IPA「情報セキュリティ10大脅威 2025」Assuredセキュリティエキスパートによる解説レポート

早崎 敏寛

専門家レポート



2025年1月30日、IPA(独立行政法人情報処理推進機構)より「情報セキュリティ10大脅威 2025」が公開されました。情報セキュリティ10大脅威は、IPAが情報セキュリティ対策の普及を目的として、2024年に発生した社会的に影響が大きかったと考えられる情報セキュリティにおける事案から脅威候補を選出し、情報セキュリティ分野の研究者、企業の実務担当者など約200名のメンバーからなる「10大脅威選考会」が脅威候補に対して審議・投票を行い、決定したものです。そのため、セキュリティに関する記事や資料によく引用される情報セキュリティ脅威トレンドを示す指標となっています。
この度の2025年版発表に伴い、前年からの情報セキュリティ10大脅威(組織)の変化と、上位の脅威および初選出、再選出された脅威について解説していきます。

目次[非表示]

  1. 1.変動のあった脅威について
    1. 1.1.上位3つの脅威について
      1. 1.1.1.1位:ランサム攻撃による被害
      2. 1.1.2.2位:サプライチェーンや委託先を狙った攻撃
      3. 1.1.3.3位: システムの脆弱性を突いた攻撃
  2. 2.初選出または再選出された2つの脅威について
      1. 2.0.1.7位:地政学的リスクに起因するサイバー攻撃
      2. 2.0.2.8位:分散型サービス妨害攻撃(DDoS攻撃)

※IPA(独立行政法人情報処理推進機構):情報セキュリティ10大脅威 2025を基にAssuredにて作成

変動のあった脅威について

この度発表された「情報セキュリティ10大脅威 2025」では、大きな変動はありませんでしたが、前年から初選出または再選出された脅威が2つ(「地政学的リスクに起因するサイバー攻撃」、「分散型サービス妨害攻撃(DDoS攻撃)」)ありました。

1位の「ランサム攻撃による被害」、2位の「サプライチェーンや委託先を狙った攻撃」は、前年と同様の順位となりましたが、引き続き多数のセキュリティ事故が発生しており予想通りの順位だったのではないでしょうか。
3位に、「システムの脆弱性を突いた攻撃」 が選出されましたが、前年5位の「修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃)」と前年7位の「脆弱性対策情報の公開に伴う悪用増加」 が統合された結果です。

上位3つの脅威について

ここからは、上位3つの脅威に対して解説します。

1位:ランサム攻撃による被害

前年に引き続き1位はランサム攻撃による被害でした。ランサム攻撃はニュース等で頻繁に報道されるなど、その脅威は衰えることなく猛威を振るっています。自社環境がランサム攻撃を受けた事例が多くある一方、2024年の注目すべき事例として、多くの企業が業務を委託する企業がランサム攻撃による被害を受けた結果、多数の利用企業に影響が発生する事態に発展したケースがありました。また自社環境がランサム攻撃による被害を受けた結果、サービスの復旧に約2カ月を要した事例もあるため、ランサム攻撃に対する対策が引き続き求められます。

2位:サプライチェーンや委託先を狙った攻撃

サプライチェーンや委託先を狙った攻撃は前年に引き続き2位になりました。委託先に対するサイバー攻撃が多数発生していることから、脅威名に「委託先」が追加されたと思われます。サプライチェーンは、子会社や業務委託先、利用しているクラウドサービスなど多岐に渡っており、自社のセキュリティを強化しても、サプライチェーンのなかで1つでも脆弱な箇所があればそこがサイバー攻撃を受け、自社への影響が生じることになります。弊社のコラムでも取り上げましたが、個人情報保護委員会が「個人データを取り扱うクラウドサービスを利用する場合における個人情報保護法上の安全管理措置及び委託先の監督等に関する留意点」について注意喚起を行っており、利用するクラウドサービスのセキュリティ評価がより一層重要になります。  

Assuredでは、2024年におけるクラウドサービス事業者におけるサプライチェーンセキュリティ対策実態についてまとめ、各項目について解説したレポートを発表しています。

▶【2024年セキュリティレポート Vol.2】クラウドサービス事業者におけるサプライチェーンセキュリティ対策実態
https://assured.jp/column/2024securityreport-vol2


3位: システムの脆弱性を突いた攻撃

前年度の10大脅威「脆弱性対策情報の公開に伴う悪用増加」が名称を変える形で3位にランクアップしています。システムの脆弱性情報の公開は、その対象システムの利用者に対し脅威、対策の内容を広く周知し、対策を促すことが可能です。その一方で、攻撃者は公開された情報を悪用し、脆弱性対策がされていないシステムを攻撃します。近年ではゼロデイ脆弱性だけでなく、Nデイ脆弱性と呼ばれるパッチや回避策が公開されてから対策を講じるまでの期間を狙った攻撃もトレンドです。
関連する2024年の事例として、地方独立行政法人においてその法人内の共有フォルダに保存していた個人情報等が最大約40,000件流出するというセキュリティインシデントが発生しています。当該法人で利用しているVPN機器の脆弱性があり、被害が発生する前年からその脆弱性は認知していたものの対策がされておらず、それがインシデント原因の一端となったのではないかと報道されました。
システムの脆弱性は、その脆弱性情報の収集・管理だけではなくパッチや回避策を適用することや実際に被害が発生した時に備えセキュリティインシデント対応等の体制を整備することが重要です。
Assuredでは、2024年におけるクラウドサービス(SaaS)事業者のセキュリティ対策の実態の一つとして、「ソフトウェアの脆弱性やEOL等に関する情報を定期的に収集し、適宜セキュリティパッチやソフトウェアのアップデートを行っているか」の調査結果を公開しています。


▶︎【2024年セキュリティレポート Vol.2】クラウドサービス事業者におけるサプライチェーンセキュリティ対策実態
https://assured.jp/column/2024securityreport-vol2

また、脆弱性管理クラウド「yamory(ヤモリー)」においても、独自の脆弱性データベースをもとにした2024年度の脆弱性セキュリティレポートを公開しています。

▶︎2024年 脆弱性セキュリティレポート 〜ソフトウェアサプライチェーンのリスクが増大〜
https://yamory.io/blog/securityreport2024


初選出または再選出された2つの脅威について

ここからは、初選出の「地政学的リスクに起因するサイバー攻撃」、5年ぶりに再選出された「分散型サービス妨害攻撃(DDoS攻撃)」がなぜ選出されたかを推察していきます。

7位:地政学的リスクに起因するサイバー攻撃

本年の10大脅威で初選出された脅威となります。なぜ選出されたのか、地政学的リスクの定義やサイバー攻撃との関連性、昨今のトレンドから紐解いていきます。

地政学的リスクは「地理的な位置関係における政治的、経済的、軍事的、社会的な緊張関係や対立が、その地域の企業活動や経済に与える悪影響」を意味します。IT技術の発展・進化にともない、サイバー攻撃がより低コストで効率よく、また相対的に露見するリスクを抑えて実行できるため、軍事目的遂行にサイバー攻撃が国家の戦略的ツールとして活用されています。

日本においても他国からのサイバー攻撃は例外ではなく、警察庁および内閣サイバーセキュリティセンターから、2019年から現在に至るまで「MirrorFace」と呼ばれるサイバー攻撃グループによる攻撃キャンペーンがなされていると公表されました。

▶︎出典:MirrorFaceによるサイバー攻撃について(注意喚起)|警察庁https://www.npa.go.jp/bureau/cyber/koho/caution/caution20250108.html


MirrorFace による攻撃キャンペーンは、主に日本の安全保障や先端技術に係る情報窃取を目的とし、他国の関与が疑われる組織的なサイバー攻撃活動であると評価されています。
近年こうした状況において、日本では内閣官房サイバー安全保障体制整備準備室が国家安全保障戦略として「サイバー安全保障分野での対応能力の向上」を趣旨とした資料を公開しています。その中で、サイバー攻撃は「国家を背景とした形でも平素から行われている」と記載されており、地政学的リスクに起因するサイバー攻撃に警鐘を鳴らしていることがうかがえます。

また、本資料の中では、サイバー攻撃を未然に防ぐための「能動的サイバー防御の実施のための体制を整備すること」が提言されており、この提言は「能動的サイバー防御」法案として2025年1月30日時点で自民党が了承し、近く国会に提出し、成立を目指す方針であることが報道されました。
このような背景を踏まえ、今回「地政学的リスクに起因するサイバー攻撃」が10大脅威として選出されたのではないかと推察します。

8位:分散型サービス妨害攻撃(DDoS攻撃)

2024年末にかけて様々な業界の日本企業に対しDDoS攻撃が実施され、特に航空業界の企業においては、飛行計画、搭乗手続き等のシステムに影響が発生したことは記憶に新しいです。アカマイ・テクノロジーズ日本法人による調査では、年末年始における日本国内事業者向けのDDoSとしては過去最大規模と発表されています。

DDoS攻撃はサイバー攻撃の中でも従来からの手法であり、専門知識が無くても誰でも簡単にツールを利用して実行でき、また、近年では代行業者を使った攻撃も見られています。関連する2024年の国内事例として、代行業者に依頼して自身が通う教育機関のサイトにDDoS攻撃を仕掛けた事例もまた記憶に新しいです。

このように、DDoS攻撃は今後も活発化されると予測され、また攻撃成功時における影響も小さくないことから、今回「分散型サービス妨害攻撃(DDoS攻撃)」は5年ぶりに10大脅威に選出されたと推察します。
自社やサプライチェーン(外部委託先、利用するクラウドサービスなど)で適切なDDoS対策がされているかを確認するとともに、DDoS攻撃を受けた時の影響について評価することを推奨します。





早崎 敏寛
早崎 敏寛
Webシステム開発を中心としたSIでキャリアをスタートし、金融システム子会社でPM、インフラ構築・運用等を経験。その後、総合コンサルティングファームにて、マネージャとしてセキュリティコンサルティングを担当したのち、アシュアードに入社。セキュリティエキスパートとしてサービス開発や顧客支援を担う。主な資格:CISA、CISM、PMP。

前の記事

prev-article-image

【個人情報保護委員会が注意喚起】個人データを取り扱うクラウドサービスを利用する事業者の留意点

RELATED ARTICLE

関連記事

一覧をみる
セキュリティ課題を解決する 最新セミナー情報はこちら
セキュリティ課題を解決する 最新セミナー情報はこちら
クラウドサービスのセキュリティ評価にお困りではありませんか?Assuredサービス資料を確認する
セキュリティ課題を解決する 最新セミナー情報はこちら

PAGE TOP

ASSURED_logo
採用情報はこちら

Visional グループ 運営サービス

© Assured, Inc.

© Assured, Inc.