IPA(独立行政法人 情報処理推進機構)は1月30日、2025年版の「情報セキュリティ10大脅威」を発表しました。
組織部門のトップは10年連続で「ランサムウェアによる被害」になり、新たに「地政学的リスクに起因するサイバー攻撃」がランクインしました。

「情報セキュリティ10大脅威 2025」は、2024年に発生した社会的に影響が大きかったと考えられる情報セキュリティにおける事案から、IPAが脅威候補を選出し、情報セキュリティ分野の研究者、企業の実務担当者など約200名のメンバーからなる「10大脅威選考会」が脅威候補に対して審議・投票を行い、決定したものです。
10大脅威 2025では、個人の10大脅威の順位は掲載せず、五十音順で並べています。これは、順位が高い脅威から優先的に対応し、下位の脅威への対策が疎かになることを懸念してのことです。

情報セキュリティ10大脅威 2025 [組織]

順位「組織」向け脅威初選出年10大脅威での取り扱い(2016年以降)
1ランサム攻撃による被害2016年10年連続10回目
2サプライチェーンや委託先を狙った攻撃2019年7年連続7回目
3システムの脆弱性を突いた攻撃2016年5年連続8回目
4内部不正による情報漏えい等2016年10年連続10回目
5機密情報等を狙った標的型攻撃2016年10年連続10回目
6リモートワーク等の環境や仕組みを狙った攻撃2021年5年連続5回目
7地政学的リスクに起因するサイバー攻撃2025年初選出
8分散型サービス妨害攻撃(DDoS攻撃)2016年5年ぶり6回目
9ビジネスメール詐欺2018年8年連続8回目
10不注意による情報漏えい等2016年7年連続8回目

情報セキュリティ10大脅威 2025 [個人]

「個人」向け脅威(五十音順)初選出年10大脅威での取り扱い(2016年以降)
インターネット上のサービスからの個人情報の窃取2016年6年連続9回目
インターネット上のサービスへの不正ログイン2016年10年連続10回目
クレジットカード情報の不正利用2016年10年連続10回目
スマホ決済の不正利用2020年6年連続6回目
偽警告によるインターネット詐欺2020年6年連続6回目
ネット上の誹謗・中傷・デマ2016年10年連続10回目
フィッシングによる個人情報等の詐取2019年7年連続7回目
不正アプリによるスマートフォン利用者への被害2016年10年連続10回目
メールやSMS等を使った脅迫・詐欺の手口による金銭要求2019年7年連続7回目
ワンクリック請求等の不当請求による金銭被害2016年3年連続5回目

「組織」向け脅威について、1位の「ランサム攻撃による被害」と2位の「サプライチェーンや委託先を狙った攻撃」は昨年と順位は変わりませんでした。昨年7位の「システムの脆弱性を突いた攻撃」(*注1)が3位に順位を上げました。これは、昨年5位の「修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃)」を今回「システムの脆弱性を突いた攻撃」に統合した影響が一因として考えられます。また今回新設した「地政学的リスクに起因するサイバー攻撃」(*注2)が7位に選出されました。具体例として、国家の関与が疑われるとされるサイバー攻撃が挙げられました。また、年末年始にも見られた「分散型サービス妨害攻撃(DDoS攻撃)」が2020年以来再びランクインしています。

「組織」向け脅威は、セキュリティ対策情報を継続的に収集し、使用している機器やサービスに適切なセキュリティ対策を講じつつ、各脅威が自組織の事業や体制にどのようなリスクがあるのか洗い出すことが重要です。

「個人」向け脅威(*注3)は、すべて前年と変化がありませんでした。しかし、前年と同じ脅威であっても取り巻く環境も同じというわけではありません。攻撃者は手口を進化させ、特に社会的に注目されるニュースや新技術(生成AIなど)を巧妙に利用して、日々新たな攻撃を仕掛けています。常日頃から脅威に関する最新情報に注意を払い、手口を知っておくことが重要です。

*注1
「システムの脆弱性を突いた攻撃」は、昨年5位の「修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃)」を7位の「脆弱性対策情報の公開に伴う悪用増加」に統合したものです。

*注2
地政学的リスクとは、地理的条件に基づいた国や地域の政治や軍事などに関わるリスクのことであり、「地政学的リスクに起因するサイバー攻撃」は以下のような脅威が該当します。
MirrorFace によるサイバー攻撃について(注意喚起)(警察庁、内閣サイバーセキュリティセンター)

*注3
「個人」向け脅威は、家庭等でパソコンやスマホ等のデジタル機器を利用する人を対象としており、「10大脅威選考会」の投票で社会的影響が大きかった脅威を決定したものです。「個人」向け脅威は、五十音順での紹介としていますが、いずれの脅威についても十分な注意が必要です。

詳細については、IPAのサイトをご確認下さい。
https://www.ipa.go.jp/security/10threats/10threats2025.html