「情報セキュリティ10大脅威 2025」が今年もIPAによって公開されました。
情報セキュリティ10大脅威 2025」は、2024年に発生した社会的に影響が大きかったと考えられる情報セキュリティにおける事案から、IPAが脅威候補を選出し、情報セキュリティ分野の研究者、企業の実務担当者など約150名のメンバーからなる「10大脅威選考会」が脅威候補に対して審議・投票を行い、決定したものです。
「組織」分野におけるランキングは以下のとおりです。
| 順位 | 前年比 | 脅威 | 昨年順位 |
|---|---|---|---|
| 1 | → | ランサムウェア攻撃による被害 | 1 |
| 2 | → | サプライチェーンや委託先を悪用した攻撃 | 2 |
| 3 | ↑ | システムの脆弱性を突いた攻撃 | 3 |
| 4 | ↓ | 内部不正による情報漏えい | 3 |
| 5 | ↓ | 機密情報等を狙った標的型攻撃 | 4 |
| 6 | ↑ | リモートワーク等の環境や仕組みを狙った攻撃 | 9 |
| 7 | ↑ | 地政学的リスクに起因するサイバー攻撃 | 初選出 |
| 8 | ↑ | 分散型サービス妨害攻撃(DDoS攻撃) | 圏外 |
| 9 | ↓ | ビジネスメール詐欺 | 8 |
| 10 | ↓ | 不注意による情報漏えい等 | 6 |
1位となったのは「ランサムウェア攻撃による被害」で、実に5年連続です。
サプライチェーンを狙った攻撃やシステムの脆弱性を狙った攻撃も依然上位を占める中、DDoS攻撃などのサービス妨害攻撃が浮上してきたのが印象的です。
5年連続で「ランサムウェア攻撃による被害」が1位
近年、世界各地で話題上がるようになったランサムウェア。5年連続で組織の脅威1位となりました。
令和6年上半期におけるサイバー空間をめぐる脅威の情勢等について|警察庁 広報資料 令和6年9月19日
二重恐喝型ランサムウェアによる被害が多くを占める
従来のランサムウェアは、不特定多数の利用者を狙って電子メールを送信するといった手口が一般的でしたが、近年では標的型攻撃と同様の手口が広がっています。また、データの暗号化で脅迫するに留まらず、窃取した機密情報を公開すると脅迫する手口(二重恐喝)も増えています。
警察庁の資料によると、114件の被害のうち、警察として手口を確認できたものは75件。このうち、二重恐喝の手口によるものは62件でした。
令和6年上半期におけるサイバー空間をめぐる脅威の情勢等について|警察庁 広報資料 令和6年9月19日
さらに、最近の事例として「ノーウェアランサム」による被害も、確認されています。ノーウェアランサムとは、企業のネットワークに侵入し、ランサムウェアを用いてデータを暗号化することなく窃取した上で、対価を要求する手口です。
標的型攻撃と同等の技術が駆使されるランサムウェア攻撃には、企業規模を問わず、これまで以上の対策が必要になってきます。ウイルス対策、不正アクセス対策、脆弱性対策などを、確実かつ多層的に適用することが重要です。
宝情報では、ランサムウェア暗号化からのロールバック機能を持つセキュリティ製品を取り扱っています。
「サプライチェーンの弱点を悪用した攻撃」が2年連続で2位に
「サプライチェーンの弱点を悪用した攻撃」が昨年2023年に引き続き2位にランクインしました。
「サプライチェーンの弱点を悪用した攻撃」を受けると、自組織が被害を受けるだけではなく攻撃者に加担してしまう恐れがあります。
取引相手にも損害を与えてしまうことになるため、業務の一時停止や損害賠償を求められる可能性もあり、ビジネスに莫大な影響を及ぼす恐ろしい脅威です。
この攻撃を防ぐには、中小企業様も含めた自組織のセキュリティ向上が不可欠です。
宝情報では、エンタープライズレベルのセキュリティ機能を搭載しながら、中小企業様にも導入しやすい価格帯を実現したセキュリティ製品を取り扱っております。
「分散型サービス妨害攻撃(DDoS攻撃)」が5年ぶりの選出。国家を背景としたサイバー攻撃との関連も。
「分散型サービス妨害攻撃(DDoS攻撃)」が5年ぶりの選出となりました。近年、世界各地で重要インフラの機能停止を目的とした攻撃が相次いで発生しています。
国内でも、令和6年2月ごろに政府機関や民間企業のWEBサイトにおいてDDoS攻撃とみられる閲覧障害が多数発生しています。
さらに特筆すべきなのは、障害発生と同時期にSNS上でハクティビストのものと思われるアカウントから犯行をほのめかす投稿がなされたことです。過去にも中国を背景とするサイバー攻撃グループ BlackTech が、日本を含む東アジアと米国の政府機関や事業者を標的とし、 情報窃取を目的としたサイバー攻撃を行っていることも確認され、第7位に登場した、地政学的リスクに起因するサイバー攻撃とも関連しています。
今後も国の重要インフラを狙ったサイバー攻撃はますます増加の一途をたどることが予想され、対策が重要となっていきます。攻撃者が攻撃を行う場合の準備として、対象を事前に探索する必要があります。 令和6年上半期に警察庁が設置したセンサーにおいて検知した、脆弱性探索行為等の不審なアクセス件数は、増加の一途をたどっています。
令和6年上半期におけるサイバー空間をめぐる脅威の情勢等について|警察庁 広報資料 令和6年9月19日
宝情報では、Check Point Quantum Sparkのポリシー設定をうまく利用するなどして こうした被害への対策が取れます。
実環境構成の中で足りない部分を補強する
「情報セキュリティ10大脅威 2025」にランクインするサイバー攻撃の種類は多種におよび、またその侵入経路についても様々です。
だからといってすべての対応製品を導入していてはお金も保守も到底足りるものではありません。 まずは既存の環境に着目し、現環境で一番何が足りていないか、セキュリティの運用は問題ないか?を見極めることが何より重要です。
どうしても自社だけで完結が難しいのなら、プロに相談するのも一手です。宝情報ではネットワークインフラ構築サービスをご用意しており、環境構築を熟知したエンジニアが、設計・構築・運用・改善提案をトータルでサポートすることが可能です。
