情報セキュリティ10大脅威に「地政学的リスクに起因するサイバー攻撃」
IPA(情報処理推進機構)が公表している「情報セキュリティ10大脅威 2025」に、初めて「地政学的リスクに起因するサイバー攻撃」が選ばれました。国際情勢の不安定化がサイバー空間におけるリスクとして顕在化してきていることを示唆しています。この記事は、特に組織向けの脅威に焦点を当て、初選出された注目すべき脅威とその対策について解説します。
目次
情報セキュリティ10大脅威2025
IPAの公式サイトによると、「情報セキュリティ10大脅威 2025」は、2024年に発生した情報セキュリティにおける事案から、IPAが脅威候補を選出し、情報セキュリティ分野の研究者、企業の実務担当者など約200人のメンバーからなる「10大脅威選考会」が脅威候補に対して審議・投票を行い、決定したものです。
| 「組織」向け脅威 | 10大脅威での取り扱い |
|---|---|
| ランサム攻撃による被害 | 10年連続10回目 |
| サプライチェーンや委託先を狙った攻撃 | 7年連続7回目 |
| システムの脆弱性を突いた攻撃 | 5年連続8回目 |
| 内部不正による情報漏えい等 | 10年連続10回目 |
| 機密情報等を狙った標的型攻撃 | 10年連続10回目 |
| リモートワーク等の環境や仕組みを狙った攻撃 | 5年連続5回目 |
| 地政学的リスクに起因するサイバー攻撃 | 初選出 |
| 分散型サービス妨害攻撃(DDoS攻撃) | 5年ぶり6回目 |
| ビジネスメール詐欺 | 8年連続8回目 |
| 不注意による情報漏えい等 | 7年連続8回目 |
「地政学的リスクに起因するサイバー攻撃」が初選出
今回のランキングで、「地政学的リスクに起因するサイバー攻撃」が7位に初選出されました。
地政学的リスクに起因するサイバー攻撃とは、政治的に対立する周辺国に対して、社会的な混乱を引き起こすことや、自国の産業競争優位性を確保するために機密情報を窃取することを目的に行われるサイバー攻撃を指します。
この脅威で用いられる攻撃手口は多岐にわたります。
分散型サービス妨害攻撃(DDoS攻撃)
標的のシステムに大量のデータを送り付け、サービスを利用不能にする攻撃です。
ネットワーク貫通型攻撃
組織のネットワーク境界にあるセキュリティ製品の脆弱性を悪用して不正侵入を試みる手口です。
スピアフィッシング
特定の個人を標的とし、ソーシャルエンジニアリングを用いて情報を収集し、標的に合わせたメールを送付します。添付ファイルを開かせたり、リンクをクリックさせたりすることで認証情報や機密データを窃取します。
ソーシャルエンジニアリング
組織の担当者にSNSなどで接触し、機密情報を詐取する手口です。
偽情報の流布
国家を背景とした機関が、サイバー空間で偽情報やフェイクニュースを拡散し、影響工作を行うこともあります。
地政学的リスクに起因するサイバー攻撃への対策と対応
組織は経営者層、システム管理者、従業員それぞれが連携して対策をとる必要があります。
経営者層は、地政学的リスクに関する情報収集を行い、自社の事業にどのような影響があるかを調査することが重要です。また、サイバー攻撃が発生した場合に備え、インシデント対応体制を整備する必要があります。
システム管理者は、被害の予防と被害に備えた対策を進めます。
DDoS攻撃対策として、影響を緩和するCDNの利用、WAF、IDS/IPS、DDoS対策サービスの導入、システムの冗長化の軽減策、DDoS 攻撃の影響を受けない非常時用ネットワークの準備などを検討します。
多要素認証などの強力な認証方式の利用を推奨します。このほか、サーバーやPC、ネットワークに適切なセキュリティ対策も検討しましょう。Webサイト停止時に備え、マニュアル作成、代替サーバーの用意、告知手段の整備をしたり、適切なバックアップ運用をしたりする必要も出てくるかもしれません。
従業員は、基本的なセキュリティ対策を徹底することが求められます。パスワードの適切な運用のほか、不審な添付ファイルの開封やリンク・URLのクリックを安易にしないように注意します。
組織外で開発されたプログラムは、業務端末ではない仮想環境などで開くようにし、不審なログイン履歴を定期的に確認し、被害の早期検知に努めます。
被害に遭った場合や不安を感じた場合は、適切な報告/連絡/相談を行うことが重要です。
これらの対策は、特定の脅威だけでなく、多くの攻撃の糸口(ソフトウェアの脆弱性、マルウェア感染、パスワード窃取、設定不備、誘導など)に対応する情報セキュリティ対策の基本となるものです。攻撃手口に大きな変化がない限り、これらの基本的な対策は有効であると考えられています。
情報セキュリティ10大脅威の活用方法
自組織にとっての脅威と対策を検討するための具体的なステップは以下の通りです。
- 自組織にとって守るべきもの(業務プロセス、重要な情報・データ、システム、社会的信用など)を明確にする。
- 守るべきものに対して晒されるおそれのある脅威を抽出し、具体的な被害を想定して、重要度が高い(発生して欲しくない)順番に並べ替える。この過程では、被害額の算出や経営方針の考慮が必要となり、システム所管部門や経営層を含む関係部門との連携が重要になります。
- 抽出した脅威に対して有効と考えられる対策候補を洗い出し、被害予防、早期検知、事後対応といった目的に分類して整理する。
- 洗い出した対策候補の実施状況を評価し、予算、時間、対策をしなかった場合の被害の許容性などを考慮して今後実施する対策を選択し、優先順位を付けて計画を立てる。
サイバー攻撃の脅威は常に進化し、自組織の状況も変化するため、この脅威と対策の検討は一度きりでなく、定期的に見直すことが重要です。
