「情報セキュリティ10大脅威 2025」にみる今年のセキュリティ動向と対策のポイント

「情報セキュリティ 10大脅威」（以下「10大脅威」）の動向としていえることは、過去10年の脅威項目に大きな動きはないことだろう。つまり、この10年くらいは、順位の変動はあるものの、ランサムウェア、標的型攻撃、内部不正、サプライチェーン攻撃、ビジネスメール詐欺（BEC）といった脅威が「常連」としてランクインしている。

常連が多いということは、全体的な対策を大きく変える必要はないともいえるが、そう単純な話でもない。対策ポイントは後半でまとめるが、まず10大脅威2025（実際には2024年の動向ということになる）を振り返ってみる。

前年版になかった項目では7位の地政学的リスクに起因するサイバー攻撃と8位の分散型サービス妨害攻撃（DDoS攻撃）の2つがある。とくに7位の地政学的リスクによる脅威は25年版に初めて登場した項目だ。

地政学的リスクの内容については、IPAのリリースによれば、MirrorFace（国内の安全保障や先端技術に関連した情報窃取を目的とする、中国の関与が疑われている標的型攻撃グループ）によるサイバー攻撃を例示している。、

地政学的リスクとは、一般的には戦争、国際紛争、貿易・経済摩擦、内乱やクーデターといった政情不安による様々な影響や弊害を意味する。近年はデモや暴動はサイバー空間にも広がり、多くは情報戦、世論操作、プロパガンダにつながっている。動乱に便乗したスパムや詐欺が目立って増えるのもサイバー空間特有の動きと言える。

このような攻撃が増えると便乗犯によるスパムや詐欺、フィッシングが増えるだけでなく、国家支援型のサイバー攻撃や諜報活動によって民間企業や一般ユーザーが巻き込まれたり、影響を受けることがある。発電所や交通機関を狙った攻撃は、インフラへの直接的なダメージとなり社会不安や国民の生活、経済活動にも被害が及ぶことがある。

これまで地政学的リスクの要因とされる国はロシア、中国とイスラエル・中東などに集中していた。しかし、アメリカファーストを掲げるトランプ政権下では、アメリカも地政学的リスクの当事国と認識する必要が出ているとみるべきだ。

8位のDDoS攻撃も、警戒を怠ってはいけないサイバー攻撃だ。だが、近年はネットワーク環境の強化、クラウド環境への移行、対策インフラの整備が進み、トラフィックが増えるだけのDDoS攻撃の効果は限定的になっていた。ロードバランサ―やCDNを活用すれば、あるいは単に太い回線を契約すれば、並みのDDoS攻撃は対応可能になっていると言える状況がある。

攻撃側も、無数のIoT機器（Webカメラやネットワーク機器）をボットネット化するなどDDoS攻撃能力を上げてきているが、防御側は攻撃が止むのを待つ、という対策がとれていた。しかし、2024年DDoS攻撃の特徴として、帯域消費型（大量のトラフィックを発生させる）攻撃から、アプリケーションの機能を狙った攻撃にシフトした。たとえば、上位プロトコルの脆弱性、セッション数やユーザー数、アプリケーション側の処理能力や設定、仕様の不備を突く攻撃が増えている。

このような攻撃は、大量のボットネットや大量のトラフィックを使わなくても、少数の攻撃元から低速・低帯域のトラフィック（攻撃命令）で標的サーバーやアプリケーションをダウンさせることができる。ボットやサーバーから大量のトラフィックを発生する必要がないので、大規模なボットネットを使えば、同時に多数の標的をねらう「絨毯爆撃」のような攻撃も可能となる。2024年末から25年始にかけて発生したDDoS攻撃が、今後も発生するかもしれない。

セキュリティ対策においては、想像力や洞察力が求められることがある。DDoS攻撃のランクインは初めてではないが、今回あらためて選出された背景に思いを巡らせて、注意喚起や対策に役立ててもよい。

2023年前後には、DDoS攻撃ではないが、国内事業者の機器交換、ソフトウェアアップデートなどのメンテナンス作業において、大規模な通信障害が発生している。このときの教訓を生かして、24年以降は大規模な通信障害は減っているが、自然災害、太陽フレアなどによる障害も発生している。

ユーザー（企業）としては、ネットワークが使えないという点で、サイバー攻撃も災害によるダウンも同じと言える。BCPもセキュリティに関連する活動とすれば、通信障害や輻輳への対策は考えておくべきだろう。機器設定やハードウェア障害以外でも、大規模障害が発生することがある。ストレージや開発環境などクラウドプロバイダーのサービスを利用している場合、その設定ミスによりシステム侵入やサイバー攻撃につながることがある。今回の10大脅威で言えば、10位の「不注意による情報漏洩等」のひとつとして考えることができる。

2025年の10大脅威に若干の変化は見られたものの、常連組のうち「ランサムウェア攻撃」は相変わらずの要注意項目だ。被害は一向に減らないし、この数年は日本を狙ったランサムウェア攻撃が増えているとの報告（※1）もある。警察庁の「サイバー空間をめぐる脅威の情勢等」では、毎年のようにランサムウェア被害の増加傾向を発表している。

背景には、生成AIによるフィッシングメールや標的型攻撃メールの高精度化、翻訳の高品質化があるとされる。以前は、言語の壁がグローバル展開する犯罪組織による被害を軽減させていた。あやしい日本語のメールの排除は簡単だったからだ。ランサムウェアギャングにとって、ヒット率の低かった日本が新しいマーケットに見えているのかもしれない。

続く「サプライチェーン攻撃」「脆弱性攻撃」「標的型攻撃」「ビジネスメール詐欺」などは、実は1位のランサムウェア攻撃とも密接に関連している。どの攻撃が主因かという特定はできないが、これらの攻撃のどれもがランサムウェア攻撃を伴っていたり、関係したりしている。

サプライチェーン攻撃で多く発生している被害はランサムウェアによるものだ。データ暗号化によってシステムが稼働しなくなることで、身代金よりも業務停止による被害のほうが深刻なくらいだ。そして、そのような攻撃はサプライチェーンの末端から侵入がしやすいうえに、被害はチェーンの上流まで一気に到達する。非常に攻撃効果が高いもので、ランサムウェアギャングは、中小企業だろうと見逃してくれない。

ランサムウェア攻撃の近年の特徴は、従来のデータ暗号化から、データ窃取による脅迫、機密情報の攻撃被害や身代金支払いなどを公表する暴露型の脅迫が増えていることにある。ランサムウェアは、最初に感染したPCやサーバーの暗号化・破壊よりも、そこから脅迫のネタになる機密データを探すため、標的環境で隠密行動をとるようになっている。APT（標的型）攻撃でいう、横展開・ラテラルムーブメントと呼ばれるフェーズがランサムウェア攻撃でも広がっている。

結果として、システムの脆弱性を多用するようになる。従来のランサムウェアはフィッシングによるアカウント情報を使えばなりすましで標的に侵入できるので脆弱性を突く必要がない。RaaSと呼ばれる攻撃プラットフォームでは、攻撃の効率を上げるため、事前に標的情報を収集販売するアクセスブローカーも存在する。標的型のランサムウェア攻撃が増えている背景と考えることができる。

暗号化による脅迫の時代は、ランサムウェアは感染したらすぐに警告画面を表示し感染事実をアピールする必要があった。暴露型ではむしろ隠密行動による長期潜伏、横展開など国家支援型のサイバー攻撃のような特徴を持ち始めている。発見が困難になり、対応にも高度な技術を必要とする。

現在、サイバー攻撃の背景や目的が多様化している。一時期はもっぱら犯罪集団による金銭目的のサイバー攻撃がほとんどだったが、テロの活性化はアクティビストによるサイバー攻撃を誘発している。戦争・国際紛争は、国家支援型攻撃の他、プロパガンダや世論工作を目的とした詐欺、フェイクニュースの拡散を多発させている。民間企業さえ、国家間の諜報活動や犯罪捜査に協力させられる状況を想定する必要がある。多くは情報提供や、ツールやソフトウェア、エンジニアリングの提供などだが、逆にビジネスとしてスパイウェアを販売するベンダーも増えている。

ACD（能動的サイバー防御）の議論の進み方、法整備の方向性によっては、その協力は法的拘束力を持つかもしれない。備えを考えるとしたら、政府が要求するデータやツールを提供できる環境を作っておく必要が出てくる。コスト負担を含めて考えるべき問題だ。

サイバー攻撃という分類で項目を見たとき、大きな変化はなく、従来からの攻撃手法の対策強化を考えればよいのかもしれないが、以上のように、その内容や意味は時代ごとに変わってくる。10大脅威も項目に大きな変化がないから「安心」「これまでどおりでよい」ということにはならない。背景の変化、細部の違いにも注意しつつ、2025年の対策を実施してほしい。