サイバー攻撃の脅威は年々巧妙化し、企業の情報セキュリティ対策も「侵入されることを前提」に見直しが求められています。
IPAが発表した「情報セキュリティ10大脅威2025」では、毎年のセキュリティインシデントの件数順にランキング形式で発表されています。
本記事では、2025年の脅威傾向を整理しつつ、企業が今すぐ備えるべき対策と、被害を最小限に抑えるための実践的なポイントを具体的に解説します。
情報セキュリティ10大脅威2025とは
IPA(独立行政法人 情報処理推進機構)は、2024年の社会的影響の大きなセキュリティ事案を対象に、情報セキュリティ研究者や企業の実務担当者ら約200名が「10大脅威選考会」を組織し、投票と議論を経て「情報セキュリティ10大脅威 2025」を選定しました。
このランキングは、組織向けと個人向けそれぞれ選出されます。
ただし、組織向けランキングでは、上位だけに注目するのではなく、すべての脅威に対して対策を講じることが重要です。
情報セキュリティ10大脅威2025(組織)
| 順位 | 「組織」向け脅威 | 初選出年 | 10大脅威での取り扱い (2016年以降) |
|---|---|---|---|
| 1 | ランサム攻撃による被害 | 2016年 | 10年連続10回目 |
| 2 | サプライチェーンや委託先を狙った攻撃 | 2019年 | 7年連続7回目 |
| 3 | システムの脆弱性を突いた攻撃 | 2016年 | 5年連続8回目 |
| 4 | 内部不正による情報漏えい等 | 2016年 | 10年連続10回目 |
| 5 | 機密情報等を狙った標的型攻撃 | 2016年 | 10年連続10回目 |
| 6 | リモートワーク等の環境や仕組みを狙った攻撃 | 2021年 | 5年連続5回目 |
| 7 | 地政学的リスクに起因するサイバー攻撃 | 2025年 | 初選出 |
| 8 | 分散型サービス妨害攻撃(DDoS攻撃) | 2016年 | 5年ぶり6回目 |
| 9 | ビジネスメール詐欺 | 2018年 | 8年連続8回目 |
| 10 | 不注意による情報漏えい等 | 2016年 | 7年連続8回目 |
2025年版では、ランサムウェアやサプライチェーン攻撃のように毎年選出される脅威だけでなく「地政学的リスクに起因するサイバー攻撃」のような新たな領域が加わっており、従来の対策に留まらない包括的な姿勢が求められています 。
その他にランクインしているものとしては、標的型攻撃、リモートワーク攻撃、ビジネスメール詐欺、不注意による情報漏えいなど、毎年連続で選出されているものが目立っています。
IPAは本資料を企業の情報セキュリティ教育や研修の場で紹介・活用することで、組織が必要な対応を講じるきっかけにしてほしいとしています 。
2025年の情報セキュリティ10大脅威の傾向
2025年版の情報セキュリティ10大脅威では、大きなトレンドの変化が見られます。
以下では、とくに注目の3つの傾向について詳細に解説します。
地政学的リスクに起因するサイバー攻撃が初選出
地政学的リスクとは、国家間の地理的・政治的緊張によって引き起こされる安全保障上のリスクを指します。とくにロシア・ウクライナ情勢などの影響により、サイバー攻撃が意図的な攻撃手段として使われる事例が増加しています。
日本の事例では、国家支援が疑われる中国系ハッカー集団「MirrorFace」(別名APT10)が、学術機関や政府関係者などを狙った標的型攻撃を複数回実施しました。
MirrorFaceは、添付ファイルにマルウェアを潜ませ、Windows SandboxやVS Codeを悪用する方法で機密情報を窃取しようとしました。
警察庁と内閣サイバーセキュリティセンターは注意喚起を出し、エンドポイントの多層防御策の導入を強く推奨しています。
DDoS攻撃が5年ぶりに復活
分散型サービス妨害攻撃(DDoS攻撃)が5年ぶりにランクインしています。
注目されたのが、2024年12月26日未明に発生した日本航空(JAL)への大規模DDoS攻撃です。
この攻撃は、同社のネットワークへ大量にトラフィックを流し込み、約24便にわたり30分以上の遅延や欠航を引き起こしました。
再発防止の観点から、JALはルーターやネットワーク設計の冗長化、攻撃検知のリアルタイム強化、専門チームの体制強化を実施し、サイバー防御の刷新に取り組んでいます。
リモートワーク関連の攻撃が再上昇
コロナ禍を契機に急増したリモートワーク関連の攻撃は、一時順位を落としていましたが、2025年は再び6位に返り咲きました。
VPN装置やRDP(リモートデスクトップ)の脆弱性を狙う攻撃は、ランサムウェア感染の主な経路のひとつです。
リモートワーク環境では、エンドポイントのセキュリティパッチ適用の遅れ、認証方式の緩さ、不適切な設定などが弱点になります。
このため、多要素認証の導入や接続制御の強化、EPP/EDRの実装といった多層的防御対策が効果的です。
今すぐ備えるべき脅威とその対策
情報セキュリティ10大脅威における、実際に起きた国内外の事案を踏まえながら、「いま何をすべきか」を具体的な対策と合わせて解説します。
ランサムウェア攻撃による被害(1位)
ランサムウェア攻撃は、パソコンやサーバー内のデータを暗号化し、復号の条件として身代金を請求する手法です。
2024年6月、KADOKAWAグループがフィッシング経由で従業員のアカウント情報を奪われ、そのまま社内ネットワークに侵入された結果、ランサムウェアによる侵害とともに約25万件の個人情報が漏えいした事例が発生しました 。
ニコニコ動画や教育サービスも一時停止し、運営に混乱が生じた緊急事態でした。
こうした被害を抑えるには、重要データの定期的なバックアップ取得が基本です。
ただし、バックアップ媒体はネットワークから切り離し、オフラインまたは隔離ストレージとして保管する形が理想です。
また、不審メールの警戒を徹底し、管理者権限を最小化してアクセス制御を強化します。
加えて、EDR(Endpoint Detection and Response)などのエンドポイント検知・対応ソリューションを導入して、侵入初期段階でアラートを上げ、被害の拡大を未然に防ぐことが重要です 。
EDRなどのエンドポイントセキュリティについて、さらに詳しく知りたい方は以下の記事をご覧ください。
他にも、データを暗号化するだけでなく、漏えいさせた情報を暴露・販売すると脅す「二重脅迫型」のランサムウェアが増えています。
EDRに加え、SOAR(Security Orchestration, Automation and Response)による自動化対応や、定期的なバックアップの復元テストもあわせて実施することで、復旧力を高めることができます。
バックアップの必要性や、おすすめのバックアップ製品などについて詳しく知りたい方は、以下のページをご覧ください。
▶災害やランサムウェア対策にはバックアップソリューション
サプライチェーン攻撃(2位)
サプライチェーン攻撃は自社のセキュリティではなく、取引先や利用するソフトウェアの脆弱性を突いて侵入を試みる手口です。
近年順位が上位に位置しており、2022年2月にはトヨタ自動車が、主要サプライヤーである小島プレス工業が受けたランサムウェア攻撃の影響により、国内14工場の稼働停止に追い込まれる事態になりました。
このような被害を防ぐには、業務委託先や外注先と交わす契約において、セキュリティ要件の明文化が必要です。
具体的には、ISO 27001準拠や定期脆弱性診断、インシデント報告プロトコルの設定などを明確にするとよいでしょう。
さらに、定期的な監査やセキュリティ評価を実施し、必要に応じて改善命令や契約見直しの柔軟性を持つ仕組みを整えることが大切です 。
システムの脆弱性を突いた攻撃(3位)
ソフトウェアやOSの潜在的な脆弱性を悪用して内部侵入を試みる手法は、いまだに被害件数が多くあります。例えば、未パッチのサーバーや古いミドルウェアを狙った攻撃などがあります。
そのため、脆弱性情報を定期的に収集し、OSS含め全IT資産に対して即時アップデートを適用する体制が有効です。
また、脆弱性評価結果を反映した稼働停止やネットワーク制御の手順書も整備しておくことで、セキュリティパッチ運用が属人的にならず継続的な対応が可能になります。
セキュリティの脆弱性対策に有効なソリューションについて詳しく知りたい方は、以下をご覧ください。
▶脆弱性対策の方法とツールの選び方・おすすめ製品
内部不正による情報漏えい(4位)
企業内部の従業員、元社員、委託先が権限を故意・過失により顧客情報等を漏えいさせる事案も高い頻度で発生しています。
ファイルの誤送信や設定ミスによる漏えいは、意図しない人的ミスとしても見過ごせません。
防止策としては、社員や委託先に与えるアクセス権限を業務に必要な最低限までに限定し、管理者権限は原則付与しないルールが基本です。
さらに、機密データへのアクセスログや持ち出し記録を収集し、リアルタイムで監査できる体制を構築すれば、不審な操作を早期に検知・対応でき、内部不正リスクを軽減できます。
リモートワーク等の環境や仕組みを狙った攻撃(6位)
自宅や外出先からVPNやRDP経由で社内ネットワークにアクセスする環境は、いまだ攻撃者が狙う入口になっています。
2021年には徳島県つるぎ町立半田病院が ロシア系グループ「LockBit」によるVPN機器の脆弱性悪用によってランサムウェアによる被害を受け、電子カルテ約8万5千件が暗号化され診療機能が一時停止しました 。
このような事態を未然に防ぐには、VPNやRDPサーバーに対し、以下の対策を実施する必要があります。
- 最新のセキュリティパッチを適用
- 初期認証情報を必ず変更
- 推測されやすいパスワードを禁止
- 多要素認証(2FA)を導入
地政学リスクによるサイバー攻撃(7位)
地政学的リスクを背景とするサイバー攻撃は、DDoSやランサムウェア、情報窃取など手法も様々です。ロシア支持とされるハクティビスト集団「NoName057(16)」は2024年5月、日本の官公庁やエネルギー・インフラ企業を対象にDDoS攻撃やサイト改ざんを実施したことが確認されています。
このような攻撃は個々の企業だけで完全に防ぐことは困難なため、業界横断的な情報共有や公的機関との連携が不可欠です。
例えば、NISC(国家情報総合技術研究所)や警察庁、内閣サイバーセキュリティセンター(NISC)の注意喚起を受け、各社間での攻撃パターン共有・通知体制を整備することが必要です 。
他にもEDRなどの技術的な防御に加え、サイバー攻撃を想定した演習や訓練も実践的な備えとして効果的です。
(まとめ)2025年の脅威へ対策して、2026年に備える
2025年の情報セキュリティ10大脅威では、ランサムウェアやサプライチェーン攻撃、内部不正、地政学リスクを背景とした攻撃など、企業が直面するリスクの深刻化と多様化が浮き彫りになりました。
これらの多くは、従来の境界型防御では対処しきれず、侵入されることを前提としたセキュリティ体制への転換が求められています。
リモートワークの定着やクラウド活用の進展により、エンドポイントや外部接続の管理が今後の課題となります。
2026年に備えるには、日々進化する攻撃手法を想定し、早期検知・即応体制を整えることが急務です。
おすすめのソリューション
セキュリティ課題解決のための有力な手段として、Symantec(シマンテック)やCarbon Black(カーボンブラック)といったエンドポイントセキュリティ製品の導入が挙げられます。
Symantec製品は豊富な脅威インテリジェンスに基づいた高精度な検知が強みで、標的型攻撃や不審な振る舞いを可視化できます。
Carbon Black製品は、EDRにより端末の挙動を常時監視し、異常を即座に検知・隔離することで被害拡大を防ぎます。
TD SYNNEXでは、SymantecおよびCarbon Black製品の導入から運用まで、一気通貫で支援をしております。セキュリティ強化をご検討されている場合はぜひご相談ください。
SymantecおよびCarbon Blackの製品紹介、TD SYNNEXのご提供体制について、詳しくは以下のページをご覧ください。
▶Symantec Endpoint Security | TD SYNNEX株式会社
▶Carbon Black エンドポイントセキュリティ 製品のご紹介 | TD SYNNEX株式会社
[筆者プロフィール]
佐々木
テクニカルサポート出身のITライター。Windows Server OS、NAS、UPS、生体認証、証明書管理などの製品サポートを担当。現在は記事制作だけでなく、セキュリティ企業の集客代行を行う。
