【2025年版】情報セキュリティ10大脅威を専門家が徹底解説
IPAが発表した最新の情報セキュリティ10大脅威(2025年版)をもとに、企業が直面するリスクと具体的な対策を専門家がわかりやすく解説します。自社のセキュリティ対策を見直したいIT担当者や経営者の方におすすめの内容です。
サイバー攻撃は日々巧妙化しており、企業規模を問わず深刻な経営リスクとなっています。自社の対策は万全でしょうか。どこから手をつければよいのか迷う方も多いはずです。本記事では、IPAが発表した2025年版10大脅威をもとに、今すぐ実践できる対策を解説します。
1. 速報!情報セキュリティ10大脅威 2025(組織向け)ランキング一覧
まずは結論から見ていきましょう。独立行政法人情報処理推進機構(IPA)が発表した「情報セキュリティ10大脅威 2025」の「組織」向けランキングは以下の通りです。昨年と比較して、サプライチェーンの弱点を悪用した攻撃が順位を上げ、依然としてランサムウェアによる被害が深刻であることがわかります。
| 順位 | 脅威の内容 |
| 1位 | ランサムウェアによる被害 |
| 2位 | サプライチェーンの弱点を悪用した攻撃 |
| 3位 | 内部不正による情報漏えい等の被害 |
| 4位 | 標的型攻撃による機密情報の窃取 |
| 5位 | 修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃) |
| 6位 | 不注意による情報漏えい等の被害 |
| 7位 | ビジネスメール詐欺による金銭被害 |
| 8位 | 脆弱性対策情報の公開に伴う悪用増加 |
| 9位 | テレワーク等のニューノーマルな働き方を狙った攻撃 |
| 10位 | 犯罪のビジネス化(アンダーグラウンドサービス) |
2. 【組織向け】TOP5の脅威と必須対策
特に警戒が必要な上位5つの脅威について、それぞれの手口と、今すぐ実施すべき具体的な対策を解説します。
2-1. ランサムウェアによる被害
概要: ランサムウェアは「身代金要求型ウイルス」とも呼ばれ、企業のサーバーやPC内のデータを暗号化して使用不能にし、その復旧と引き換えに高額な金銭(身代金)を要求する攻撃です。近年は、データを暗号化するだけでなく、「支払いに応じなければ、窃取した情報を公開する」と脅迫する二重恐喝(ダブルエクストーション)の手口が主流となっており、たとえバックアップから復旧できても情報漏えいのリスクが残るため、被害がより深刻化しています。
想定される被害:
- 事業停止: 基幹システムや生産ラインが停止し、長期間の操業停止に追い込まれる。
- 金銭的損失: 身代金の支払い(支払ってもデータが復旧・非公開にされる保証はない)、復旧作業費用、事業停止による機会損失など、莫大なコストが発生。
- 情報漏えい: 顧客情報や技術情報などの機密情報が漏えいし、ブランドイメージの失墜、顧客からの信頼喪失、損害賠償請求などに繋がる。
具体的な対策:
- 技術的対策:
- バックアップの徹底: 「3-2-1ルール」(3つのコピーを、2種類の媒体に、1つはオフラインで保管)に基づき、即時復旧可能なバックアップと、攻撃者の手が届かないオフラインバックアップの両方を確保する。
- EDR/XDRの導入: 従来のアンチウイルスソフトでは検知困難な不審な挙動を検知・防御するEDR(Endpoint Detection and Response)や、より広範囲を監視するXDRの導入を検討する。
- アクセス権の最小化: 従業員のアカウントには必要最小限の権限のみを付与し、万が一アカウントが乗っ取られても、被害範囲を最小限に抑える。
- 組織的対策:
- 従業員教育: 不審なメールの添付ファイルやURLを開かないよう、定期的な標的型攻撃メール訓練を実施する。
- インシデント対応計画(IRP)の策定: インシデント対応計画(IRP)の策定: 被害発生時の報告体制や初動対応、復旧手順などを明確に定め、定期的に訓練を実施する。
2-2. サプライチェーンの弱点を悪用した攻撃
概要: 自社を直接狙うのではなく、セキュリティ対策が比較的脆弱な取引先や子会社、業務委託先などを踏み台にして、本丸であるターゲット企業へ侵入する攻撃です。ソフトウェア開発会社が攻撃を受け、その製品のアップデートを通じて広範囲のユーザーにマルウェアが配布されるなど、一企業の問題が業界全体に波及するケースもあります。自社の対策が万全であっても、取引先が攻撃されると被害を受ける可能性があるため、非常に厄介な脅威です。
想定される被害:
- 予期せぬ侵入経路の提供: 自社では防御しているはずの経路から、取引先を経由して侵入される。
- 信頼関係の悪用: 取引先を装ったメールや通信は、つい信頼してしまい、攻撃の発見が遅れることがある。
- 加害者としての責任: 自社が踏み台にされ、他の取引先に被害を拡大させてしまった場合、損害賠償や取引停止に繋がる可能性がある。
具体的な対策:
- 技術的対策:
- 取引先との接続点の監視強化: VPN接続やAPI連携など、取引先と接続している部分の通信ログを監視し、異常なアクティビティがないかを確認する。
- ソフトウェアサプライチェーンの管理: 利用しているソフトウェアやライブラリの脆弱性情報を常に把握し、管理するための仕組み(SBOM:ソフトウェア部品表など)を導入する。
- 組織的対策:
- 取引先のセキュリティ評価: 新規取引開始時や定期的な見直しにおいて、取引先のセキュリティ対策状況を確認するチェックシートなどを導入する。
- 契約へのセキュリティ条項の盛り込み: インシデント発生時の報告義務や、遵守すべきセキュリティ基準などを契約書に明記する。
2-3. 内部不正による情報漏えい等の被害
概要: 従業員や元従業員、委託先の担当者など、正規の権限を持つ内部関係者によって、意図的に機密情報が持ち出されたり、システムが破壊されたりする脅威です。動機は金銭目的、私怨、あるいは転職先への手土産など様々です。外部からの攻撃と異なり、正規の権限が悪用されるため、検知が非常に困難な点が特徴です。
想定される被害:
- 核心的な情報の漏えい: 顧客リスト、技術情報、開発中の製品情報など、事業の根幹を揺るがす重要情報が競合他社などに流出する。
- システムの破壊・改ざん: 退職者が腹いせにサーバーのデータを削除するなど、事業継続に深刻な影響を及ぼす場合がある。
具体的な対策:
- 技術的対策:
- アクセスログの監視: 誰が、いつ、どの情報にアクセスしたかを記録・監視する。特に、退職予定者や権限の強い管理者の不審な操作(大量のデータダウンロードなど)にはアラートを出す仕組みを導入する。
- DLP(Data Loss Prevention)の導入: 機密情報にラベルを付け、社外への送信やUSBメモリへのコピーなどをルールに基づいてブロックする。
- 組織的対策:
- 退職者管理の徹底: 退職が決定した従業員のアカウントは、最終出社日に速やかに無効化する。
- 内部不正防止に関する規程の整備と周知: 秘密保持契約(NDA)の締結はもちろん、不正行為が発覚した場合の懲戒処分などを明確に定め、全従業員に周知徹底する。
2-4. 標的型攻撃による機密情報の窃取
概要: 特定の組織が持つ機密情報を狙い、周到な準備のもとで実行されるサイバー攻撃です。攻撃者は、ターゲット企業の業務内容や取引先、担当者の名前などを事前に詳しく調査し、業務に関係があるかのような巧妙な偽装メール(スピアフィッシングメール)を送付してきます。受信者が添付ファイルを開いたり、リンクをクリックしたりすることでマルウェアに感染させ、長期間にわたって潜伏し、目的の情報を探し出して窃取します。
想定される被害:
- 知的財産の窃取: 研究開発データ、製品の設計図、独自の製造ノウハウなどが盗まれ、国際的な競争力を失う。
- M&Aなど重要情報の漏えい: 交渉中のM&A情報などが漏えいし、交渉が破談になったり、不利な条件を飲まされたりする。
具体的な対策:
- 技術的対策:
- 多層防御: 単一のセキュリティ製品に頼るのではなく、ゲートウェイ、ネットワーク、エンドポイントなど、複数の階層で防御策を講じる。
- サンドボックス: メールの添付ファイルなどを、実際の環境から隔離された安全な仮想環境(サンドボックス)で実行し、悪意のある動作をしないか確認する。
- 組織的対策:
- 高度な標的型攻撃メール訓練: 「自分は騙されない」という思い込みをなくすため、実際の攻撃に近い巧妙な訓練メールを定期的に実施します。
- インシデント検知後の迅速な対応: 侵入されることを前提に、万が一侵入された場合でも、いかに早く検知し被害を最小限に抑えるかという観点で、CSIRTやSOCなどの体制を整備します。
2-5. 修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃)
概要: ソフトウェアの脆弱性が発見されてから、開発元が修正プログラム(パッチ)を提供するまでの間に行われる攻撃を「ゼロデイ攻撃」と呼びます。防御する側にとっては、まだ対策が存在しない「無防備な期間(ゼロデイ)」を狙われるため、防ぐのが極めて困難です。OSやWebブラウザなど、広く使われているソフトウェアが標的になりやすく、大規模な被害に繋がりやすい特徴があります。
想定される被害:
- 広範囲へのマルウェア感染: 多くのユーザーが利用するソフトウェアの脆弱性を突かれると、修正プログラムが公開されるまでの間に、一気に感染が拡大する。
- 未知の攻撃による侵入: 既知の攻撃パターンに依存する従来のセキュリティ製品では検知できず、気づかないうちに侵入を許してしまう。
具体的な対策:
- 技術的対策:
- 仮想パッチ(IPS/IDS): 脆弱性を狙う攻撃の通信パターンを検知・ブロックするIPS(不正侵入防止システム)などを導入し、修正プログラムが適用されるまでの間、リスクを軽減する。
- EDRの活用: ゼロデイ攻撃によってマルウェアが実行されたとしても、その後の不審な挙動(C&Cサーバーとの通信など)を検知して対応する。
- 組織的対策:
- 脆弱性情報の迅速な収集と対応体制: JVN(Japan Vulnerability Notes)などの信頼できる情報源から、自社で利用しているソフトウェアの脆弱性情報を常に収集し、修正プログラムが公開されたら速やかに適用する体制を整えておく。
3. 【組織向け】6位~10位の脅威と注目すべき動向
上位の脅威ではありませんが、これらも企業活動に大きな影響を及ぼします。特に注意すべきポイントについて解説します。
3-1. 不注意による情報漏えい等の被害
メールの誤送信(宛先間違い、BCCとTOの誤り)、機密情報が入ったPCやUSBメモリの紛失・置き忘れなど、悪意のないヒューマンエラーが原因で発生します。技術的な対策だけでは防ぎきれないため、組織全体で意識を高めることが不可欠です。
3-2. ビジネスメール詐欺による金銭被害
経営者や取引先になりすまし、巧妙なメールで経理担当者などを騙して、偽の口座に送金させる詐欺です。手口は年々巧妙化しており、「急な送金先の変更」「CEOからの極秘の依頼」といった心理的な隙を突くケースが多く見られます。送金前に電話で事実確認を行うなど、アナログなルールも有効です。
3-3. 脆弱性対策情報の公開に伴う悪用増加
修正プログラムが公開されると、その内容から脆弱性の詳細が攻撃者に知られてしまい、かえって攻撃が増加するケースがあります。修正プログラムの適用が遅れているシステムは、格好の標的となります。情報公開から適用までのタイムラグをいかに短縮するかが鍵です。
3-4. テレワーク等のニューノーマルな働き方を狙った攻撃
自宅のWi-Fiルーターの脆弱性や、私物端末の利用(BYOD)、セキュリティ対策が不十分なVPN装置などが攻撃の起点となります。オフィスと同等のセキュリティレベルを、多様な勤務環境でもどのように維持するかが課題です。
3-5. 犯罪のビジネス化(アンダーグラウンドサービス)
攻撃者自身が高度な技術を持っていなくても、アンダーグラウンド市場で販売されている攻撃ツールや、盗まれた認証情報、ランサムウェア攻撃の代行サービス(RaaS: Ransomware as a Service)などを利用して、容易にサイバー攻撃を実行できてしまう状況です。これにより攻撃のハードルが下がり、攻撃者が増加しています。
4. 【個人向け】10大脅威と従業員教育への活用
組織のセキュリティは、従業員一人ひとりの意識と行動に支えられています。IPAが発表した「個人向け」の脅威は、従業員教育の題材としても非常に有効です。
情報セキュリティ10大脅威 2025(個人向け)
1.フィッシングによる個人情報等の詐取
2.インターネット上の誹謗・中傷・デマ
3.不正アプリによるスマートフォン利用者への被害
4.クレジットカード情報の不正利用
5.スマホ決済の不正利用
6.偽ショッピングサイト・詐欺サイトによる金銭被害
7.ネット上のサービスへの不正ログイン
8.ワンクリック請求等の不当請求による金銭被害
9.なりすましによるSNS等での被害
10.AIを悪用した詐欺や偽情報
例えば、「フィッシング」や「不正ログイン」は、個人の問題であると同時に、その認証情報が会社のシステムへの侵入口として悪用される可能性があります。従業員には、これらの脅威が自分自身の問題であると同時に、会社全体のリスクにもつながることを理解してもらうことが重要です。
まとめ
本記事では2025年の10大脅威を解説しました。脅威を理解することは、対策の第一歩です。自社の弱点を把握し、技術面と組織面の両方から継続的に対策を強化することが、変化し続けるサイバー攻撃からビジネスを守る唯一の方法です。
近藤商会は、セキュリティ対策の専門チームとして、多くの企業様のセキュリティ対策をサポートしています。特にバックアップ体制の構築や、インシデント対応計画の策定など、実践的な対策をご提案可能です。
近藤商会の情報セキュリティ対策サービスをご覧ください。
参照・引用元一覧
独立行政法人情報処理推進機構(IPA) 「情報セキュリティ10大脅威 2025」