IPA(独立行政法人情報処理推進機構)が前年に発生した社会的に影響が大きかったと考えられる情報セキュリティにおける事案を「個人」と「組織」の視点から脅威候補を選出し、情報セキュリティ分野の研究者など約200名により脅威候補に対して審議・投票を行い、『情報セキュリティ10大脅威』として発表しています。
本稿は、2025年1月30日に発表された情報セキュリティ10大脅威 2025の解説書をもとにそれぞれの項目を要約し、まとめました。『情報セキュリティ10大脅威』には注目するべき脅威の傾向や個人・組織が取り組むべきセキュリティ対策もまとめられています。
最新のトレンドを把握し、適切なセキュリティ対策に取り組んでいきましょう。
情報セキュリティ10大脅威『個人』2025 概要
最初に、情報セキュリティ10大脅威「個人」について確認していきましょう。
以前は、10大脅威には順位が掲載されていました。しかし、下位の脅威への対策が疎かになることを懸念し、順位は掲載せず、五十音順で掲載されるようになりました。
情報セキュリティ10大脅威 2025『個人』
|
情報セキュリティ10大脅威 2025『個人』 |
初選出年 |
10大脅威での取り扱い(2016年以降) |
|
インターネット上のサービスからの個人情報の窃取 |
2016年 |
6年連続9回目 |
|
インターネット上のサービスへの不正ログイン |
2016年 |
10年連続10回目 |
|
クレジットカード情報の不正利用 |
2016年 |
10年連続10回目 |
|
スマホ決済の不正利用 |
2020年 |
6年連続6回目 |
|
偽警告によるインターネット詐欺 |
2020年 |
6年連続6回目 |
|
ネット上の誹謗・中傷・デマ |
2016年 |
10年連続10回目 |
|
フィッシングによる個人情報等の詐取 |
2019年 |
7年連続7回目 |
|
不正アプリによるスマートフォン利用者への被害 |
2016年 |
10年連続10回目 |
|
メールやSMS等を使った脅迫・詐欺の手口による金銭要求 |
2019年 |
7年連続7回目 |
|
ワンクリック請求等の不当請求による金銭被害 |
2016年 |
3年連続5回目 |
今回発表された脅威は、2024年の情報セキュリティ10大脅威「個人」からの変更はありませんでした。
それでは、情報セキュリティ10大脅威「個人」で紹介されている内容について、一つずつ確認していきましょう。
インターネット上のサービスからの個人情報の窃取
ショッピングサイト(ECサイト)など、インターネット上のサービスに登録されている個人情報などの重要情報を窃取します。
攻撃者は適切なセキュリティ対策が行われていないサービスに対し、脆弱性や設定不備を悪用して不正アクセス・不正ログインなどを行い、個人情報などの重要情報を窃取します。
<予防、対策例>
- 利用していないサービスの退会
- 必須項目以外の情報を登録しない
- ワンタイムパスワード、指紋や顔認証など多要素認証の有効化
- クレジットカード利用明細の定期的な確認 など
インターネット上のサービスへの不正ログイン
インターネット上のサービスのアカウントに対し、第三者が不正にログインを行い、アカウントの乗っ取りや、アカウントに紐づいた個人情報を窃取します。
フィッシング詐欺、マルウェア感染、パスワード攻撃などの手口でアカウント情報を入手します。
<予防、対策例>
- セキュリティソフトの導入
- 不用意に添付ファイルの開封、メール、SMSのリンク、URLを開かない
- ワンタイムパスワード、指紋や顔認証など多要素認証の有効化
- 利用していないサービスの退会 など
クレジットカード情報の不正利用
オンラインショッピングやキャッシュレス決済の普及により、クレジットカードは日常的に利用されています。
フィッシング詐欺や脆弱性を悪用したWebサイトの改ざんなどによりクレジットカード情報を詐取し、不正利用します。
<予防、対策例>
- 不用意に添付ファイルの開封、メール、SMSのリンク、URLを開かない
- 普段は表示されないような画面やポップアップが表示された場合、情報を入力しない
- 利用頻度が低いサービスではクレジットカード情報を保存しない
- クレジットカード利用明細の定期的な確認 など
スマホ決済の不正利用
スマホ決済を使った各社のサービスは利便性が高い反面、第三者のなりすましによりサービスの不正な取引や連携する銀行口座からの不正な引き出しなどの攻撃が確認されています。
不正に入手したログイン情報を利用したスマホ決済への不正ログインのほかに、ネットショッピングにおいて、欠品などを理由に注文がキャンセルされた際の返金手続きを装い、攻撃者へ送金するよう誘導する手口なども存在します。
<予防、対策例>
- 利用していないサービスの退会
- ワンタイムパスワード、指紋や顔認証など多要素認証の有効化
- スマホ決済を装ったフィッシングメールに留意する
- 利用状況通知機能の利用、利用履歴の定期的な確認 など
偽警告によるインターネット詐欺
突然ブラウザに偽のセキュリティ警告画面を表示させ、閲覧者を様々な方法で不安を煽り、偽のセキュリティ警告画面に表示される指示に従わせ、遠隔操作ソフトウェアをインストールしたり、サポート窓口を装ってサポート料金を要求します(サポート詐欺)。
ブラウザなどに表示される画面は、実在する企業からの通知を装うなど、閲覧者に通知される内容を信用させ指示に従うよう促します。
<予防、対策例>
- 偽警告が表示されたらブラウザを終了する
- 警告を安易に信用せず、指示に従わない
- ポップアップや広告のブロック機能などを利用する
- ブラウザの通知機能を不用意に許可しない など
ネット上の誹謗・中傷・デマ
SNSの普及に伴い、匿名で自身の意見を自由に発信できることが一般的になりました。
自身の発信で他者を誹謗・中傷したり、デマで社会的な混乱を引き起こしたりなど、問題となる場合があります。内容によっては裁判沙汰になったり、経済的損失を被ったりすることもあります。
<予防、対策例>
- 誹謗・中傷や公序良俗に反する投稿や拡散をしない
- 情報の信頼性を確認する
- 投稿や拡散の責任を問われることを理解する など
フィッシングによる個人情報等の詐取
実在する金融機関やショッピングサイト、宅配業者などの有名企業を騙るメールやSMSを送信し、フィッシングサイト(正規のWebサイトを騙った偽のWebサイト)へ誘導し、認証情報やクレジットカード情報、個人情報を入力させ詐取する行為がフィッシング詐欺です。
フィッシングサイトの誘導にはURLにアクセスさせる方法のほかにもQRコードを使用する(クイッシング)手口も存在します。
<予防、対策例>
- 不用意に添付ファイルの開封、メール、SMSのリンク、URL、QRコードを開かない
- 多要素認証の設定を有効化
- 迷惑メールフィルターを利用
- 通常と異なるログインがあった場合に通知する設定を有効にする など
不正アプリによるスマートフォン利用者への被害
不正なスマートフォンアプリをインストールさせ、スマートフォン内の情報窃取や不正操作を行います。
攻撃者による不正アプリをインストールさせる手口は、メールやSMSに記載されたURLのクリックからや公式マーケットに公開された不正アプリをインストールさせることなどの手口が確認されています。
<予防、対策例>
- 公式マーケットからアプリを入手する ※不正アプリが紛れていることがあるため、レビューや評価、開発者情報を確認する
- 不要なアプリをインストールしない
- 利用しないアプリはアンインストール など
メールやSMS等を使った脅迫・詐欺の手口による金銭要求
メールやSMSなどを悪用し、人の弱みに付け込むものや、公共機関を装って相手の不安を煽るもの、親交を深めて相手を騙すものなどがあります。
これらの詐欺の手口は様々ありますが、攻撃者の目的は金銭を詐取することです。
<予防、対策例>
- 受信した脅迫、詐欺メールを無視する
- ワンタイムパスワード、指紋や顔認証など多要素認証の有効化
- メールに記載されている番号に電話をしない など
ワンクリック請求等の不当請求による金銭被害
Webサイトの閲覧中やメールなどに記載されたリンクにアクセスした際に有料サービスの会員登録完了画面や利用料の請求画面を表示し、金銭を不当に請求するワンクリック請求です(ワンクリック詐欺)。
PCやスマートフォンの利用者が悪意のあるサイトなどへアクセスしてしまったり、メールやSNSに記載されたリンクをクリックしてしまうと、契約が成立したかのようなメッセージと有料サービスの会員登録料や利用料といった名目の金銭の請求画面が表示されます。
<予防、対策例>
- 不用意に添付ファイルの開封、メール、SMSのリンク、URLを開かない
- 請求を安易に信用しない
- 不当な請求には応じない、連絡しない
- 請求画面が表示されたらブラウザを終了する など
情報セキュリティ10大脅威『組織』2025 概要
次に、情報セキュリティ10大脅威「組織」について確認していきましょう。
情報セキュリティ10大脅威 2025『組織』
|
順位 |
情報セキュリティ10大脅威 2024『組織』 |
|
情報セキュリティ10大脅威 2025『組織』 |
|---|---|---|---|
|
1 |
ランサムウェアによる被害 |
→ |
ランサムウェアによる被害 |
|
2 |
サプライチェーンの弱点を悪用した攻撃 |
→ |
サプライチェーンや委託先を狙った攻撃 |
|
3 |
内部不正による情報漏えい等の被害 |
↗ |
システムの脆弱性を突いた攻撃 |
|
4 |
標的型攻撃による機密情報の窃取 |
↘ |
内部不正による情報漏えい等の被害 |
|
5 |
修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃) |
↘ |
機密情報等を狙った標的型攻撃 |
|
6 |
不注意による情報漏えい等の被害 |
↗ |
リモートワーク等の環境や仕組みを狙った攻撃 |
|
7 |
脆弱性対策情報の公開に伴う悪用増加 |
New |
地政学的リスクに起因するサイバー攻撃 |
|
8 |
ビジネスメール詐欺による金銭被害 |
ランク外 |
分散型サービス妨害攻撃(DDoS 攻撃) |
|
9 |
テレワーク等のニューノーマルな働き方を狙った攻撃 |
↘ |
ビジネスメール詐欺 |
|
10 |
犯罪のビジネス化(アンダーグラウンドサービス) |
↘ |
不注意による情報漏えい等 |
7位にランクインした「地政学的リスクに起因するサイバー攻撃」は初めて選出された脅威です。
このほかの脅威について、順位を落としたり、ランク外となった脅威がありますが、対策を行わなくて良いということではなく、継続した対策が必要となります。
それでは、情報セキュリティ10大脅威「組織」で紹介されている内容について、確認していきましょう。
ランサムウェアによる被害
PCやサーバーをランサムウェアに感染させ、データの暗号化や重要情報を窃取して脅迫により金銭を要求します。10年連続のランクインとなっており、直近5年間は連続1位と、その巧妙化と被害の深刻さが増しています。
ランサムウェア攻撃には、脆弱性を悪用する手口やメールの添付ファイルやリンク、改ざんしたWebサイトなどが悪用されます。
<予防、対策例>
- 不用意に添付ファイルの開封、メール、SMSのリンク、URLを開かない
- 提供元が不明なソフトウェアを実行しない
- サーバやクライアント、ネットワークに適切なセキュリティ対策を行う
- アクセス権の最小化と管理の強化
- 適切なバックアップ運用 など
サプライチェーンの弱点を悪用した攻撃
商品の企画から販売までの一連のプロセス(サプライチェーン)を悪用して標的組織よりもセキュリティが脆弱な取引先や委託先、国内外の子会社などを攻撃し、その組織が保有する標的組織の機密情報などを窃取します。
自組織の対策のみでは防ぐことが難しいため、取引先や委託先も含めたセキュリティ対策が必要な脅威です。
<予防、対策例>
- 情報管理規則の徹底
- 信頼できる委託先、取引先、サービスの選定
- 委託先組織管理、契約内容の確認 など
システムの脆弱性を突いた攻撃
製品のベンダー等による脆弱性対策情報の公開は、脆弱性の存在や対策の必要性を製品利用者に対して広く呼びかける一方、攻撃者はその情報を悪用し、脆弱性対策が講じられていないシステムを狙って攻撃を行います。
なお、脆弱性情報の公開前に脆弱性を悪用した攻撃を「ゼロデイ攻撃」と呼びます。
<予防、対策例>
- 資産の把握、管理体制の整備
- セキュリティのサポートが充実しているソフトウェアやバージョンの利用
- 利用するソフトウェアの脆弱性情報の収集と周知、対策状況の管理
- サーバやクライアント、ネットワークに適切なセキュリティ対策を行う など
内部不正による情報漏えい等の被害
従業員や元従業員などの組織関係者による機密情報の持ち出しや社内情報の削除などの不正行為です。組織内の情報管理の規則を守らずに情報を持ち出し、紛失や情報漏えいにつながるケースがあります。
<予防、対策例>
- 資産の把握、対応体制の整備
- 機密情報の管理と保護、物理的管理の実施
- 情報リテラシー、モラルを向上
- 人的管理およびコンプライアンス教育の徹底 など
機密情報等を狙った標的型攻撃
特定の組織に対して、機密情報などを窃取することや業務妨害を目的としています。
攻撃者は社会の変化や働き方の変化に合わせて攻撃手口を変えるなど、状況に応じて巧みな攻撃手法で機密情報などを窃取します。
<予防、対策例>
- 情報の管理と運用規則策定
- サイバー攻撃に関する継続的な情報収集
- 情報リテラシー、モラルを向上
- サーバやクライアント、ネットワークに適切なセキュリティ対策を行う など
リモートワーク等の環境や仕組みを狙った攻撃
リモートワークが浸透し、働き方の多様化が定着しつつありますが、リモートワークの実現に必要な環境や仕組みを狙ったサイバー攻撃が多発しています。
業務環境の脆弱性を悪用して、攻撃を受けてしまうと、マルウェア感染や情報漏えいなどの恐れがあります。
<予防、対策例>
- サーバやクライアント、ネットワークに適切なセキュリティ対策を行う
- 情報リテラシー、モラルを向上
- テレワークの規程や運用規則の整備
- ネットワークレベル認証(NLA) など
地政学的リスクに起因するサイバー攻撃
初選出された脅威です。政治的に対立する周辺国に対して、社会的、経済的な混乱を引き起こすことを目的としたサイバー攻撃です。
外交・安全保障上の対立をきっかけに、嫌がらせや報復のために行う攻撃や自国産業の競争優位性を確保するために周辺国の機密情報等の窃取を目的とした攻撃などがあります。
<予防、対策例>
- DDoS への対策
- 被害の予防および被害に備えたインシデント対応体制を整備
- サーバーや PC、ネットワークに適切なセキュリティ対策を行う など
分散型サービス妨害攻撃(DDoS 攻撃)
5年ぶりに選出された脅威です。2024年末~2025年初にかけて、日本国内に対する大規模なDDoS攻撃があり、大きな話題となりました。
複数の機器から構成されるネットワーク(ボットネット)から、企業や組織が提供しているインターネット上のサービスに対して大量のアクセスを一斉に仕掛けて高負荷状態にさせる、分散型サービス妨害攻撃(DDoS 攻撃)です。
標的にされた組織やサービスは、高負荷によって応答遅延や機能停止が発生し、サービス提供に支障が出る恐れがあります。
<予防、対策例>
- DDoS 攻撃の影響を緩和する CDN を利用
- WAF、IDS/IPS、DDoS 対策サービスの導入
- ネットワークの冗長化 など
ビジネスメール詐欺
第三者が標的組織やその取引先の従業員などになりすましてメールを送信し、あらかじめ用意した偽の銀行口座に金銭を振り込ませるサイバー攻撃です。
本物のメールに酷似しているため、メールの受信者はなりすましメールを受信したと気付かない恐れがあります。
最近では生成 AI を利用したビジネスメール詐欺が増加しているため、その対策が重要になってきています。
<予防、対策例>
- メールに依存しない業務フローの構築
- メールの電子署名の付与(S/MIMEやPGP)
- 送信ドメイン認証の導入(DMARC、SPF、DKIMを用いたなりすましメール対策
- 普段とは異なるメールや、判断を急がせるメールに注意する など
不注意による情報漏えい等の被害
システムの認識不足によるシステムの設定ミスによる非公開情報の公開や個人情報を含んだ記憶媒体の紛失など、不注意による個人情報などの漏えいです。
システム管理者などの不注意により個人情報が漏えいしてしまうと、漏えいした組織の信用、信頼に大きな影響を与える恐れがあります。
<予防、対策例>
- 情報リテラシー、モラルを向上
- 情報の保護(暗号化、認証)、機密情報の格納場所の把握、可視化
- 外部に持ち出す情報や端末の制限
- DLP(情報漏えい対策)製品の導入 など
まとめ
本稿は「情報セキュリティ10大脅威 2025」で選出された脅威とそれに対する一部の予防・対策をご紹介しました。
近年は生成AIの急成長により、文書、動画、画像などの作成から開発業務など、様々なシチュエーションで活用している組織や個人が増加しています。しかし、その一方で、サイバー攻撃にも利用されているのが現状です。
攻撃者は生成AIを利用して、マルウェアや巧妙なフィッシングメールの作成、ディープフェイクで作成した音声や動画を悪用するなどサイバー攻撃自体が巧妙化しています。
下位の脅威やランク外の脅威であっても、巧妙化していくサイバー攻撃の被害を受けないために日ごろから情報収集、継続した対策が必要です。
- カテゴリ:
- 動向
