独立行政法人 情報処理推進機構(IPA)は毎年、最新のサイバー脅威をまとめた「情報セキュリティ10大脅威」を発表しています。
2025年版の【組織】向け脅威ランキングでは、ランサムウェア攻撃やサプライチェーン攻撃、DDoS攻撃など、昨今被害が増加している脅威がランクインしています。
また今年から新設された地政学的リスクに起因するサイバー攻撃もランクインされています。
![情報セキュリティ10大脅威 2025 [組織]](https://de-denkosha.co.jp/wp-content/uploads/2025/02/SIEM-001.jpg)
出典:情報セキュリティ10大脅威 2025 | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構
どれも非常に注意したいサイバー攻撃ですが、どういった攻撃なのか詳しく知らないという方もいらっしゃるのではないでしょうか?
そこで本記事では、1位から10位までの脅威と対策方法を分かりやすく解説していきます。
10位:不注意による情報漏えい等
(初選出年:2016年/7年連続8回目)
従業員の不注意による情報漏えいは、依然として大きな問題です。
誤って機密情報を外部に送信したり、設定ミスによって意図せず秘匿情報が流出したりするケースが頻発しています。
また、USBメモリやノートPCの紛失、書類の放置など、物理的なミスによる情報漏えいも無視できません。
情報管理の徹底など、日頃からの対策が重要です。
【対策方法】
- 情報管理ルールの徹底(アクセス制限、データ暗号化)
- 従業員の定期的なセキュリティ教育
- DLPなど適切なソリューションの導入
- ダブルチェックなどの仕組みの導入(メール送信前の確認システム)
9位:ビジネスメール詐欺
(初選出年:2018年/8年連続8回目)
取引先や経営層を装ったメールで送金を促す「ビジネスメール詐欺(BEC)」は、世界的にも被害が増加しています。
この攻撃は、メールを巧妙に細工して担当者を騙し、攻撃者が用意した口座に送金させます。
近年はAIによって、メールの文体や署名が本物そっくりに偽装されるケースが相次いでいます。
従業員の教育や訓練で詐欺への認識を深めるとともに、決済フローの確認強化などを進めることが重要です。
【対策方法】
- 多要素認証(MFA)の導入
- 社内の決済フローの厳格化(複数人承認プロセスの強化)
- フィルタリング技術を活用した疑わしいメールのブロック
- 従業員へのフィッシングメール訓練
8位:分散型サービス妨害攻撃(DDoS攻撃)
(初選出年:2016年/5年ぶり6回目)
DDoS攻撃は、組織のサーバーやネットワークを大量のリクエストで圧迫し、業務を妨害するサイバー攻撃です。
古くからあるサイバー攻撃ですが、昨年末から増加傾向にあり、5年ぶりに10大脅威にランクインしました。
企業のWebサイトやシステムが狙われることが多く、攻撃によるシステム障害でサービスが使えなくなるなど、一般ユーザーにも被害が及ぶケースが見られます。
【対策方法】
- CDN(コンテンツ配信ネットワーク)の活用による負荷分散
- WAFなどのソリューションの導入
- トラフィックの異常検知と自動遮断機能の実装
- DDoS防御サービスの導入
7位:地政学的リスクに起因するサイバー攻撃
(初選出年:2025年/初選出)
今回初選出されたこの脅威は、政治的、軍事的な目的で行われるサイバー攻撃のことで、特定の国や団体が支援する犯罪集団が主に政府機関や重要インフラを目標として攻撃を行います。
近年サプライチェーンを介した攻撃などにより、一般企業も標的になるケースがあるため、注意が必要です。
【対策方法】
- サイバーインテリジェンスの活用(脅威インテリジェンスプラットフォームの導入)
- 海外との取引先のセキュリティリスク評価
- マイクロセグメンテーションなどでのゼロトラストアーキテクチャの導入
6位:リモートワーク等の環境や仕組みを狙った攻撃
(初選出年:2021年/5年連続5回目)
リモートワークの普及により、従来の境界型防御が崩れ、企業のネットワークが攻撃者にとってより脆弱になっています。
特に、VPNやリモートデスクトップ(RDP)の脆弱性を狙った攻撃が急増しています。
また適切なセキュリティ対策が施されていない従業員の私物PCや自宅のネットワーク環境が狙われることもあり、リモートワーク環境を整備し、セキュリティ体制を強化していく必要があります。
【対策方法】
- マイクロセグメンテーションなどゼロトラストセキュリティの導入
- 多要素認証(MFA)の導入
- エンドポイントセキュリティの強化
- リモートワークポリシーの見直しと従業員の教育
5位:機密情報等を狙った標的型攻撃
(初選出年:2016年/10年連続10回目)
標的型攻撃とは、特定の企業や組織を狙い、長期間にわたって情報収集や不正アクセスを行う高度な攻撃手法です。
主な手法はメールで、添付ファイルを開封させたり、メール本文のリンクにアクセスさえることでウィルスに感染させます。
実在する組織の差出人名が使われるなどの偽装工作が行われており、AIの台頭などから年々巧妙になっています。
他にもターゲットがよく利用するWebサイトを改ざんしたり、クラウド、VPNなどのサービスの脆弱性を利用して不正アクセスするなどして、個人情報などを盗み出します。
【対策方法】
- 標的型攻撃メール訓練の実施
- EDRなどの適切なソリューションの導入
- ネットワーク監視の強化
- 情報資産の分類と厳格なアクセス制御
4位:内部不正による情報漏えい等
(初選出年:2016年/10年連続10回目)
内部関係者による情報漏えいは、外部攻撃と同様に大きなリスクとなっています。
従業員や退職者が機密情報を持ち出すケースだけでなく、悪意のないミスによるデータ流出も多発しています。
特に、クラウドストレージを使った不正持ち出しや、USBメモリによるデータ漏えいが問題視されており、社内での情報の取り扱い体制を整備する必要があります。
【対策方法】
- アクセス制御の厳格化
(マイクロセグメンテーションなどでアクセス権限を最小に) - 内部監視ツールの活用(SIEMやUEBAの導入)
- 退職者や異動者のアカウント管理強化
- 情報セキュリティポリシーの定期的な見直し
3位:システムの脆弱性を突いた攻撃
(初選出年:2016年/5年連続8回目)
システムの脆弱性を修正される前に悪用する攻撃を「ゼロデイ攻撃」といいます。
企業が利用するソフトウェアやアプリケーションに脆弱性が発見されると、攻撃者が迅速に悪用し、企業のシステムへ侵入を試みます。
開発企業等が脆弱性を発見できていないと、修正プログラムが作成されないため、被害を防ぐのが非常に困難です。
万が一侵入されたときに拡散しないようなセキュリティを準備しておくことも必要になります。
またアップデートが遅れることで被害に合うケースもあるため、常に最新の状態にアップデートしておくことが求められます。
【対策方法】
- 定期的なセキュリティパッチ適用
- 脆弱性スキャニングの実施
- マイクロセグメンテーションなど侵入時用のセキュリティの準備
- セキュリティチームのスキル向上
2位:サプライチェーンや委託先を狙った攻撃
(初選出年:2019年/7年連続7回目)
取引先や外部委託先などの企業を攻撃して、本来のターゲット企業に侵入するのが「サプライチェーン攻撃」です。
強固なセキュリティ対策がされている可能性が高い大企業を直接狙うより、セキュリティが不十分な取引先企業を攻撃してそこから侵入した方が、成功確率が高く効率がいいためです。
またソフトウェア開発元などを攻撃してアップデートにウィルスを仕込み、利用者に感染させるといった攻撃も行ってきます。
今の時代は自社だけでなく、取引先企業ともセキュリティの連携を図る必要があります。
【対策方法】
- 取引先・委託先のセキュリティ基準の統一
- サードパーティリスクマネジメント(TPRM)の強化
- ソフトウェアの検証と署名の確認
- ゼロトラストアーキテクチャの適用
1位:ランサム攻撃による被害
(初選出年:2016年/10年連続10回目)
第1位となった「ランサムウェア攻撃」は企業などに侵入してランサムウェアを感染させ、情報資産やシステムを暗号化して身代金を要求する手法です。
2024年は有名企業で大きな被害を出し、ニュースでも話題となりました。
近年はますます巧妙化しており、従来のサイバーセキュリティでは侵入を防ぐのが難しくなってきています。
また暗号化せずにデータを盗んで身代金を要求する「ノーウェアランサム」などの新たな手口も出てきており、早急な対策が必要です。
【対策方法】
- バックアップの多層化とオフライン保管
- メールフィルタリングやエンドポイント保護の強化
- マイクロセグメンテーションなどでのゼロトラストセキュリティの導入
- 従業員のセキュリティ意識向上(フィッシング対策)
まとめ
この10大脅威は2024年に発生したセキュリティ事案に基づいて選出されていますが、2025年も同様のサイバー攻撃が行われる可能性が高く、引き続き対策していくことが重要です。
またゼロデイ攻撃など、従来のセキュリティ方法では侵入を防ぎきれないケースも珍しくなく、今の時代は侵入されることも想定したセキュリティを準備する必要が出てきています。
これを機に今一度、自社のセキュリティ体制を見直してみるのはいかがでしょうか?
マイクロセグメンテーションなら「ColorTokens Xshield(カラートークンズ エックスシールド)」
記事内の対策方法で出てきた最新サイバーセキュリティ技術「マイクロセグメンテーション」を採用したいなら、「ColorTokens Xshield(カラートークンズ エックスシールド)」がおすすめです。
アメリカの医療施設や政府機関にも導入されており、世界15カ国以上で顧客を持つ実績ある製品として、日本市場でも注目を集めています。
また本製品は、中小企業向けに「カラートークンズ 簡単導入パック」も提供しています。
本パックは、PC台数が50〜300台の企業を対象とし、短期導入(約2週間)、簡単運用、低価格を特徴としています。
セキュリティ担当者がいない企業でも導入しやすく、コスト削減と運用の簡素化を実現しつつ、効果的なランサムウェア対策を可能にします。
ぜひ貴社のサイバーセキュリティソリューションとして、ご検討ください。
【参考サイト】
・IPA 独立行政法人 情報処理推進機構 |情報セキュリティ10大脅威 2025
この記事の著者:電巧社セキュリティブログ編集部
電巧社がおすすめするサイバーセキュリティ(マイクロセグメンテーション)の
資料をダウンロードする
メルマガ登録
ゼロトラストセキュリティ・マイクロセグメンテーションをはじめとして、サイバーセキュリティの最新情報や事例、セミナー開催情報などをお届けします。
本記事に関連するサービス
エンドポイントごとに分割して守る新サイバーセキュリティ技術「マイクロセグメンテーション」で、ランサムウェアなどのサイバー攻撃から情報資産を保護します。
「会社に情報システム部門がない…」
そんな企業様に最適!
最短2週間で導入可能・シンプルな運用・低コストでサイバー攻撃の被害を最小限に抑えます。
よく読まれている記事
関連する用語集
