はじめに
応用情報の勉強をしようと思い、対策などをググっているときに以下のQiita記事を見つけました。
そこに「情報セキュリティ10大脅威」という資料が載っていて、お恥ずかしい話
私自身があまり知らない内容だったので、自分なりにまとめてみようかと思いました。
情報セキュリティ10大脅威2025とは
2024年に発生した社会的に影響が大きかったと考えられる情報セキュリティにおける事案から、
IPAが脅威候補を選出し、情報セキュリティ分野の研究者、企業の実務担当者など約200名の
メンバーからなる「10大脅威選考会」が脅威候補に対して審議・投票を行い、決定したもの
という感じで、ITに関わる人であれば知っておかないといけない脅威たちです。
その中では組織向けの脅威と個人向けの脅威とで分かれています。
組織向けの方では一応脅威順でランキング(って言い方がよくないかも)で出ていますが、
個人向けに関しては順位に関わらず自身に関係のある脅威に対して対策を行うことが大事なので五十音順になっています。
組織向けの脅威
- ランサム攻撃による被害
- サプライチェーンや委託先を狙った攻撃
- システムの脆弱性を突いた攻撃
- 内部不正による情報漏えい等
- 機密情報等を狙った標的型攻撃
- リモートワーク等の環境や仕組みを狙った攻撃
- 地政学的リスクに起因するサイバー攻撃
- 分散型サービス妨害攻撃(DDoS攻撃)
- ビジネスメール詐欺
- 不注意による情報漏えい等
ポイント
- 「ランサム攻撃」「内部不正」「標的型攻撃」に関しては毎年選ばれている
- 2025年は「地政学的リスク」が初登場。国際情勢の変化がセキュリティにも影響しているそう
個人向けの脅威(五十音順)
- インターネットサービスからの個人情報窃取
- インターネットサービスへの不正ログイン
- クレジットカード情報の不正利用
- スマホ決済の不正利用
- 偽警告によるインターネット詐欺
- ネット上の誹謗・中傷・デマ
- フィッシングによる個人情報等の詐取
- 不正アプリによるスマートフォン利用者への被害
- メールやSMS等を使った脅迫・詐欺の手口による金銭要求
- ワンクリック請求等の不当請求による金銭被害
ポイント
- 「不正ログイン」「クレカの不正利用」「ネット上の誹謗中傷デマ」「不正アプリによる被害」は10年連続で選ばれている
- パスワード管理や多要素認証が必須(今となっては標準な対策)
ランサム攻撃について(不動の1位)
「情報セキュリティ10大脅威」において、常に上位を占めるのが ランサム攻撃 でした。
なんとなく言葉の意味だけは理解していたりニュースで見てはいましたが、ここで改めて確認します。
攻撃者が企業や個人のデータを暗号化し、復旧のために身代金を要求する手口で、被害は年々深刻化しているそうです。
特徴
- 標的は大企業だけでなく中小企業や自治体にも拡大。
- 被害後に復旧コストが莫大になり、事業継続を脅かす。
- 暗号化だけでなく「情報を公開する」と脅す二重脅迫型も増加。
対策例
- バックアップ体制の強化
- セキュリティパッチの適用
- メールフィルタリングと従業員教育
まとめ
実際にIT業界で働くようになってから、自分自身が被害にあっているわけではなくともセキュリティの視点は一際重要性を感じるようになりました。
単純に「技術的な攻撃」だけではなく「人や社会的要素」も含まれているので、ITリテラシーを自分自身がまず持つことが必要ですね。
毎年必ず出てくる脅威もありつつ、これからの時代はAIがさらにその役割を強めていくため、また新たな脅威が出てくるかもしれません。
常に新しい情報をキャッチアップしていきたいと思います。