2025年版「情報セキュリティ10大脅威」徹底解説！企業と個人のリスクと対策

近年、サイバー攻撃はますます巧妙化し、多くの企業がその脅威にさらされています。特に中小企業は、限られたリソースの中でこれらの脅威に対処しなければならず、適切な対策が求められています。本記事では、独立行政法人 情報処理推進機構（IPA）が発表した「情報セキュリティ10大脅威 2025」をもとに、企業および個人が直面する主要な脅威とその対策について解説します。

企業向け情報セキュリティ10大脅威 2025

IPAの「情報セキュリティ10大脅威 2025」において、企業（組織）向けの脅威は以下のようにランク付けされています。

1. ランサム攻撃による被害
2. サプライチェーンや委託先を狙った攻撃
3. システムの脆弱性を突いた攻撃
4. 内部不正による情報漏えい等
5. 機密情報等を狙った標的型攻撃
6. リモートワーク等の環境や仕組みを狙った攻撃
7. 地政学的リスクに起因するサイバー攻撃
8. 分散型サービス妨害攻撃（DDoS攻撃）
9. ビジネスメール詐欺
10. 不注意による情報漏えい等

以下、それぞれの脅威について詳しく解説します。

1. ランサム攻撃による被害

ランサムウェアとは、感染したシステム内のファイルを暗号化し、復号のために身代金（ランサム）を要求するマルウェアの一種です。近年では、暗号化だけでなく、機密情報を窃取し、公開を盾に追加の金銭を要求する「二重恐喝」の手法も増加しています。

対策：

• 定期的なバックアップの実施： 重要なデータを定期的にバックアップし、オフラインで保管することで、攻撃を受けてもデータの復旧が可能となります。
• セキュリティソフトの導入と更新： 最新のセキュリティソフトを導入し、常に最新の状態に保つことで、マルウェアの侵入を防ぎます。
• 従業員教育： 不審なメールやリンクを開かないよう、従業員へのセキュリティ教育を徹底することが重要です。

2. サプライチェーンや委託先を狙った攻撃

サプライチェーン攻撃とは、取引先や委託先のセキュリティの脆弱性を利用し、最終的な標的である企業に侵入する手法です。自社がしっかりとしたセキュリティ対策を講じていても、取引先のセキュリティが脆弱であれば、攻撃者はそこを足掛かりに侵入を試みます。

対策：

• 取引先のセキュリティ評価： 取引先や委託先のセキュリティ対策状況を定期的に評価し、必要に応じて改善を求めることが重要です。
• 契約時のセキュリティ要件明確化： 契約段階でセキュリティ要件を明確にし、遵守を求めることでリスクを低減します。
• 情報共有と連携： 取引先とセキュリティに関する情報を共有し、連携して対策を講じることが効果的です。

3. システムの脆弱性を突いた攻撃

ソフトウェアやシステムの脆弱性を悪用し、不正アクセスやマルウェア感染を引き起こす攻撃です。特に、パッチ未適用のシステムやサポートが終了したソフトウェアは攻撃の対象となりやすいです。

対策：

• 定期的なパッチ適用： ソフトウェアやシステムの更新プログラムを定期的に適用し、脆弱性を解消します。
• 脆弱性スキャンの実施： 自社システムの脆弱性を定期的にスキャンし、早期に発見・対応することでリスクを低減します。
• 不要なサービスの停止： 使用していないサービスやポートを無効化し、攻撃の入り口を減らすことが重要です。

4. 内部不正による情報漏えい等

従業員や関係者による内部不正は、情報漏えいの大きな要因となっています。不正な持ち出しや意図的な情報改ざんなど、内部からの脅威は外部からの攻撃以上に検知が難しい場合があります。

対策：

• アクセス権限の適切な管理
  従業員ごとに必要最小限のアクセス権限を付与し、不必要な情報にはアクセスできないようにすることで、情報の不正利用を防ぎます。また、退職者や異動者のアクセス権限を速やかに削除することも重要です

 

5. 機密情報等を狙った標的型攻撃

標的型攻撃とは、特定の企業や組織を狙い撃ちにしたサイバー攻撃で、機密情報の窃取や業務妨害を目的としています。攻撃者は、フィッシングメールやマルウェアを用いて組織内に侵入し、情報を盗み出す手法を取ります。

対策：

• メールフィルタリングの強化： 不審なメールを自動的に検出・隔離するフィルタリング機能を導入し、リスクを低減します。
• 多要素認証の導入： パスワードに加えて、生体認証やワンタイムパスワードなどを組み合わせることで、不正アクセスを防ぎます。
• 従業員教育： フィッシングメールの見分け方や、不審なリンクをクリックしないなどのセキュリティ意識を高める教育を実施します。

6. リモートワーク等の環境や仕組みを狙った攻撃

リモートワークの普及に伴い、VPNやリモートデスクトップなどのリモートアクセス手段を狙った攻撃が増加しています。これらの攻撃は、リモート環境の設定ミスやセキュリティ対策の不備を突いて行われます。

対策：

• ゼロトラストセキュリティの導入： 全てのアクセスを信頼しない前提で検証するゼロトラストモデルを採用し、セキュリティを強化します。
• セキュアなリモートアクセスの確保： VPNの適切な設定や、リモートデスクトップのセキュリティ強化を行います。
• 従業員へのセキュリティ教育： リモートワーク時のセキュリティリスクとその対策について、従業員への教育を徹底します。

7. 地政学的リスクに起因するサイバー攻撃

地政学的リスクとは、国家間の政治的・経済的な緊張や対立に起因するリスクを指し、これに伴うサイバー攻撃が増加しています。特定の国や地域を標的とした攻撃が行われ、企業活動に影響を及ぼすケースが報告されています。

対策：

• インテリジェンス情報の活用： 最新のサイバー脅威情報を収集し、組織のセキュリティ対策に反映させます。
• サイバーレジリエンスの強化： 攻撃を受けた際の被害を最小限に抑え、迅速に復旧する能力を高める取り組みを行います。
• 政府機関との連携： 公的機関や他企業との情報共有を通じて、効果的な対策を講じます。

8. 分散型サービス妨害攻撃（DDoS攻撃）

DDoS攻撃とは、多数のコンピュータから一斉に特定のサーバやネットワークに大量のトラフィックを送りつけ、サービスを妨害する攻撃です。これにより、ウェブサイトの閲覧不可やサービス停止などの被害が発生します。

対策：

• DDoS防御ソリューションの導入： 専門の防御サービスを利用し、攻撃トラフィックを検知・遮断します。
• トラフィック監視の強化： 異常なトラフィックを早期に発見し、迅速に対応できる体制を整備します。
• CDN（Content Delivery Network）の活用： コンテンツを分散配置することで、攻撃の影響を軽減します。

9. ビジネスメール詐欺

**ビジネスメール詐欺（BEC）**は、経営者や取引先を装ったメールを用いて、従業員から金銭や機密情報を詐取する手口です。巧妙な手口で正規のメールと見分けがつきにくく、多くの企業が被害を受けています。

対策：

• メール認証技術の導入： SPFやDKIM、DMARCなどのメール認証技術を活用し、不正な送信者を検出します。
• 送金プロセスの見直し： 大口の送金や重要な情報の送信時には、複数人の承認を必要とするなど、内部プロセスを強化します。
• 従業員教育： 不審なメールや指示に対する注意喚起を行い、詐欺被害を未然に防ぎます。

10. 不注意による情報漏えい等

人的ミスや不注意による情報漏えいは、サイバー攻撃と並んで情報セキュリティの大きな課題となっています。例えば、メールの誤送信、USBメモリの紛失、クラウドストレージの設定ミスなどが挙げられます。特に、在宅勤務やリモートワークが普及したことで、個人のデバイスやネットワーク環境が脆弱になり、情報漏えいのリスクが増加しています。

対策：

• データの暗号化とアクセス制御： 機密情報は暗号化し、権限を持つ人だけがアクセスできるようにする。
• 誤送信防止ツールの活用： メール送信時に宛先を自動チェックするシステムを導入する。
• 従業員教育と意識向上： 情報取り扱いのルールを定め、定期的に研修を実施する。

 

 

個人向け情報セキュリティ10大脅威 2025

IPAは、個人が注意すべき情報セキュリティの脅威についてもランキングを発表しています。2025年の主な脅威は以下の通りです。

1. フィッシングによる個人情報の詐取
2. インターネット上の詐欺（ECサイト、投資詐欺等）
3. スマホ決済等の不正利用
4. 不正アプリによるスマートフォン利用者への被害
5. SNS等の利用に伴うトラブル（個人情報流出、誹謗中傷など）
6. インターネットバンキングやクレジットカード情報の不正利用
7. 偽警告によるインターネット詐欺
8. パスワード管理の不備によるアカウント乗っ取り
9. フリーWi-Fi利用時の盗聴・攻撃
10. ランサムウェアなどのマルウェア感染

以下、それぞれの脅威と対策について詳しく解説します。

1. フィッシングによる個人情報の詐取

フィッシング詐欺は、公式のサービスを装った偽メールや偽サイトを利用し、個人情報（パスワードやクレジットカード情報）を盗み取る手口です。特に近年では、AIを活用した巧妙なフィッシング詐欺が増加しています。

対策：

• 送信元アドレスやリンク先のURLを慎重に確認する。
• 二段階認証を有効にし、不正アクセスを防ぐ。
• セキュリティソフトを導入し、詐欺サイトへのアクセスをブロックする。

2. インターネット上の詐欺（ECサイト、投資詐欺等）

詐欺サイトや偽のECサイトでの被害が急増しています。特に、格安商品を販売するサイトや、SNS広告経由の詐欺が目立っています。

対策：

• 信頼できるECサイトかどうかを確認し、不審な場合は購入を控える。
• クレジットカードの利用履歴を定期的に確認し、不正利用に注意する。
• 知らない人からの投資話には安易に乗らない。

3. スマホ決済等の不正利用

QRコード決済やスマホ決済サービスの不正利用が増加しています。特に、パスワードの使い回しや、スマホを紛失した際のセキュリティ設定不足が原因となることが多いです。

対策：

• スマホ決済アプリのセキュリティ設定を強化する（生体認証、PINコードの設定）。
• パスワードは定期的に変更し、使い回しを避ける。
• スマホを紛失した場合、すぐに遠隔ロックやデータ削除を行う。

4. 不正アプリによるスマートフォン利用者への被害

正規アプリに見せかけた不正アプリが出回り、インストールすると個人情報が盗まれたり、勝手に課金される被害が発生しています。

対策：

• 公式のアプリストア（Google Play、App Store）以外からアプリをインストールしない。
• アプリのレビューや開発元を確認し、不審なアプリは避ける。
• スマホのセキュリティ設定を見直し、不審なアプリのインストールを防ぐ。

5. SNS等の利用に伴うトラブル

SNS上での誹謗中傷や個人情報流出が問題になっています。特に、位置情報付きの投稿や、身元が特定される情報の公開が原因で、犯罪に巻き込まれるケースもあります。

対策：

• SNSの公開範囲を適切に設定し、不特定多数が閲覧できないようにする。
• 住所や電話番号などの個人情報を投稿しない。
• SNS上の誹謗中傷に対しては、法的手段を検討する。

 

 

まとめ

「情報セキュリティ10大脅威 2025」は、企業と個人の双方にとって重要な指針となります。中小企業では、ランサムウェアやサプライチェーン攻撃、DDoS攻撃などのリスクを考慮し、適切な対策を講じることが求められます。一方で、個人でもフィッシング詐欺やスマホ決済の不正利用、SNSトラブルなどに注意を払い、セキュリティ対策を徹底することが重要です。

企業・個人ともに共通するポイントとして、以下の点を意識しましょう。

1. 最新のセキュリティ情報を収集する。
2. 従業員や家族に対してセキュリティ教育を行う。
3. 多要素認証やパスワード管理を徹底する。
4. バックアップを定期的に取り、被害に備える。
5. 不審なメールやリンクには慎重に対応する。

今後もサイバー攻撃の手口は進化し続けますが、適切な知識と対策を持つことで、被害を最小限に抑えることができます。情報セキュリティ対策を強化し、安全なデジタル環境を維持していきましょう。

 

対策に関する詳細については、弊社にてご相談を承っておりますのでご連絡ください。