IPAは1月25日、情報セキュリティにおける脅威のうち、2024年に社会的影響が大きかったと考えられるものを「情報セキュリティ10大脅威 2025」として公表した。

「情報セキュリティ10大脅威 2025」とは

「情報セキュリティ10大脅威 2025」は、2024年に発生した社会的に影響が大きかったと考えられる情報セキュリティにおける事案から、IPAが脅威候補を選出し、情報セキュリティ分野の研究者、企業の実務担当者など約200名のメンバーから構成された「10大脅威選考会」が審議・投票を行い、決定したもの。

「情報セキュリティ10大脅威 2025」は個人と組織に分けられている。

昨年から、個人の10大脅威は順位を掲載せず、五十音順で並べられている。これは、順位が高い脅威から優先的に対応し、下位の脅威への対策が疎かになることを懸念してのことだという。順位にかかわらず、自身に関係のある脅威に対して対策を行うことが期待されている。

個人の「情報セキュリティ10大脅威 2025」と「情報セキュリティ10大脅威 2024」

個人の「情報セキュリティ10大脅威 2025」にランクインした脅威はすべて昨年と同じものとなった。

ただし、IPAはしかし、前年と同じ脅威であっても取り巻く環境も同じというわけではないと指摘。攻撃者は手口を進化させ、特に社会的に注目されるニュースや新技術(生成AIなど)を巧妙に利用して、日々新たな攻撃を仕掛けてくるため、常日頃から脅威に関する最新情報に注意を払い、手口を知っておくことが重要とアドバイスしている。

  • 情報セキュリティ10大脅威 2025 [個人] 引用:IPA

組織の「情報セキュリティ10大脅威 2025」と「情報セキュリティ10大脅威 2024」

一方、組織の「情報セキュリティ10大脅威 2025」は「情報セキュリティ10大脅威 2024」とランキングの模様が異なっている。

例えば、昨年に7位だった「システムの脆弱性を突いた攻撃」が3位に順位を上げた。これは、昨年5位だった「修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃)」を今回「システムの脆弱性を突いた攻撃」に統合した影響が一因として考えられるという。

また今回新設された「地政学的リスクに起因するサイバー攻撃」が7位に選出されたほか、年末年始にも見られた「分散型サービス妨害攻撃(DDoS攻撃)」が2020年以来再びランクインした。

  • 情報セキュリティ10大脅威 2025 [組織] 引用:IPA