
独立行政法人情報処理推進機構(IPA)が毎年発表している「情報セキュリティ10大脅威」の最新版が2025年1月30日に公開されました。情報セキュリティ10大脅威では「個人編」と「組織編」がありますが、本稿では組織編TOP10に選出された脅威について、特に注目したいポイントと対策をまとめ、NRIセキュアのコンサルタントの見解もまじえて解説していきます。
IPA「情報セキュリティ10大脅威」とは?
毎年注目を集める「情報セキュリティ10大脅威」ですが、誰がどのようにして策定しているのでしょうか?IPAのホームページでは、以下のように紹介されています。
-
「情報セキュリティ10大脅威 2025」は、2024年に発生した社会的に影響が大きかったと考えられる情報セキュリティにおける事案から、IPAが脅威候補を選出し、情報セキュリティ分野の研究者、企業の実務担当者など約200名のメンバーからなる「10大脅威選考会」が脅威候補に対して審議・投票を行い、決定したものです。
- 出所)IPA「情報セキュリティ10大脅威 2025」 https://www.ipa.go.jp/security/10threats/10threats2025.htmlより抜粋
200名にものぼるセキュリティ分野の専門家が意見を交換して策定する「情報セキュリティ10大脅威 」には、来年度のセキュリティ対策を計画するうえでも、ぜひチェックしておきたい情報が詰まっています。
「情報セキュリティ10大脅威」では、例年「個人編」と「組織編」に分けて脅威が選考されていますが、2024年版より個人編はランキング形式での発表ではなく、脅威が五十音順で並べられるようになりました。上位の脅威を優先的に対応することで、下位の脅威への対策が疎かになることを懸念してのことだそうです。
これは組織編にも共通して言えることで、ランキングの下位にあるからといって、実際に脅威に晒された場合のインパクトが小さいわけではありません。組織編の下位にランクインしている脅威に対しても、上位のものと同様にとらえ、自組織に必要な策から優先的に対応していくことが重要です。
情報セキュリティ10大脅威「2025」で起きた気になる変化
情報セキュリティ10大脅威「2024」と「2025」の比較

「ランサム攻撃による被害」は不動のトップ
「ランサム攻撃による被害」は、2016年に初選出されてから近年はトップを維持しています。昨年は国内でも大規模インシデントが発生しており、納得の1位です。ランサムウェアの近年の傾向と今年の見通しについて、当社のセキュリティコンサルタント木村匠に尋ねました。
NRIセキュア木村:ランサムウェア攻撃は企業だけでなく、一般の生活者にも大きな関心を集めるものとなりました。日常的に使用しているサービスが標的にされることで、個人情報の流出やサービスの停止など、生活に直接影響を与えるリスクが明らかになり、サイバーセキュリティへの不安が広がっています。
ランサムウェアによる被害は2025年も増加していくことが予想されています。重要インフラのような産業のみならず、一般生活者における知名度が高くなくても多くの重要な産業に導入されているようなソフトウェアを提供する企業や、安全保障上重要な位置づけを担うような産業などが、より多く標的となることが考えられます。また、国家支援型の集団が関与する攻撃にも留意が必要です。
「サプライチェーンや委託先を狙った攻撃(2位)」は名称をマイナーチェンジ
「サプライチェーンの弱点を悪用した攻撃」という旧名称よりマイナーチェンジしており、「委託先」と明示されている点が興味深いです。委託先管理に詳しい当社のセキュリティコンサルタント薮内俊平に尋ねました。
NRIセキュア薮内:「サプライチェーンや委託先を狙った攻撃」は2024年版と変わらず2位でしたが、脅威名に”委託先”が加筆されていた点が印象的でした。2024年は、委託先を標的としたサプライチェーン攻撃が相次いだことが背景にあると考えられます。
また「NIST サイバーセキュリティフレームワーク 2.0」や「金融分野におけるサイバーセキュリティに関するガイドライン」などにおいて、委託先を含むサードパーティのリスクマネジメント(TPRM)に関するガイドラインの整備が進んだ年でもありました。
このような中、委託先を含めたサプライチェーン全体の持続可能なリスクマネジメントの仕組みや、ガバナンス体制を整えていくことが求められます。しかし、すべての委託先が十分な予算を確保し、ITやセキュリティに詳しい担当者がいるとは限りません。そのため発注側企業は、委託先に対し単にセキュリティ要件を押し付けるのではなく、委託先の重要度や業務実態などを捉えて、適切なコミュニケーションを図りながら、共にセキュリティレベルを高めていく意識や関係性の構築が大切です。
各企業は、自社が関わるサプライチェーンにおいて果たすべき役割や責任を改めて見直し、セキュリティの被害者にも加害者にもならないために、前向きな投資と継続的な改善に取り組んでいくことが必要です。
「地政学的リスクに起因するサイバー攻撃(7位)」が初選出
初選出の「地政学的リスクに起因するサイバー攻撃」ですが、IPAによると以下のような脅威が該当すると解説されています。
- MirrorFace によるサイバー攻撃について(注意喚起)(警察庁、内閣サイバーセキュリティセンター)
- https://www.npa.go.jp/bureau/cyber/pdf/20250108_caution.pdf
国内でも、経済安全保障(経済安保)や能動的サイバー防御に関する話題に注目が集まっています。
NRIセキュア木村:国の重要インフラに対するサイバー攻撃を未然に防ぐ「能動的サイバー防御」に関する法案が近日中にも国会に提出される見込みです。日本での能動的サイバー防御の取り組みは、①官民連携の強化 ②通信情報の利用 ③アクセス・無害化の3つを軸に検討が進められています。
電力やガス、鉄道などの基幹インフラ事業者にあたる民間企業は、インシデントの報告が欧米のように厳格に義務化され、透明性と信頼性の高いセキュリティ対策の対応や体制が求められる可能性があります。これにより、サイバー攻撃に対する社会全体のレジリエンスが底上げされると期待されています。
今後は特に官民連携によるセキュリティ対策の強化の動きが加速していく見込みです。2024年に成立したセキュリティクリアランス制度の活用も視野に入れ、平時・有事の区別なく、政府と民間企業とでサイバー攻撃に関する被害や予兆に関する情報の共有が加速していくことが考えられます。
また、こうした中で企業のセキュリティ対策の透明性を高めるため、経済産業省はサイバー攻撃対応力を5段階で格付けする制度の導入を検討中です。企業の対策を5段階で評価し、取引先がどのレベルまで対策を取れているか分かるようにします。
「2021」から「2025」のランキング変遷
「2021」から「2025」の間で、組織編の脅威ランキングがどのように変動したかをまとめました。皆さんの組織での対応策にはどのような変化があったでしょうか。
情報セキュリティ10大脅威(組織編)ランキング経年比較
「リモートワーク等の環境や仕組みを狙った攻撃(6位)」が前年9位から再浮上
2021年版で初選出された「リモートワーク等の環境や仕組みを狙った攻撃(旧名称:テレワーク等のニューノーマルな働き方を狙った攻撃)」は、3位→4位→5位→9位と変動を続けながら、2025年版で6位に再浮上しています。
オフィス出社回帰が進む中、再度6位にランクインした要因として考えられることは何でしょうか?当社のセキュリティコンサルタント足立道拡に尋ねました。
NRIセキュア足立:サイバー攻撃において、最初の標的にされることが多いVPN機器やリモートデスクトップの脆弱性や設定ミスを狙う攻撃や被害が頻発していることで、6位に再浮上したものと考えられます。
COVID-19で企業のDXが急激に進んだことで、日本企業におけるテレワークやリモートワークは一般的になりました。直近1年では、日本企業においてもオフィス出社回帰の傾向が見られるものの、依然としてハイブリッドな働き方が主流です。
働き方にも多様性が求められる時代において、自宅やレンタルオフィスなどから会社のネットワークに繋ぐためには、リモートアクセス型のVPN機器に接続します。また、遠隔地から、PC・サーバーを操作するためにはリモートデスクトップ機能を使うことが有効な選択肢です。
攻撃者にとっては、VPN機器やリモートデスクトップを侵害することで、企業の内部ネットワークに侵入できることから、「リモートワーク等の環境や仕組みを狙った攻撃」は今後も続くと考えられます。
「分散型サービス妨害攻撃(DDoS攻撃)(8位)」が圏外から復活
DDoS攻撃の脅威が圏外から復活し、8位にランクインしました。企業がインターネットを通じて一般ユーザーに提供しているウェブサービスがこの攻撃の対象となりやすく、サービス停止状態に陥るとユーザーに不便をかけてしまいます。大型連休や年末年始といったウェブサイトにアクセスが集中しやすい時期にDDoS攻撃を行われると、一般ユーザーによるアクセスが集中しているだけなのか、攻撃なのかを区別しづらいことなども、サービス提供者を悩ませる要因のひとつです。
NRIセキュア足立:DDoS攻撃(Distributed Denial of Service Attack) とは、外部から大量のパケットを強制的に送りつける等の通信によって、ネットワークやシステムに負荷をかけて、攻撃対象のサービス利用を妨害する攻撃です。複数のサーバーやIoT機器などを乗っ取って、分散した環境から攻撃することが、Distributed の語源です。
2024年12月26日以後、国内の複数の企業における被害が報告されました。一度狙われると繰り返し攻撃が発生し、時間帯は昼夜を問わずに行われた模様です。
攻撃手法は「ネットワーク帯域消費型」と「システム資源消費型」の混成型DDoS攻撃と考えられ、国内企業へのDDoS攻撃としては過去最大規模のものであったことから、圏外から5年ぶりに8位に選ばれたのは必然と感じました。
今回のDDoS攻撃手法が混成型の攻撃であったことを踏まえて、ネットワーク層からアプリケーション層まで、DDoS対策自体を多層的に捉えることが重要と考えられます。
TOP10の脅威への対策は?
では、TOP10にランクインした脅威にはどのような対策を行えばよいのでしょうか?脅威の概要や対策例、押さえておきたいポイント、さらに詳しい解説が読める関連記事をご紹介します。
1位 ランサム攻撃による被害
ランサムウェアとは、PCやシステムのハードディスクドライブに保存されているファイルを、「人質」として暗号化し、復号のために被害者に金銭(ランサム=身代金)を要求するマルウェアのことです。
対策例
・ストレージの定期的なバックアップ
・重要なファイルへのアクセス権限見直し
・多要素認証を有効にする
・メールの添付ファイルをはじめ、提供元が不確かなファイルを開かない
2位 サプライチェーンや委託先を狙った攻撃
サプライチェーン攻撃とは、ターゲット企業に直接サイバー攻撃を行うのではなく、セキュリティ対策に弱点がある関連企業や取引先・委託先企業に攻撃を仕掛け、この企業を踏み台としてターゲット企業に不正侵入を行うサイバー攻撃です。
対策例
・サプライチェーン全体のセキュリティ対策状況の把握
・系列企業やビジネスパートナーへのセキュリティ対策の改善要求
・サプライチェーンネットワーク内の連絡プロセスの確立
3位 システムの脆弱性を突いた攻撃
※「修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃)」および「脆弱性対策情報の公開に伴う悪用増加」が統合されました
ソフトウェアの脆弱性を悪用した攻撃手法です。脆弱性情報の公開後、パッチ適用をしていないシステムを狙って脆弱性を突く攻撃を仕掛けたり、ゼロデイ攻撃のように、パッチ等の対応策が広く公表される前にその脆弱性(ゼロデイ脆弱性)を悪用して行われる場合もあります。
対策例
・攻撃の予兆、被害の早期検知
・利用するソフトウェアの脆弱性情報の収集
・修正プログラムの迅速な適用
・製品に組み込まれているソフトウェアの把握、管理(SBOMの活用)
4位 内部不正による情報漏えい等
内部不正とは、従業員や委託作業員などが内部情報を不正に持ち出し、第三者に販売したり悪用したりすることです。
対策例
・アクセス権限の見直しや、退職者のアカウント削除
・外部記憶媒体などの利用制限
・重要情報へのアクセス履歴や操作ログの記録・監視
5位 機密情報等を狙った標的型攻撃
標的型攻撃とは、特定の組織を狙った機密情報の窃取や、業務妨害を目的とした攻撃です。例えば、標的型メールを用いて特定の組織を狙ってメールの添付ファイルを開かせるような文面を用意し、悪意あるウェブサイトにアクセスさせてウイルス感染させるなどします。
対策例
・標的型メール訓練の実施
・従業員一人ひとりのセキュリティリテラシーの向上
・不審なメールを簡単に報告できるようにするシステムづくり
6位 リモートワーク等の環境や仕組みを狙った攻撃
「自宅からオフィスへのVPN接続」「Web会議サービスの利用」「私物のPCや自宅のインターネット環境の業務利用」「初めて使うリモートアクセス環境」などを狙った攻撃のことです。
対策例
・リモートワーク規定や運用ルールの整備
・セキュリティ教育の再実施
・ゼロトラストモデルの活用など、リモートワーク環境のセキュリティ対策の見直し
7位 地政学的リスクに起因するサイバー攻撃
地理的条件に基づいた国や地域の政治や軍事などに関わるリスクに起因する攻撃のことです。国家支援型ハッカー集団によるインフラ攻撃や情報窃取、サイバー戦争のリスクも指摘されています。
対策例
・脅威インテリジェンスの活用
・サプライチェーンセキュリティの強化
・インシデント対応能力の向上、レジリエンス強化
8位 分散型サービス妨害攻撃(DDoS攻撃)
DoS攻撃とは、特定のネットワークやコンピュータを対象に大量の処理負荷を与えることで、システムのサービス継続を妨害する攻撃を指します。そのうち、複数の第三者のクライアントを踏み台にし、攻撃元を分散させて防御を困難にさせる攻撃が、DDoS(分散型DoS)攻撃です。
対策例
・WAF(Web Application Firewall)やIPS(Intrusion Prevention System)で通信を遮断
・CDN(Contents Delivery Network)の活用
9位 ビジネスメール詐欺
ビジネスメール詐欺(BEC)とは、組織の取引先担当者になりすまし、ターゲットに金銭を送金させる手口です。企業間のメールを傍受し、巧みなタイミングと文面で仕掛けます。攻撃者は事前に企業のメールを盗み見るなどして、本物と見間違うような巧妙なメール文面で攻撃を仕掛けてくるので見破るのが困難な場合があります。
対策例
・送金指示の真正性を電話でも確認するなど、送金フローの見直し
・不審メールに気づくための従業員への教育
・DMARC の導入
10位 不注意による情報漏えい等
メール誤送信やクラウドサービスへのファイルの誤ったアップロードなど、不注意により意図せぬ相手に情報を漏えいしてしまうことです。近年では、クラウドサービスの設定ミスなどにより、非公開情報が誰でも閲覧可能になってしまう事案も増加しています。
生成AIに機密情報を入力してしまうケースも新たなリスクとして注目を集めています。入力したデータがAIの学習に取り込まれると、他者への応答に機密情報が現れてしまう可能性があります。従業員の利用マナーに頼るだけではなく、生成AIツールに備わるコンテンツフィルター機能を活用したり、生成AIの利用状況を監視するなどして、組織としても対策を行うことが望ましいです。
対策例
・従業員へのセキュリティ教育
・メール誤送信防止ソリューションの導入
・クラウドの設定ミス防止ソリューションや情報漏洩対策ソリューションの導入
・生成AIの利用状況を監視
おわりに
毎年、どのような脅威がランクインするか注目が集まるIPAの「情報セキュリティ10大脅威」ですが、今回も前年に頻発したセキュリティインシデントの影響が色濃く感じられる内容でした。本記事が、皆さまがセキュリティ対策を計画する際のヒントとして、少しでもお役に立てば幸いです。
なお、各脅威の詳細な解説は2月下旬にIPAのサイトで公開が予定されています。