毎年恒例の「情報セキュリティ10大脅威」が2025年1月30日にIPA(情報処理推進機構)から発表されました。相変わらずランサムウェアが猛威を振るう状況です。
また、2019年からの10大脅威の推移をグラフでご紹介します。脅威の傾向を確認いただき、今後のセキュリティ戦略の参考にしてください。
日本のIT国家戦略を技術面・人材面から支えるために設立された経済産業省所管の独立行政法人であるIPAが、情報セキュリティ対策の普及を目的として、情報セキュリティ事故や攻撃の状況等から脅威を選出し、2006年から毎年上位10位を公表しているのが、「情報セキュリティ10大脅威 2025」です。
2024年に発生した社会的に影響が大きかったと考えられる情報セキュリティにおける事案から、IPAが脅威候補を選出し、情報セキュリティ分野の研究者、企業の実務担当者など約200名のメンバーからなる「10大脅威選考会」が脅威候補に対して審議・投票を行い、決定したものです。
ランキングには「個人」と「組織:企業、政府機関、公共団体等の組織およびその組織に所属している人」という立場でそれぞれランキングしていますが、ここでは「組織」のみを扱います。
| 順位 | 脅威 | 昨年順位 |
|---|---|---|
| 1位 | ランサムウェアによる被害 | 1位 |
| 2位 | サプライチェーンの弱点を悪用した攻撃 | 2位 |
| 3位 | システムの脆弱性を突いた攻撃 | 5,7位 |
| 4位 | 内部不正による情報漏えい | 3位 |
| 5位 | 機密情報等を狙った標的型攻撃 | 4位 |
| 6位 | リモートワーク等の環境や仕組みを狙った攻撃 | 9位 |
| 7位 | 地政学的リスクに起因するサイバー攻撃 | NEW |
| 8位 | 分散型サービス妨害攻撃(DDoS攻撃) | 圏外 |
| 9位 | ビジネスメール詐欺 | 8位 |
| 10位 | 不注意による情報漏えい等 | 10位 |
| 順位 | 脅威 | 昨年 順位 |
|---|---|---|
| 1位 | ランサムウェアによる被害 | 1位 |
| 2位 | サプライチェーンの弱点を悪用した攻撃 | 2位 |
| 3位 | システムの脆弱性を突いた攻撃 | 5,7位 |
| 4位 | 内部不正による情報漏えい | 3位 |
| 5位 | 機密情報等を狙った標的型攻撃 | 4位 |
| 6位 | リモートワーク等の環境や仕組みを狙った攻撃 | 9位 |
| 7位 | 地政学的リスクに起因するサイバー攻撃 | NEW |
| 8位 | 分散型サービス妨害攻撃(DDoS攻撃) | 圏外 |
| 9位 | ビジネスメール詐欺 | 8位 |
| 10位 | 不注意による情報漏えい等 | 10位 |
| 脅威 | 2019年 | 2020年 | 2021年 | 2022年 | 2023年 | 2024年 | 2025年 |
|---|---|---|---|---|---|---|---|
| ランサムウェアによる被害 | 3 | 5 | 1 | 1 | 1 | 1 | 1 |
| サプライチェーンの弱点を悪用した攻撃 | 4 | 4 | 4 | 3 | 2 | 2 | 2 |
| システムの脆弱性を突いた攻撃 | 圏外 | 圏外 | 圏外 | 7 | 6 | 5 | 3 |
| 9 | 圏外 | 10 | 6 | 8 | 7 | ||
| 内部不正による情報漏えい | 5 | 2 | 6 | 5 | 4 | 3 | 4 |
| 機密情報等を狙った標的型攻撃 | 1 | 1 | 2 | 2 | 3 | 4 | 5 |
| リモートワーク等の環境や仕組みを狙った攻撃 | 圏外 | 圏外 | 3 | 4 | 5 | 9 | 6 |
| 地政学的リスクに起因するサイバー攻撃 | 圏外 | 圏外 | 圏外 | 圏外 | 圏外 | 圏外 | 7 |
| 分散型サービス妨害攻撃(DDoS攻撃) | 6 | 10 | 圏外 | 圏外 | 圏外 | 圏外 | 8 |
| ビジネスメール詐欺 | 2 | 3 | 5 | 8 | 7 | 8 | 9 |
| 不注意による情報漏えい等 | 10 | 7 | 9 | 10 | 9 | 6 | 10 |
| 脅威 | 2025年 | 2024年 | 2023年 | 2022年 | 2021年 | 2020年 | 2019年 |
|---|---|---|---|---|---|---|---|
| ランサムウェアによる被害 | 1 | 1 | 1 | 1 | 1 | 5 | 3 |
| サプライチェーンの弱点を悪用した攻撃 | 2 | 2 | 2 | 3 | 4 | 4 | 4 |
| システムの脆弱性を突いた攻撃 | 3 | 5 | 6 | 7 | 圏外 | 圏外 | 圏外 |
| 7 | 8 | 6 | 10 | 圏外 | 9 | ||
| 内部不正による情報漏えい | 4 | 3 | 4 | 5 | 6 | 2 | 5 |
| 機密情報等を狙った標的型攻撃 | 5 | 4 | 3 | 2 | 2 | 1 | 1 |
| リモートワーク等の環境や仕組みを狙った攻撃 | 6 | 9 | 5 | 4 | 3 | 圏外 | 圏外 |
| 地政学的リスクに起因するサイバー攻撃 | 7 | 圏外 | 圏外 | 圏外 | 圏外 | 圏外 | 圏外 |
| 分散型サービス妨害攻撃(DDoS攻撃) | 8 | 圏外 | 圏外 | 圏外 | 圏外 | 10 | 6 |
| ビジネスメール詐欺 | 9 | 8 | 7 | 8 | 5 | 3 | 2 |
| 不注意による情報漏えい等 | 10 | 6 | 9 | 10 | 9 | 7 | 10 |
情報セキュリティ10大脅威2025 (組織)に選出された脅威では、1位の「ランサム攻撃による被害」と2位の「サプライチェーンや委託先を狙った攻撃」は過去3年変わらずです。
昨年7位の「システムの脆弱性を突いた攻撃」が3位に順位を上げました。これは、昨年5位の「修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃)」を今回「システムの脆弱性を突いた攻撃」に統合した影響が一因として考えられるとIPAより報告されています。
また、ヒューマンエラーや悪意ある人為的なサイバーリスクもここ数年常連となっています。4位に「内部不正による情報漏えい等」、10位に「不注意による情報漏洩等」がランキングされています。
今回新設した「地政学的リスクに起因するサイバー攻撃」が7位に選出されました。
地政学的リスクとは、国や地域の政治的・軍事的・社会的・地理的な状況が原因で発生するリスクのことです。例えば、国際的な紛争や戦争、テロ、経済制裁、貿易障壁、政権交代などが地政学的リスクの要因となります。
攻撃手口としては、DDoS 攻撃、ネットワーク貫通型攻撃やスピアフィッシングなどの攻撃手口が確認されています。
攻撃対象は、攻撃者を支援する国家にとって 重要な情報を持つ国内の組織や、攻撃に成功した時の社会的なインパクトが 大きい組織や重要インフラ企業が狙われます。
上記の攻撃により、国の重要インフラが攻撃されて使用不能に陥ることや、情報の改ざんや削除が行われて情報に正しくアクセスできなくなる等、社会的な混乱が引き起こされるおそれがあります。
また、国や組織の機密情報が盗み出されることにより、国や組織の競争優位性を維持できなくなることもあります。
さらに、経済制裁を受けている国家がサイバー攻撃で他国から金銭を得ると、経済制裁の効果が薄れてしまうおそれもあります。
◆日本の自治体サービスへのサイバー攻撃
2024年10月、ロシアを支持するハッカー集団は、日米軍事演習に対する抗議のため、日本の自治体や交通機関等のウェブサイトに対してサイバー攻撃を行ったことをSNSに投稿しました。山梨県のWebサイトには海外からアクセスが集中し、4時間ほど閲覧しにくい状態が続きました。また、名古屋市、福岡空港、北海道のフェリー会社等のサイトも、一時的に閲覧しにくい状態となりました。
組織は、セキュリティ対策情報を継続的に収集し、使用している機器やサービスに適切なセキュリティ対策を講じつつ、各脅威が自組織の事業や体制にどのようなリスクがあるのか洗い出すことが重要であると指摘しています。
