独立行政法人情報処理推進機構(IPA)は2025年1月30日、情報セキュリティにおける脅威のうち、2024年に社会的影響が大きかったトピックを「情報セキュリティ10大脅威 2025」として公表した。2月下旬以降、詳しい解説は順次IPAのWebサイトで公開する予定である。
情報処理推進機構(IPA)は2006年から、前年に発生した情報セキュリティ事故や攻撃の状況などを「情報セキュリティ10大脅威」(組織編・個人編)として毎年公表している。
今回、2024年の状況をまとめた「同 2025」を公開した。IPAが選定した脅威候補に対し、情報セキュリティ分野の研究者や企業の実務担当者など約200人のメンバーで構成する「10大脅威選考会」が投票することでランキングを作成している。
表1は、組織編の10大脅威である。「企業・組織においては、セキュリティ対策情報を継続的に収集し、使っている機器やサービスに適したセキュリティ対策を講じつつ、各脅威が自組織の事業や体制にどのようなリスクがあるのか洗い出すことが重要になる」(IPA)。
順位 | 「組織」向け脅威 | 初選出年 | 10大脅威での取り扱い(2016年以降) | 前年順位 |
---|---|---|---|---|
1 | ランサム攻撃による被害 | 2016年 | 10年連続10回目 | 1 |
2 | サプライチェーンや委託先を狙った攻撃 | 2019年 | 7年連続7回目 | 2 |
3 | システムの脆弱性を突いた攻撃 | 2016年 | 5年連続8回目 | 5、7 |
4 | 内部不正による情報漏えい等 | 2016年 | 10年連続10回目 | 3 |
5 | 機密情報等を狙った標的型攻撃 | 2016年 | 10年連続10回目 | 4 |
6 | リモートワーク等の環境や仕組みを狙った攻撃 | 2021年 | 5年連続5回目 | 9 |
7 | 地政学的リスクに起因するサイバー攻撃 | 2025年 | 初選出 | 圏外 |
8 | 分散型サービス妨害攻撃(DDoS攻撃) | 2016年 | 5年ぶり6回目 | 圏外 |
9 | ビジネスメール詐欺 | 2018年 | 8年連続8回目 | 8 |
10 | 不注意による情報漏えい等 | 2016年 | 7年連続8回目 | 6 |
1位の「ランサム攻撃による被害」と2位の「サプライチェーンや委託先を狙った攻撃」は前年と同じ順位である。前年7位の「システムの脆弱性を突いた攻撃」は順位を上げて3位になった。これは、前年5位の「修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃)が今回、「システムの脆弱性を突いた攻撃」に統合されたことによるランクアップという。
「地政学的リスクに起因するサイバー攻撃」は今回が初選出で7位だった。国家の関与が疑われるサイバー攻撃を挙げている。ほかには、年末年始にも見られた「分散型サービス妨害攻撃(DDoS攻撃)」が、2020年以来再びランクインしている。