IPA「情報セキュリティ10大脅威 2025」ランサム攻撃が今年も1位 地政学的リスクに起因するサイバー攻撃が初選出

2025年1月30日、独立行政法人情報処理推進機構(以下、IPA)は「情報セキュリティ10大脅威 2025」を公表しました。※1

昨年に引き続き、「組織」向け脅威としてランサムウェア攻撃やサプライチェーンからの漏洩が1,2位に選出されています。また、新たな脅威として「地政学的リスクに起因するサイバー攻撃」が7位に選出されており、国家の関与が疑われる攻撃への備えが、これまで以上に重要視される状況となっています。

本コラムでは、「情報セキュリティ10大脅威 2025」に選出された脅威を整理した上で、企業が取るべき具体的な対策について解説します。

※「情報セキュリティ10大脅威」は、IPAが情報セキュリティ対策の啓蒙を目的として2006 年から毎年発表し続けているものです。前年に世間を賑わせた情報漏えい事件やその攻撃手法等をもとに、被害を受ける対象となる「個人」と「組織」毎に選出された上位10個の脅威と解説がまとめられています。

情報セキュリティ10大脅威 2025[組織]

順位 「組織」向け脅威 初選出年 10大脅威での取り扱い
(2016年以降)
1ランサム攻撃による被害2016年10年連続10回目
2サプライチェーンや委託先を狙った攻撃2019年7年連続7回目
3システムの脆弱性を突いた攻撃2016年5年連続8回目
4内部不正による情報漏えい等2016年10年連続10回目
5機密情報等を狙った標的型攻撃2016年10年連続10回目
6リモートワーク等の環境や仕組みを狙った攻撃2021年5年連続5回目
7地政学的リスクに起因するサイバー攻撃2025年初選出
8分散型サービス妨害攻撃(DDoS攻撃)2016年5年ぶり6回目
9ビジネスメール詐欺2018年8年連続8回目
10不注意による情報漏えい等の被害2016年7年連続8回目
出典:IPA『情報セキュリティ10大脅威 2025』「組織」向け脅威のみ抜粋

「ランサム攻撃による被害」は5年連続1位に

「組織」向けの脅威ランキングで、今年も1位に選ばれたのは「ランサム攻撃による被害」でした。これは2021年以降5年連続での1位となります。昨年はKADOKAWAのランサム攻撃被害が大きな話題となりました。同社はこの影響により約24億円の特別損失を計上しています。※2

2位も昨年と同様に「サプライチェーンや委託先を狙った攻撃」が選ばれています。特に2024年はイセトーや東京ガスグループへのランサム攻撃など、委託先やグループ会社への攻撃により預かりデータが漏えいする事故が目立ちました。

3位には「システムの脆弱性を突いた攻撃」が選出されました。これは、昨年5位の「修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃)」と、7位の「脆弱性対策情報の公開に伴う悪用増加」を統合したものになります。

これら1~3位の脅威は、個別に考えるのではなく、一連の流れとして捉えるべきでしょう。というのも、ランサムウェア攻撃の典型的な手口として、VPNやシステムの脆弱性を突いて子会社や委託先のネットワークに侵入し、そこからデータを暗号化・窃取する、あるいは踏み台として本社へ侵入し攻撃を仕掛けるケースが非常に多いからです。なお、5位の機密情報を狙った標的型攻撃にも、ランサムウェアを用いるケースと、単純に情報を窃取するケースの両方が存在します。

内部不正による漏えいも引き続き対策が必要

4位に選ばれたのは「内部不正による情報漏えい等」です。特に2024年は、大手損保4社による顧客情報の共有などが業界の悪しき慣習として大きな問題となりました。この事故で漏えいした顧客情報は約250万件にも上ります。※3

不正持ち出しによる漏えいは、件数こそ多くありませんが、1件あたりの漏えい規模が大きくなりがちなので注意が必要です。

「地政学的リスクに起因するサイバー攻撃」が初選出

7位に選出された「地政学的リスクに起因するサイバー攻撃」

7位に選出されたのは「地政学的リスクに起因するサイバー攻撃」でした。地政学的リスクとは、地理的条件に基づいた国や地域の政治や軍事などに関わるリスクのことを指します。このリスクに起因するサイバー攻撃の具体例として、国家の関与が疑われるとされるサイバー攻撃が挙げられます。

2025年1月8日、IPAは、「MirrorFaceによるサイバー攻撃について(注意喚起)」 を公表しました。この資料では、「MirrerFace」(ミラーフェイス)(別名、「Earth Kasha」(アース カシャ))と呼ばれるサイバー攻撃グループの攻撃キャンペーンについて詳しく解説されています。※4

資料によると、2019年以降、日本国内の学術、シンクタンク、政治家、マスコミに関係する個人や組織に対する標的型メール攻撃や、半導体、製造、情報通信、学術、航空宇宙の各分野へのソフトウェア脆弱性を悪用した攻撃が確認されました。こうしたMirrorFaceによる攻撃キャンペーンは、日本の安全保障や先端技術に関する情報の窃取を目的とした、中国の関与が疑われる組織的なサイバー攻撃活動であると警察庁などにより評価されています。実際、2023年6月以降に宇宙航空研究開発機構(JAXA)が受けたサイバー攻撃についても、警察庁はMirrorFaceの関与を断定しました。※5

サイバー空間における安全保障の強化が急務

近年、国家や重要インフラ等を標的としたサイバー攻撃が頻発しています。このような状況を踏まえ、日本政府は安全保障上のリスクに対応するため、「能動的サイバー防御」の導入に向けた議論が進めています。

「能動的サイバー防御」とは、政府が平時からサイバー空間を監視し、攻撃の兆候が確認された場合に、警察や自衛隊が攻撃元のサーバーに侵入し、無害化措置を講じることで、被害を未然に防ぐ取り組みです。

日本は海に囲まれた島国として、長年にわたり外部からの物理的攻撃を受けにくい環境にありました。そのため、他国からの侵略に対する意識は比較的薄い傾向にあると言えます。しかし、サイバー空間には地理的な制約が存在しません。インターネットを介した攻撃は、物理的な距離に関係なく、どこからでも行われ得るため、国の安全保障を揺るがす重大な課題となっています。

今や、サイバー攻撃は国家の安全保障を揺るがす重大なリスクとなっています。サイバーセキュリティを国家的な最優先課題として位置づけ、サイバー空間においても「日本を守る」意識を持つことが求められています

2025年に警戒すべきセキュリティ脅威と求められる対策

あらためて、2025年に企業が警戒すべきセキュリティ脅威として、ランサムウェア攻撃が引き続き深刻なリスクとなることが予想されます。特に、自社だけでなくサプライチェーンや委託先を標的とした攻撃にも警戒が必要です。また、我が国の保有する先端技術や機密情報を狙った海外からのサイバー攻撃にも注意するべきでしょう。

今後、保有する情報資産を暗号化しておくことは多くの企業にとって不可欠となるでしょう。その理由の一つが、MirrorFaceの攻撃キャンペーンのような、持続的な標的型攻撃(APT攻撃)を完全に防ぐことが極めて困難だからです。APT攻撃では、時間をかけて標的組織に侵入し、ネットワーク内で長期間にわたり活動を続けます。そのため、いかに高度なセキュリティ対策を講じたとしても、侵入を完全に防ぐのは現実的ではありません。したがって、「侵入前提」の対策を考えなければ、十分な防御とは言えません。

さらに、転職者や産業スパイなどによる内部からの情報持ち出しといったリスクに対しても、多くのサイバー攻撃対策システムは十分に機能しません。これは、従来のセキュリティ対策が「外部からの攻撃を防ぐこと」に重点を置いていたためです。そのため、内部犯による漏えいリスクに対応するには、情報自体を保護する仕組み(暗号化や権限管理)を強化し、仮にデータが持ち出されても、外部で利用されない状態を作ることが不可欠となります。

今後、企業が持続的にビジネスを継続するためには、サプライチェーン全体を含めたセキュリティ対策の強化と、機密情報の暗号化を前提としたデータ管理の仕組みが求められるでしょう。

DataClasysによる暗号化で重要な情報資産の漏えい対策を

弊社の開発・販売する「DataClasys(データクレシス)」は、ファイルを暗号化し、権限を細かく制御できる純国産のDRM/IRMソリューションです。企業の機密情報を強固に保護し、サイバー攻撃や内部不正、委託先からの二次被害を防ぎます。

①先端技術情報(3DCAD)も暗号化可能

DataClasysは、個人情報だけでなく3DCADや大容量の動画ファイルなども暗号化できるため、製造業やアカデミアが保有する先端技術情報の漏えい対策が可能です。

暗号化されたファイルは、仮に外部に流出しても第三者が開くことはできません。そのため、ランサムウェア攻撃によるダークウェブ上での公開や、機密情報の窃取そのものを目的とした競合他社・国外への技術流出リスクを抑えることが可能です。

さらに、暗号化に加えて、復号(暗号化の解除)・閲覧・更新・印刷・コピー&ペーストなどの権限を細かく設定することができるため、従業員に機密情報の持ち出しや不正利用の防止にも貢献します。

②サプライチェーンや委託先からの二次被害を防ぐ

委託先から預かった個人情報やCAD図面などを暗号化し保存することで、預かりデータの漏えいを防ぐことができます。

また、海外子会社や業務委託先へデータを渡す際にも、事前に暗号化と権限設定を施すことで、万が一子会社がサイバー攻撃を受けたり、委託先従業員による不正利用などがあっても、漏えいを防止することが可能です。

③閉域網への導入も可能

先端技術を扱う企業では、重要な機密情報をオフライン環境で管理しているかもしれません。しかし、完全なオフラインを維持することは難しく、一時的にインターネットへ接続しなければならないケースもあります。さらに、内部に潜む産業スパイなどが意図的にデータを持ち出すリスクも無視できません。

DataClasysは、インターネット接続を前提としたDRM/IRMとは異なり、オンプレミス環境で動作するため、オフライン環境にも導入可能です。ネットワーク隔離された環境でも機密情報を強固に保護し、さらなるセキュリティ強化を実現します。

④純国産・自社開発の製品なので安心

DataClasysは純国産の自社開発製品です。海外にOEMしている製品とは異なり、弊社スタッフと直接やり取りできるため、万が一トラブルが発生しても、迅速かつ的確なサポートを提供できます。

現在、中央省庁・自治体、製造業、金融・保険業、教育機関などを中心に、1,000社以上の企業・団体に導入された実績があります。

2025年もサイバー空間を巡る脅威は一層激化すると予想されます。重要な情報資産を守るために、侵入前提のセキュリティ対策としてDataClasysの導入をぜひご検討ください。より詳しい機能や導入事例を知りたい方は、下記よりぜひ資料をご請求ください。

カタログ・資料ダウンロードはこちら

製品資料
製品説明資料
機密情報ファイル 保護・管理システム「DataClasys(データクレシス)」の資料です。
事例集
導入事例集
サイバー攻撃対策や内部不正対策、サプライチェーンからの漏洩対策についても複数の事例を掲載。

参考

※1 情報セキュリティ10大脅威 2025 | 独立行政法人情報処理推進機構 2025年1月30日

※2 KADOKAWA、サイバー攻撃の特損24億円に縮小 | 日本経済新聞 2024年11月7日

※3 損保の契約者情報漏洩250万件、流用まん延 順法意識薄く | 日本経済新聞 2024年8月30日

※4 MirrorFace によるサイバー攻撃について (注意喚起)| 警察庁 内閣サイバーセキュリティセンター 2025年1月8日

※5 JAXAサイバー攻撃、未知の欠陥突く 中国系が関与 | 日本経済新聞 2025年1月20日

著者

データクレシス マーケティングチーム

セキュリティ分野における最新情報や重要なトピックスを発信するコラムです。企業の情報セキュリティに役立つ知識をお届けします。

セキュリティ最新情報をメールでお届け!登録はこちら