IPAが「情報セキュリティ10大脅威 2025」を発表、新設した「地政学的リスクに起因するサイバー攻撃」がランクイン

　独立行政法人情報処理推進機構（以下、IPA）は30日、情報セキュリティにおける脅威のうち、2024年に社会的影響が大きかったトピックを「情報セキュリティ10大脅威 2025」として公表した。詳しい解説は2月下旬以降、IPAのウェブサイトで順次公開する予定。

　IPAでは、情報セキュリティ対策の普及を目的として2006年から、前年に発生した情報セキュリティ事故や攻撃の状況などを「情報セキュリティ10大脅威」として公表しているI。PAが脅威候補を選定し、情報セキュリティ分野の研究者、企業の実務担当者など約200人のメンバーで構成する「10大脅威選考会」の投票を経て決定した。

　「組織」の立場における2024年の10大脅威は、以下の通りとなった。

1位「ランサム攻撃による被害」
2位「サプライチェーンや委託先を狙った攻撃」
3位「システムの脆弱性を突いた攻撃」
4位「内部不正による情報漏えい等」
5位「機密情報等を狙った標的型攻撃」
6位「リモートワーク等の環境や仕組みを狙った攻撃」
7位「地政学的リスクに起因するサイバー攻撃」
8位「分散型サービス妨害攻撃（DDoS攻撃）」
9位「ビジネスメール詐欺」
10位「不注意による情報漏えい等」

　「組織」向け脅威のうち、1位の「ランサム攻撃による被害」と2位の「サプライチェーンや委託先を狙った攻撃」は、前年と順位は変わらない。前年7位の「システムの脆弱性を突いた攻撃」が3位に順位を上げたが、これは、前年5位の「修正プログラムの公開前を狙う攻撃（ゼロデイ攻撃）」を、今回「システムの脆弱性を突いた攻撃」に統合した影響が一因として考えられるとしている。

　また、今回新設した「地政学的リスクに起因するサイバー攻撃」が7位に選出されており、具体例として、国家の関与が疑われるとされるサイバー攻撃が挙げられた。また、年末年始にも見られた「分散型サービス妨害攻撃（DDoS攻撃）」が、2020年以来となるランクインをしている。

　「個人」の立場における2024年の10大脅威は、以下の項目が挙げられている。

「インターネット上のサービスからの個人情報の窃取」
「インターネット上のサービスへの不正ログイン」
「クレジットカード情報の不正利用」
「スマホ決済の不正利用」
「偽警告によるインターネット詐欺」
「ネット上の誹謗・中傷・デマ」
「フィッシングによる個人情報等の詐取」
「不正アプリによるスマートフォン利用者への被害」
「メールやSMS等を使った脅迫・詐欺の手口による金銭要求」
「ワンクリック請求等の不当請求による金銭被害」

　「個人」向け脅威は、全て前年と変化がなかった。しかし、前年と同じ脅威であっても、取り巻く環境も同じというわけではなく、攻撃者は手口を進化させ、特に社会的に注目されるニュースや新技術（生成AIなど）を巧妙に利用して、日々新たな攻撃を仕掛けていると指摘。常日頃から脅威に関する最新情報に注意を払い、手口を知っておくことが重要だとしている。

情報セキュリティ10大脅威 2025