しかし、2024年は大規模なサイバー攻撃事例がいくつかメディアで大々的に取り上げられました。これによって、海外から受けるサイバー攻撃のリスクに関する認知度や危機意識が企業の間でかなり高まってきたように感じます」（篠塚氏）

DDoS攻撃が5年ぶりにランクイン、巧妙化し続ける手口

　今回公開された10大脅威 組織編の1位は「ランサム攻撃による被害」だ。2021年から5年連続でランサムウェア関連の脅威が1位を占め続けていることになるが、この5年の間で攻撃の手口は進化している。従来のランサムウェア攻撃はシステムを暗号化して身代金を要求する手口が主流だったが、これに対抗すべく企業側がデータバックアップ体制を強化し始めていることを受け、攻撃者側も徐々に戦略を変更しつつあると篠塚氏は指摘する。

　そこで新たな攻撃手法として用いられているのが「ノーウェアランサム」だ。攻撃者はシステムを暗号化せずにデータを盗み出し、「このデータを公開されたくなければ身代金を払え」と脅す。昨今はこうした手法が多く見られるようになってきているという。

　また、昨今顕著に見られるランサムウェア攻撃の傾向として、「RaaS（Ransomware as a Service）」と呼ばれるサービスの普及も挙げられる。これは代金と引き換えにランサムウェア攻撃を代行するサービスで、この他にもDDoS攻撃を代行する「DaaS（DDoS as a Service）」などサイバー攻撃を代行するSaaSサービスがダークウェブで普及し、市場を拡大している。このような“サイバー犯罪がサービス化”される傾向は海外で5～6年前から既に広く確認されていたが、近年では日本の企業・組織をターゲットにした攻撃でも広く利用されるようになっている。

　DDoS攻撃自体は、「情報セキュリティ10大脅威 2025」において5年ぶりに10大脅威にランクインしている。「これは2024年末に発生したJALや国内金融機関に対するDDoS攻撃が社会的に大きな注目を集めたことが影響しています」と篠塚氏。DDoS攻撃の総数自体は昨年と比べて大きく増えているわけではないが、やはりその手口は年々巧妙化しているという。

　DDoS攻撃を行うサイバー犯罪者は従来、特定の通信レイヤーだけを狙った攻撃を主としていたが、最近では複数のレイヤーを順次攻撃しながら脆弱性を探索する手の込んだ攻撃を仕掛けてくるようになったという。篠塚氏は「攻撃の主体も多様化しており、国家が他国を混乱に陥れるために実施する攻撃もあれば、個人がDaaSを利用して嫌がらせ目的で攻撃を仕掛けるケースもあります」と分析する。