組織向け脅威１位はランサム攻撃

独立行政法人情報処理推進機構（ＩＰＡ）では、情報セキュリティ対策の普及を目的として２００６年から、前年に発生した情報セキュリティ事故や攻撃の状況などを「情報セキュリティ10大脅威」として公表している。１月30日に公表した「情報セキュリティ10大脅威２０２５」は、24年に発生したセキュリティ事故や攻撃の状況などからＩＰＡが脅威候補を選定し、情報セキュリティ分野の研究者、企業の実務担当者など約２００人のメンバーで構成する「10大脅威選考会」の投票を経て決定したものである。

「組織」向け脅威について、１位の「ランサム攻撃による被害」と２位の「サプライチェーンや委託先を狙った攻撃」は昨年と順位は変わっていない。昨年７位の「システムの脆弱（ぜいじゃく）性を突いた攻撃」が３位に順位を上げている。これは、昨年５位の「修正プログラムの公開前を狙う攻撃（ゼロデイ攻撃）」を今回「システムの脆弱性を突いた攻撃」に統合した影響が一因として考えられる。

また、今回新設した「地政学的リスクに起因するサイバー攻撃」が７位に選出された。地政学的リスクとは、地理的条件に基づいた国や地域の政治や軍事などに関わるリスクのことであり、具体例としては、１月に警察庁と内閣サイバーセキュリティセンターから公表された「ＭｉｒｒｏｒＦａｃｅ（ミラーフェイス：攻撃グループの呼称）によるサイバー攻撃について（注意喚起）」という注意喚起が該当する。さらに、年末年始にも見られた「分散型サービス妨害攻撃（ＤＤｏＳ攻撃）」が、20年以来再びランクインしている。

手口を知っておき適切な対策を

「組織」向け脅威は、セキュリティ対策情報を継続的に収集し、使用している機器やサービスに適切なセキュリティ対策を講じつつ、各脅威が自組織の事業や体制にどのようなリスクがあるのか洗い出すことが重要である。

「個人」向け脅威は、全て前年と変化がなかった。しかし、前年と同じ脅威であっても取り巻く環境も同じというわけではない。攻撃者は手口を進化させ、特に社会的に注目されるニュースや新技術（生成ＡＩなど）を巧妙に利用して、日々新たな攻撃を仕掛けている。日頃から脅威に関する最新情報に注意を払い、手口を知っておくことが重要である。　なお、「個人」向け脅威は、順位ではなく五十音順での紹介となっている。いずれの脅威についても十分な注意が必要である。

「情報セキュリティ10大脅威２０２５」の詳しい解説は、２月下旬以降にＩＰＡのウェブサイトで順次公開する予定である。ＩＴ・セキュリティ担当者が情報セキュリティの最新動向を把握するためだけでなく、対策の検討や組織内教育などにも活用してほしい。

「情報セキュリティ10大脅威２０２５」についてはこちら

（独立行政法人情報処理推進機構・江島将和）