「情報セキュリティ10大脅威 2025」を決定
2025年1月30日
独立行政法人情報処理推進機構
独立行政法人情報処理推進機構
「情報セキュリティ10大脅威 2025」を決定
新設した「地政学的リスクに起因するサイバー攻撃」がランクイン
新設した「地政学的リスクに起因するサイバー攻撃」がランクイン
独立行政法人情報処理推進機構(IPA、理事長:齊藤裕)は、情報セキュリティにおける脅威のうち、2024年に社会的影響が大きかったトピックを「情報セキュリティ10大脅威 2025」として公表しました。詳しい解説は、2月下旬以降、順次IPAのウェブサイトで公開する予定です。
URL:https://www.ipa.go.jp/security/10threats/10threats2025.html
IPAでは、情報セキュリティ対策の普及を目的として2006年から、前年に発生した情報セキュリティ事故や攻撃の状況等を「情報セキュリティ10大脅威」として公表しています。本日公表した内容はIPAが脅威候補を選定し、情報セキュリティ分野の研究者、企業の実務担当者など約200名のメンバーで構成する「10大脅威選考会」の投票を経て決定したものです。「組織」の立場と「個人」の立場での「10大脅威」はそれぞれ以下のとおりです。
情報セキュリティ10大脅威 2025 [組織]
順位 | 「組織」向け脅威 | 初選出年 | 10大脅威での取り扱い (2016年以降) |
前年 順位 |
1 | ランサム攻撃による被害 | 2016年 | 10年連続10回目 | 1 |
2 | サプライチェーンや委託先を狙った攻撃 | 2019年 | 7年連続7回目 | 2 |
3 | システムの脆弱性を突いた攻撃 | 2016年 | 5年連続8回目 | 5、7 |
4 | 内部不正による情報漏えい等 | 2016年 | 10年連続10回目 | 3 |
5 | 機密情報等を狙った標的型攻撃 | 2016年 | 10年連続10回目 | 4 |
6 | リモートワーク等の環境や仕組みを狙った攻撃 | 2021年 | 5年連続5回目 | 9 |
7 | 地政学的リスクに起因するサイバー攻撃 | 2025年 | 初選出 | 圏外 |
8 | 分散型サービス妨害攻撃(DDoS攻撃) | 2016年 | 5年ぶり6回目 | 圏外 |
9 | ビジネスメール詐欺 | 2018年 | 8年連続8回目 | 8 |
10 | 不注意による情報漏えい等 | 2016年 | 7年連続8回目 | 6 |
情報セキュリティ10大脅威 2025 [個人]
「個人」向け脅威 (五十音順) |
初選出年 | 10大脅威での取り扱い (2016年以降) |
インターネット上のサービスからの個人情報の窃取 | 2016年 | 6年連続9回目 |
インターネット上のサービスへの不正ログイン | 2016年 | 10年連続10回目 |
クレジットカード情報の不正利用 | 2016年 | 10年連続10回目 |
スマホ決済の不正利用 | 2020年 | 6年連続6回目 |
偽警告によるインターネット詐欺 | 2020年 | 6年連続6回目 |
ネット上の誹謗・中傷・デマ | 2016年 | 10年連続10回目 |
フィッシングによる個人情報等の詐取 | 2019年 | 7年連続7回目 |
不正アプリによるスマートフォン利用者への被害 | 2016年 | 10年連続10回目 |
メールやSMS等を使った脅迫・詐欺の手口による金銭要求 | 2019年 | 7年連続7回目 |
ワンクリック請求等の不当請求による金銭被害 | 2016年 | 3年連続5回目 |
「組織」向け脅威について、1位の「ランサム攻撃による被害」と2位の「サプライチェーンや委託先を狙った攻撃」は昨年と順位は変わりませんでした。昨年7位の「システムの脆弱性を突いた攻撃」(注釈1)が3位に順位を上げました。これは、昨年5位の「修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃)」を今回「システムの脆弱性を突いた攻撃」に統合した影響が一因として考えられます。また今回新設した「地政学的リスクに起因するサイバー攻撃」(注釈2)が7位に選出されました。具体例として、国家の関与が疑われるとされるサイバー攻撃が挙げられました。また、年末年始にも見られた「分散型サービス妨害攻撃(DDoS攻撃)」が2020年以来再びランクインしています。
「組織」向け脅威は、セキュリティ対策情報を継続的に収集し、使用している機器やサービスに適切なセキュリティ対策を講じつつ、各脅威が自組織の事業や体制にどのようなリスクがあるのか洗い出すことが重要です。
「個人」向け脅威(注釈3)は、すべて前年と変化がありませんでした。しかし、前年と同じ脅威であっても取り巻く環境も同じというわけではありません。攻撃者は手口を進化させ、特に社会的に注目されるニュースや新技術(生成AIなど)を巧妙に利用して、日々新たな攻撃を仕掛けています。常日頃から脅威に関する最新情報に注意を払い、手口を知っておくことが重要です。
「情報セキュリティ10大脅威 2025」の詳しい解説は、2月下旬以降、順次IPAのウェブサイトで公開する予定です。
「情報セキュリティ10大脅威」
https://www.ipa.go.jp/security/10threats/index.html
(脚注1) 「システムの脆弱性を突いた攻撃」は、昨年5位の「修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃)」を7位の「脆弱性対策情報の公開に伴う悪用増加」に統合したものです。
(脚注2) 地政学的リスクとは、地理的条件に基づいた国や地域の政治や軍事などに関わるリスクのことであり、「地政学的リスクに起因するサイバー攻撃」は以下のような脅威が該当します。
MirrorFace によるサイバー攻撃について(注意喚起)(警察庁、内閣サイバーセキュリティセンター)
https://www.npa.go.jp/bureau/cyber/pdf/20250108_caution.pdf
(脚注3) 「個人」向け脅威は、家庭等でパソコンやスマホ等のデジタル機器を利用する人を対象としており、「10大脅威選考会」の投票で社会的影響が大きかった脅威を決定したものです。「個人」向け脅威は、五十音順での紹介としていますが、いずれの脅威についても十分な注意が必要です。