はじめに

サイバーセキュリティの世界では、毎年さまざまな攻撃が報告され、それらが社会・経済に与える影響が変化しています。IPA(独立行政法人情報処理推進機構)は、前年度に発生した事故や事件を調査し、その影響を評価して「情報セキュリティ10大脅威」を選定しています。本記事は2025年版の10大脅威について、組織向けと個人向けのリストを均等に取り上げ、各脅威の特徴、発生事例、基本的な対策をバランス良く紹介します。ここで紹介する情報は一次資料に基づくものであり、読者が基本的な全体像をつかむことを目的としています。

選定基準と背景

IPAが発表する10大脅威は、単に攻撃件数の多さだけでなく、社会的な影響の大きさや継続性を考慮して順位付けされます。2025年版では、国家間の緊張を背景としたサイバー攻撃が初めてランクインするなど、国際情勢の影響が色濃く反映されています。
個人向けの脅威については順位付けをせず五十音順で列挙する方式が採用されており、利用するサービスや環境によってリスクが異なるため、自らの状況に照らして脅威を確認することが求められます。

組織向け10大脅威の解説

ここでは、2025年版の組織向け10大脅威をそれぞれ同じくらいの分量で紹介します。各項目では、脅威の概要、具体的な攻撃事例、そして基本的な対策を説明し、読者が全体像をつかみやすいように配慮します。

1.ランサム攻撃

概要

ランサム攻撃は、悪意のあるソフトウェアを用いて企業のファイルやシステムを暗号化し、復旧と引き換えに身代金を要求する攻撃です。近年は攻撃基盤をサービスとして提供する「Ransomware as a Service(RaaS)」や、暗号化せず情報を窃取して恐喝する「ノーウェアランサム」が登場し、攻撃者が収益を得るモデルが多様化しています。 攻撃者は標的型メールやVPN機器の脆弱性を悪用して侵入し、ネットワーク内で横移動してバックアップを破壊した後、暗号化と情報窃取を行います。

事例

2024年のKADOKAWA事件では、出版グループのサーバが暗号化され、漫画配信サービスが長期間停止しました。国外でも医療機関や地方自治体が攻撃を受けて診療停止や行政サービスの中断が発生し、社会的影響が大きくなっています。RaaSを利用した攻撃者は、被害者リストを共有して二重・三重の脅迫を行う傾向があり、データ公開やDDoS攻撃を併用するケースも報告されています。

対策

ランサム攻撃への対策には、侵入経路の遮断と侵入後の拡大防止が重要です。具体的には、メールとWeb閲覧のフィルタリング、VPN装置やリモートデスクトップの最新パッチ適用、多要素認証の導入による不正ログイン防止が挙げられます。 また、ネットワークから隔離したバックアップの作成と復元手順の定期確認、社員に対するフィッシング訓練、インシデント発生時の対応手順整備が効果的です。

2.サプライチェーン攻撃

概要

サプライチェーン攻撃は、取引先や委託先のシステム、開発プロセスの弱点を狙って最終的な標的に侵入する手法です。攻撃者はセキュリティ対策が不十分な業者に侵入し、業務システムの連携を伝って標的企業のネットワークにアクセスします。ソフトウェア開発では、依存パッケージやリポジトリに悪意のあるコードを仕込むことで、多くのユーザーに影響を与えることがあります。

事例

2024年には印刷会社イセトーがサプライチェーン攻撃を受け、元請け企業から預かった約5万件の顧客情報が漏えいしました。物流会社カンツウでは、委託先への攻撃により配送サービスが一時停止し、取引先にも影響が及びました。また、UNIX系ツール「xz utils」にバックドアが仕込まれ、多くのLinuxディストリビューションで利用が停止される騒動がありました。

対策

サプライチェーン攻撃を防ぐには、委託先選定時のセキュリティ審査と契約での責任範囲明確化が不可欠です。ソフトウェアの場合、SBOM(Software Bill of Materials)を用いて依存関係を把握し、脆弱性情報を常に監視することが推奨されます。また、取引先とのネットワーク分離、開発環境と本番環境の分離、インシデント発生時の情報共有手順整備が効果的です。

3.脆弱性の悪用

概要

脆弱性攻撃は、ソフトウェアや機器に存在する未修正の脆弱性を悪用する攻撃です。脆弱性が公開前に攻撃されるゼロデイ攻撃と、公開後にパッチ未適用のシステムを狙うNデイ攻撃があります。攻撃者は脆弱性情報を収集し、自動化されたツールやボットネットを使って攻撃を大量に試みます。

事例

2024年にはネットワーク機器PAN‑OSのリモートコード実行脆弱性が報告され、CVSSで最高評価10.0を受けました。PHPの脆弱性を悪用したマルウェア「TellYouThePass」も再流行し、多数のWebサーバが被害を受けました。さらに、リモート監視装置やIoT機器の脆弱性を突いて産業設備に侵入する事件も発生しています。

対策

脆弱性攻撃への基本対策は資産管理とパッチ管理です。企業は保有システムの一覧を作成し、重要度に応じて更新の優先順位を付け、テスト環境で検証した上で迅速にパッチを適用すべきです。更新が難しい場合は、WAFやIPS等の仮想パッチによる防御、アクセス制御、公開サービスの分離といった代替策を講じます。脆弱性情報を収集するために脅威インテリジェンスサービスの利用も有効です。

4.内部不正

概要

内部不正は、従業員や退職者が権限を悪用して機密情報を持ち出したり、不正利用したりする行為です。動機は金銭目的や報復、転職先での利用などさまざまで、在職者だけでなく退職者の残されたアカウントが悪用されることもあります。

事例

生命保険会社では社員が979件の顧客情報を名簿業者に売却し、不動産会社では退職者が約2万5千件の顧客情報をダイレクトメール用に流用した事件が報じられました。製造業では取引先の機密を含む22,000件以上のデータが持ち出されるなど、業種や規模に関係なく発生しています。研究者が退職後に研究データを持ち出し、新たな就職先で利用するといったケースもあり、情報資産の区別と管理が課題です。

対策

内部不正への対策では、アクセス権限の最小化と定期的な棚卸しが基本です。特権アカウントを含め、退職時には即時に権限を停止し、共有アカウントの廃止や二要素認証の導入を行います。情報資産へのアクセスログを収集・分析し、異常な操作を検知するユーザー行動分析ツールの導入も有効です。モラル教育や内部通報制度を整備し、従業員が疑問を感じたときに相談できる環境を作ることが不正抑止につながります。

5. 標的型攻撃(APT)

概要

標的型攻撃(APT)は、特定の企業や政府機関などを長期的に狙い、情報窃取や破壊活動を行う高度な攻撃です。攻撃者は、標的の業務内容や人員構成を調査した上で、フィッシングメールや水飲み場攻撃、ゼロデイ脆弱性など複数の手段を組み合わせます。

事例

2024年、国内IT企業のシステムが侵害され、顧客情報が外部に流出する事件がありました。また、暗号資産取引所から480億円相当が盗まれた事件では、北朝鮮系グループの「TraderTraitor」や「Lazarus」がメール攻撃を仕掛け、従業員の認証情報を盗み出したと報道されています。宇宙航空研究開発機構(JAXA)への攻撃では、VPN機器の脆弱性が突かれ、内部ネットワークに不正アクセスされました。

対策

標的型攻撃に対処するには、多層防御と早期検知が鍵となります。フィッシング対策としてメールフィルタと利用者教育を強化し、未知のマルウェアを検知するEDRやサンドボックスを導入します。ネットワークを複数のセグメントに分割し、侵害の拡大を防ぐゼロトラストモデルを採用することが推奨されます。また、暗号化とデータ分類により、機密情報を盗まれても外部で解読できないようにすることが重要です。 脅威情報の共有や演習を通じて、組織横断的な対応力を高めることも有効です。

6. リモートワーク関連の攻撃

概要

リモートワークの普及により、社外からのアクセスを許容する環境が増えました。しかし、VPN装置やリモートデスクトップの設定不備を突いた攻撃が急増し、ランサム被害の約8割がリモート環境から始まったと報告されています。

事例

あるエネルギー企業ではVPNの設定が不十分で、416万件の顧客情報が流出しました。製造業ではリモートデスクトップ経由で侵入され、基幹システムを暗号化される事件が発生しました。警察庁の統計では、国内ランサム感染の83%がリモート関連の侵入口を通じて行われたとされています。

対策

リモートワーク環境では、ゼロトラストアーキテクチャの採用が有効です。具体的には、常に端末とユーザーの健全性をチェックし、アクセス権限を最小限にしつつ継続的に認証を行う仕組みを導入します。VPN装置やリモートデスクトップは定期的にアップデートし、不必要なポートは閉じ、多要素認証を必須とします。BYOD(個人端末利用)の場合は、企業がセキュリティ設定を管理できるMDM(モバイルデバイス管理)を導入し、業務用アプリと個人アプリを分離することが望まれます。

7. 地政学的リスクに起因するサイバー攻撃

概要

国家間の対立や政治的意図に基づくサイバー攻撃は、政府機関や重要インフラを標的として行われ、DDoSや情報窃取、破壊活動が含まれます。こうした攻撃はプロパガンダや制裁回避の一環として行われることもあり、標的国の社会や経済に深刻な影響を及ぼします。

事例

2024年10月には、ロシア系ハクティビストが日本の政府機関や自治体のウェブサイトにDDoS攻撃を仕掛け、一時的に閲覧できなくする事件がありました。2024年6月には、中国系グループによる「Volt Typhoon」が、米国の重要インフラを侵害するために「living off the land」技術を用いて攻撃していたと報じられました。2025年1月には、日本の製造業を狙う「MirrorFace」キャンペーンも観測されています。

対策

地政学リスクに備えるためには、国家レベルの脅威インテリジェンスを活用し、自組織に影響する攻撃手口を把握することが重要です。通信事業者と連携してDDoS対策を実装し、異常なトラフィックを分散・吸収する仕組みを整えます。重要インフラ事業者は国際的なセキュリティ基準に基づき、システムの冗長化やバックアップを行うと同時に、侵入検知システムやSOC(セキュリティオペレーションセンター)による24時間監視を実施します。国際的な情報共有と訓練、法執行機関との協力も不可欠です。

8. DDoS攻撃

概要

DDoS(分散サービス拒否)攻撃は、多数の機器を乗っ取って標的のサーバやネットワークに大量のトラフィックを送信し、サービスを停止させる攻撃です。攻撃にはボットネットを利用するフラッド型や、反射サーバを使って増幅させるリフレクション型、DNSやUDPを悪用したランダムサブドメイン攻撃など、複数の手法が存在します。

事例

2024年5月には、航空会社の予約サイトがDDoS攻撃を受け、チケット購入に大きな遅延が生じました。国内の複数の銀行サイトも攻撃を受け、利用者がアクセスできない状態が続きました。また、未成年の学生がIPストレスサービスを用いて学校のウェブサイトを攻撃する事件も発生しており、攻撃手法の入手が容易になっている実態が指摘されています。

対策

DDoS攻撃に対抗するには、トラフィックを分散・緩和するCDNやDDoSプロテクションサービスの利用が効果的です。WAFやIPSによるトラフィック検査に加え、DNSサーバの冗長化やAnycast構成による耐障害性向上も重要です。攻撃の踏み台として利用されるIoT機器のセキュリティを向上させ、初期ID・パスワードを変更し、ファームウェアを最新に保つことも社会全体の対策として求められます。大規模な攻撃を受けた場合に備え、事前に通信事業者やCSIRTとの連携ルートを構築しておくことが推奨されます。

9. ビジネスメール詐欺(BEC)

概要

ビジネスメール詐欺(BEC)は、経営層や取引先になりすまし、偽の送金依頼や情報要求を行う詐欺です。攻撃者は事前に標的企業の組織図や取引関係を調査し、メール内容や口座情報を巧妙に偽装してきます。生成AIを悪用した音声・映像ディープフェイクも登場し、詐欺の信憑性が増しています。

事例

2024年には、海外子会社の財務担当者が偽の経営トップのDeepfake動画に騙され、数億円を送金してしまった事件が報じられました。また、メールセキュリティ企業の報告では、全メール攻撃の約半分がBEC関連であり、そのうち40%がAIによって生成された文章であると指摘されています。

対策

BECを防ぐには、送金指示や重要な変更を必ず複数人で確認する承認フローを設けることが不可欠です。また、メール送信元の正当性を検証するSPF・DKIM・DMARCや、電子署名の導入によりメールのなりすましを検知します。従業員には、不審なメールに返信しない、添付ファイルやリンクを開く前に上司や情報システム部門に確認するなどの教育を行います。もし被害に遭った場合は、すぐに銀行や警察に連絡し、メールアカウントとシステムの設定を見直す必要があります。

10. 人的ミス・設定不備

概要

人的ミスや設定不備は、意図せずに情報が漏えいする事故です。メールの宛先間違いによるアドレス漏えいや、クラウドサービスのアクセス権限設定ミスによる公開漏えいが代表的で、サイバー攻撃ではなく人的要因に起因します

事例

企業では、クライアントへの一斉メールを送る際にBCCではなくCCを使用したため、顧客情報が公開されてしまう事故が発生しました。また、ハードディスクの廃棄方法を誤り、中古市場に顧客データが残った状態で流出したケースも報告されています。学校や自治体では、オンライン授業の設定ミスにより非公開資料が外部に公開されたり、クラウドストレージのフォルダ共有設定を誤ったために資料が誰でも閲覧できる状態になったりする事故がありました。

対策

人的ミスを減らすためには、作業プロセスの自動化とダブルチェック体制の構築が効果的です。メール送信には自動補完機能の無効化やアドレス確認画面の導入を行い、重要情報送信時には別人の承認を必須とする運用を整えます。クラウド設定では、アクセス権限変更時に二段階承認と変更履歴の監査を実施し、DLP(Data Loss Prevention)ツールや暗号化により機密データを保護します。セキュリティ教育では、人間の注意力には限界があることを理解させ、作業チェックリストや自動化ツールの利用を推奨します。

個人向け10大脅威の均等解説

個人向けリストでは、インターネットサービス利用者やスマートフォンユーザーが直面する10種類の脅威を五十音順で紹介しています。それぞれの概要と基本的な対策をまとめます。

  1. インターネットサービスからの個人情報の窃取
    • ウェブサイトやクラウドサービスの脆弱性を突いて利用者の登録情報が盗まれる脅威で、攻撃者はデータベースに直接侵入し、氏名やメールアドレス、クレジットカード情報をダークウェブで売買します。利用者側では不要な情報の登録を避け、複雑なパスワードを設定し、サービス提供者側では二段階認証やWAFによる対策が重要です。
  2. 不正ログイン
    • 他のサービスから盗んだパスワードや辞書攻撃を用いてアカウントを乗っ取り、個人情報や資金を奪う攻撃です。パスワードの使い回しを避け、パスワード管理ソフトや二要素認証を利用することが防止策となります。
  3. クレジットカード情報の不正利用
    • 攻撃者が決済ページにマルウェアを仕込んでカード情報を盗み、不正決済に使用する脅威です。利用者は3D Secureや決済通知の設定を有効にし、不審なサイトでカード情報を入力しないようにします。
  4. スマホ決済の不正利用
    • 決済アプリのアカウントを乗っ取る、または偽のQRコードで誤送金させる詐欺です。アプリと端末で多要素認証を有効化し、不審なQRコードに注意します。
  5. 偽警告詐欺・サポート詐欺
    • ブラウザに偽の警告を表示し、偽サポート窓口へ電話させて金銭を要求する手口です。警告を無視してブラウザを終了し、正規サポートに問い合わせることが推奨されます。
  6. 誹謗中傷・デマ
    • SNSで匿名の誹謗中傷や虚偽情報が拡散され、個人や企業の評判が毀損される脅威です。ユーザーは投稿内容の正確性を確認し、不適切な投稿を行わないように意識します。
  7. フィッシング
    • メールやSMSで偽サイトに誘導し、ログイン情報や金銭を盗み取る攻撃です。メール本文のリンクを不用意にクリックせず、公式アプリやブックマークからアクセスすることが重要です。
  8. 不正アプリ
    • 正規アプリストアや第三者サイトから不正なアプリをインストールさせ、個人情報を窃取する攻撃です。インストール前に開発元やレビューを確認し、不要な権限を要求するアプリはインストールしないようにします。
  9. メール・SMSによる脅迫・詐欺
    • 個人の弱みにつけ込んで金銭を要求する脅迫メールや、投資詐欺などが横行しており、2024年のSNS投資詐欺被害額は120億円にのぼりました不審な連絡は無視し、警察や消費生活センターに相談することが勧められます。
  10. ワンクリック請求・サブスクリプション詐欺
    • 悪意のある広告から不正な請求画面が表示され、料金を支払わせる手口です。関与した請求ページの連絡先に応じず、ブラウザを閉じて無視することが最善です。

共通対策

上記の脅威に共通する対策として、以下のポイントが挙げられます。

  • 脆弱性管理の徹底
    • 資産管理を行い、重要システムには迅速にパッチを適用し、仮想パッチやWAFを併用して更新の遅れを補完することが基本です
  • 多要素認証と認証情報の保護
    • すべての重要システムやアカウントで多要素認証を有効にし、パスワードの使い回しを避けます。従業員や家族に対する認証教育を行います。
  • バックアップとリカバリ計画
    • ランサム攻撃に備えて、オフラインバックアップを複数世代保持し、復元手順を定期的にテストします
  • サプライチェーンとベンダー管理
    • 委託先のセキュリティ評価、SBOMによる依存関係の可視化、契約による責任範囲明確化を進めます
  • インシデント対応とCSIRT
    • 組織内にインシデント対応体制を構築し、外部機関や業界団体と情報共有することで、攻撃の兆候を早期に把握し対処します
  • 従業員・利用者教育
    • フィッシングメールの見分け方や安全なパスワードの作成方法を教育し、情報リテラシーの向上を図ります
  • 法令遵守と報告
    • 個人情報保護法や業界ガイドラインに従い、重大な漏えい時には関係当局と利用者に適切な報告を行います。

まとめ

2025年版の情報セキュリティ10大脅威は、ランサム攻撃やサプライチェーン攻撃のような経済的被害をもたらす攻撃から、人の不注意による情報漏えいまで多岐にわたります。本記事では、各脅威の概要・事例・対策を均等にまとめることで、読者が網羅的な視点を持てるようにしました。脅威は年々進化し、組織と個人の境界も曖昧になってきています。常に最新情報を収集し、基本的なセキュリティ対策を継続して実践することが、被害を防ぐ近道です。未発表の技術や噂に惑わされず、信頼できる情報源を基に行動する姿勢が求められます。