情報セキュリティ10大脅威2025 [組織]
IPAから「情報セキュリティ10大脅威 2025」が発表されました。
これは情報セキュリティにおける脅威の中でも、前年、特に社会的な影響をもたらしたトップ10のランキングです。
企業や組織向けに発表された脅威を見ていきましょう。
| 順位 | 「組織」向け脅威 | 初選出年 | 10大脅威での取り扱い(2016年以降) |
|---|---|---|---|
| 1 | ランサム攻撃による被害 | 2016年 | 10年連続10回目 |
| 2 | サプライチェーンや委託先を狙った攻撃 | 2019年 | 7年連続7回目 |
| 3 | システムの脆弱性を突いた攻撃 | 2016年 | 5年連続8回目 |
| 4 | 内部不正による情報漏えい等 | 2016年 | 10年連続10回目 |
| 5 | 機密情報等を狙った標的型攻撃 | 2016年 | 10年連続10回目 |
| 6 | リモートワーク等の環境や仕組みを狙った攻撃 | 2021年 | 5年連続5回目 |
| 7 | 地政学的リスクに起因するサイバー攻撃※ | 2025年 | 初選出 |
| 8 | 分散型サービス妨害攻撃(DDoS攻撃) | 2016年 | 5年ぶり6回目 |
| 9 | ビジネスメール詐欺 | 2018年 | 8年連続8回目 |
| 10 | 不注意による情報漏えい等 | 2016年 | 7年連続8回目 |
※国同士の争いや緊張が原因で発生するサイバー攻撃のことで、ある国が他の国の政府や企業を狙って行う攻撃
ポイント
昨年末、大手航空会社や大手銀行数社でネットワーク障害が発生し業務に多大な支障がでました。これは今回8位のDDoS攻撃(分散型サービス妨害攻撃)が一因と考えられています。
攻撃者は様々な機器の脆弱性を悪用し、目標に対してDDoS攻撃を行います。
そのため、インターネットにつながる機器(ルータ、NAS、ネットワークカメラ、WiFi、LANケーブルで接続しているIoT機器全般)の設定やファームウェアが古いままだと、知らぬ間に悪用されてしまいます。
インターネットにつながる機器は常に脅威があると考え、各機器のアップデートの有無の確認・定期的な見直しを行い、不要な機器はネットワークから外しましょう。
攻撃パターン
- サイバー犯罪のビジネス化で、攻撃者側のハードルが低下
- VPNの脆弱性を悪用したランサムウェア攻撃の被害が拡大
- 大手企業を標的とする場合、セキュリティ対策が強固でないサプライチェーン経由で攻撃
- 簡単なパスワードで運用していて、ランサムウェア被害にあった事例もあり
- 導入当時のままになっている、ネットワーク機器の設定・ファームウェアの脆弱性を突いたDDoS攻撃
対策
人的・組織的対策
- 日頃から怪しいと思ったメールやファイルは、開かず確認・報告と情報共有・インシデント時の対応方法の確認を
- システムで守れないケースもあるため、定期的なルールの確認、見直しを
システム上の対策
- アップデートを怠らない、古い機器やソフトでサポートが切れたものは見直しを
- 万が一のバックアップがあるか、定期的にとれているか確認を
人為的ミスを未然に防ぐ対策
セキュリティ対策をしていても、不注意等での人為的ミスによる情報流出も増えています。
- 機密情報の整理、情報持ち出しのルール・権限の見直し(私用デバイス・クラウドサービス・USBメモリの利用制限)なども検討を
