今年も独立行政法人情報処理推進機構（IPA）は「情報セキュリティ10大脅威 2025」を公開しました。これは、2024年に発生し、社会的に影響の大きかったセキュリティ脅威をまとめたもので、個人編と組織編に分け、ランキング形式で紹介されています。本記事では、組織向けのセキュリティ脅威に着目し、行うべきセキュリティ対策を解説します。 

2025年のセキュリティ10大脅威 

以下は、 IPAが発表した、組織におけるセキュリティの10大脅威です。 

※※IPA「情報セキュリティ10大脅威 2025」をもとに作成 

以下より、それぞれの項目の概要、攻撃手口とその対策について詳しく解説します。 

参考：https://www.ipa.go.jp/security/10threats/eid2eo0000005231-att/setsumei_2025_soshiki.pdf

ランサム攻撃による被害 

概要

ランサムウェアは、身代金を意味する「Ransom」と「Software」を組み合わせた造語で、マルウェアの一種です。ランサムウェアに感染してしまうと、パソコン内のデータを暗号化され、利用不可能な状態になります。それを解除する際、身代金が請求されます。ランサムウェアによって暗号化されたファイルを元に戻すのは困難な上、身代金を払ったとしても解消される保証はありません。 

攻撃手口

メールに添付されたファイルやリンクを開かせてマルウェアを感染させたり、Webサイトの改ざんやVPNの脆弱性を悪用して内部ネットワークへ侵入する。

主な対策

・経営層：緊急時の混乱を防ぐため、インシデント対応の体制（CSIRT等）や連絡手順をあらかじめ整備する。

・管理者：多要素認証やアクセス制御を設定し、定期的にバックアップを取得して被害の最小化を図る。

・従業員：不審なメールやリンクに注意し、セキュリティ意識を持って行動する。 

ランサムウェアに関する記事はこちら 
ランサムウェアとは？VPNの脆弱性を突いた攻撃とその対策を解説

サプライチェーンや委託先を狙った攻撃

概要

商品の企画、開発から調達、製造、在庫管理、物流や販売までの一連の流れをサプライチェーンと呼びます。サプライチェーンや委託先を経由して標的組織へ侵入されることで、情報窃取や業務妨害が発生します。 

攻撃手口

外注先が攻撃を受けたことで納品物にマルウェアが混入するなど、意図せず侵入経路を作ってしまう場合がある。

主な対策

・自社：委託先や取引先のセキュリティ対策状況を確認・監査し、安全な業者を選定する。

・委託,取引先：契約時にセキュリティ要件を明記し、定期的な報告や検査を求める。

・経営層：被害時の責任分担や対応方法も含めた体制整備と予算確保を行う。

システムの脆弱性を突いた攻撃

概要

OSやソフトウェアの設計ミスや不具合など、開発段階から存在している技術的な弱点（脆弱性）を突く攻撃です。特に、修正パッチの適用前後のタイミングを狙って悪用されることが多く、攻撃を受けるとシステムの乗っ取りや情報漏えいに直結する危険性があります。

攻撃手口

パッチが未適用のソフトウェアを狙ったNデイ攻撃、公開前の脆弱性を悪用するゼロデイ攻撃、または脆弱性を突くツールがダークウェブなどで流通している。

主な対策

・経営層：システム更新のための予算や人員を確保し、計画的に対策を進められる体制を構築する 。

・管理者：脆弱性情報を定期的に確認し、使用ソフトや機器に応じたパッチ適用を迅速に実施する。

・開発ベンダー：製品内の構成管理を徹底し、脆弱性が見つかれば速やかに情報提供する。

内部不正による情報漏えい 

概要

従業員・元従業員等による機密情報の持ち出しや不正行為によるもの。

攻撃手口

権限の過剰付与や監視の甘さに乗じて、USBなどで自社の情報を外部に持ち出すなど。退職後に前職のアクセス権を悪用する例もある。

主な対策

・経営層：管理体制や責任者を明確にし、全社員へ内部不正のリスクを周知・啓発する。

・管理者：アクセス権を必要最小限に制限し、重要な操作ログを記録・監視する体制を整える。

・監視強化：退職者や異動者に対する特別な監視や権限見直しも行う。

標的型攻撃（機密情報等を狙った攻撃）

概要

企業や官公庁などの特定の組織を狙い、機密情報の窃取や業務妨害を目的とする攻撃です。 

攻撃手口

取引先や上司を装ったメールを送り、添付ファイルやURLを通じてマルウェアを感染させたり、Webサイトにアクセスさせることで情報を盗む。

主な対策

・経営層：攻撃を想定した訓練と体制整備を行い、有事に迅速に対応できる体制を整える。

・管理者：組織内外の攻撃手法を継続的に学び、セキュリティ設定や取引先の対策状況も確認する。

・従業員：日常業務の中で怪しいメールや添付ファイルを見極める力を養う。

リモートワーク等の環境や仕組みを狙った攻撃

概要

自宅や出張先など、社外から業務システムにアクセスするリモートワーク環境において、セキュリティが不十分な接続経路や端末を狙って攻撃されるリスクがあります。テレワークの普及により、攻撃対象が社外にも広がっています。 

攻撃手口

VPNの設定ミスや脆弱性、業務に不適切な私物端末の使用、ID・パスワードの漏えいによるなりすましのアクセスなどが代表的です。

主な対策

・管理者：VPNやリモート接続機器の脆弱性を把握し、アップデートや設定見直しを定期的に実施する。

・従業員：業務に使用する端末やネットワーク環境のセキュリティを守り、不審なメールを開かない。

・全社：リモート業務を前提にしたセキュリティポリシーを整備し、定期的に見直す。

テレワークのセキュリティリスクについてはこちらをご参照ください。
テレワークのセキュリティリスクとその対策を徹底解説

地政学的リスクに起因するサイバー攻撃 

概要

国際情勢の緊張や対立を背景に、国家やその支援を受けた組織による標的型の攻撃です。 

攻撃手口

政府や重要インフラを標的に、標的型攻撃やサービス妨害を行い、情報窃取や機能停止を狙うものです。加えて、偽情報の拡散なども含まれます。

主な対策

・経営層：国際情勢や業界動向を把握し、自社が標的となる可能性を想定して体制を整備する。

・管理者：国内外の拠点も含めた監視体制を構築し、攻撃兆候の早期発見に努める。

・組織全体：政府機関や業界団体と連携し、情報共有と対応体制を維持する。

分散型サービス妨害攻撃（DDoS攻撃） 

概要

複数のコンピュータから一斉にアクセスを集中させ、サービスを妨害または停止させる攻撃です。 

攻撃手口

世界中の感染端末（ボットネット）から一斉にリクエストを送信し、サーバーの負荷を高めてサービスを停止させる。

主な対策

・経営層：事業継続計画（BCP）を整備し、サービス停止時の影響を最小限に抑える準備をする。

・管理者：WAFやDDoS対策機器、クラウド型防御サービスを活用し、トラフィックを制御する。

・組織全体：ISPやクラウド提供事業者と事前に連携体制を構築し、有事の迅速な対応を可能にする。

ビジネスメール詐欺 

概要

企業やその取引先の従業員になりすましてメールを送信し、送金指示や情報要求を装うことで金銭や情報を騙し取ります。 

攻撃手口

取引先や上司になりすましたメールを送りつけ、偽の口座情報への送金を指示したり、機密情報の提供を要求する。メールアカウント乗っ取りや偽ドメインが多い。

主な対策

・経営層：高額送金や口座変更時には必ず複数人で確認するという運用ルールを徹底させる。

・管理者：メール認証技術（SPF、DKIM、DMARC）を設定し、偽装メールを検知・防止する。

・従業員：急な依頼や違和感のあるメール内容に注意し、不審な場合は口頭確認を行う習慣を根付かせる。

不注意による情報漏えい 

概要

メールの誤送信やWebサイトの設定不備、重要書類や機密情報を保存したPCやUSBメモリーの紛失など、人的な不注意によるセキュリティ事故、機密情報が社外に漏えいする事案です。誤送信や物理媒体の紛失などが含まれます。 

攻撃手口

宛先の選択ミス、BCCの使い忘れ、社外持ち出しUSBの紛失、誤設定で外部公開されてしまうクラウドデータなど、日常業務の中のちょっとしたミスが原因となることが多いです。

主な対策

・経営層：情報の取り扱いルールを明文化し、全社員が遵守すべき基準を明確に示す。

・管理者：誤送信防止機能や自動暗号化ツールを導入し、ミスをシステム的にカバーする。

・従業員：定期的な研修やeラーニングを通じて、うっかりミスのリスクを再認識させる。

まとめ

サイバー攻撃の手法は年々進化しており、従来の対策だけでは防ぎきれないケースも増えています。特にゼロトラストの考え方や、クラウド時代に適したID・アクセス管理の重要性は、今後さらに高まっていくでしょう。セキュリティ対策は単発的な施策ではなく、継続的な見直しと運用を支える体制・ルールの整備が求められます。

かもめエンジニアリングでは、ゼロトラスト接続サービス「Keygateway」、認証基盤システム「KAMOME SSO」、国産クラウドID管理サービス「Keyspider」など、最新のセキュリティ要件に応える各種ソリューションを提供しています。また、現在ご利用中のシステムや運用環境に応じた柔軟な導入支援・設計提案も可能です。 

組織のセキュリティ対策の強化をご検討の際は、些細なご相談でも結構ですので、お気軽に下記フォームよりお問い合わせください。