情報処理推進機構(IPA)が公表した「情報セキュリティ10大脅威 2025」について、2024年に発生した社会的影響の大きかった情報セキュリティ事案を分析し、対策マッピングシートと共に包括的な脅威情報と対策を提供したものです。
本資料は、情報セキュリティ分野の研究者、企業の実務担当者など約200名のメンバーからなる「10大脅威選考会」が審議・投票を行い決定されました。組織向けの脅威については従来通り順位形式で掲載していますが、個人向けの脅威については五十音順での掲載となっています。これは、順位が高い脅威から優先的に対応し、下位の脅威への対策が疎かになることを防ぐためで、順位に関わらず自身に関係のある脅威に対して対策を行うことを期待しています。
組織向け10大脅威の第1位は「ランサム攻撃による被害」で、10年連続10回目の選出となりました。2024年6月のKADOKAWAへの攻撃では、約25万4,000人分の個人情報や企業情報の漏えいが判明し、SNS等を通じた二次被害も発生しました。第2位は「サプライチェーンや委託先を狙った攻撃」で7年連続7回目、第3位は「システムの脆弱性を突いた攻撃」で5年連続8回目の選出です。
特筆すべきは、第7位に「地政学的リスクに起因するサイバー攻撃」が初選出されたことです。国際情勢の緊張化に伴い、国家支援型のサイバー攻撃や、政治的動機によるハクティビズムが増加している現状を反映しています。第8位の「分散型サービス妨害攻撃(DDoS攻撃)」は5年ぶり6回目の選出となり、攻撃の大規模化と手法の高度化が背景にあります。
個人向け10大脅威は、「インターネット上のサービスからの個人情報の窃取」「インターネット上のサービスへの不正ログイン」「クレジットカード情報の不正利用」「スマホ決済の不正利用」「偽警告によるインターネット詐欺」「ネット上の誹謗・中傷・デマ」「フィッシングによる個人情報等の詐取」「不正アプリによるスマートフォン利用者への被害」「メールやSMS等を使った脅迫・詐欺の手口による金銭要求」「ワンクリック請求等の不当請求による金銭被害」が選出されています。
対策マッピングシートは、各脅威に対する具体的な対策を一覧化したツールで、組織が自身の状況に応じて優先的に実施すべき対策を選定できるようExcel形式で提供されています。共通対策として、「認証を適切に運用する」「情報リテラシー、モラルを向上させる」「添付ファイルの開封やリンク・URLのクリックを安易にしない」「適切な報告/連絡/相談を行う」「インシデント対応体制を整備し対応する」「サーバーやPC、ネットワークに適切なセキュリティ対策を行う」「適切なバックアップ運用を行う」が挙げられています。
情報セキュリティ対策の基本として、「ソフトウェアの更新」「セキュリティソフトの利用」「パスワードの管理・認証の強化」「設定の見直し」「脅威・手口を知る」の5つが示されています。さらに、クラウドサービス利用時の対策として、「クラウドサービスのガイドラインに沿った業者選定」「インシデント発生時の責任範囲の明確化」「業務停止に備えた代替策の準備」「仕様変更時の設定見直し」が追加されています。
記事は、順位に囚われることなく、組織または自身が置かれている立場や環境を考慮して各項目に対応する優先度を検討し、継続的に対策を実施することで、被害に遭う可能性を低減できると結論づけています。