IPAの「情報セキュリティ10大脅威2025」をセキュリティ専門家はどう見るのか

サイバーセキュリティへの脅威は増しており、対策の範囲も難易度も上がる一方だ。対策の一助となるのが、情報処理推進機構（IPA）が毎年公開する「情報セキュリティ10大脅威」である。1月末に公開された2025年版をセキュリティの専門家はどう見るのか。

2月25日～27日にオンライン開催された「TECH+フォーラム セキュリティ 2025 Feb. 今セキュリティ担当者は何をすべきか」のパネルディスカッションで、5人の専門家が熱い議論を交わした。

パネルディスカッションに参加したのは、EGセキュアソリューションズ 取締役 CTO/独立行政法人情報処理推進機構（IPA）非常勤研究員/技術士（情報工学部門）の徳丸浩氏、NTTセキュリティ・ジャパン プロフェッショナルサービス部の北河拓士氏、インターネットイニシアティブ セキュリティ情報統括室 室長の根岸征史氏、SBテクノロジー プリンシパルセキュリティリサーチャーの辻伸弘氏、セキュリティインコ（piyolog運営者）のpiyokango氏。それぞれが情報セキュリティ10大脅威から1トピックを取り上げる形式で議論をした。

• 

  （左から）SBテクノロジー プリンシパルセキュリティリサーチャーの辻伸弘氏、セキュリティインコ（piyolog運営者）のpiyokango氏、EGセキュアソリューションズ 取締役 CTO/独立行政法人情報処理推進機構（IPA）非常勤研究員/技術士（情報工学部門）の徳丸浩氏

• 

  （左から）NTTセキュリティ・ジャパン プロフェッショナルサービス部の北河拓士氏、インターネットイニシアティブ セキュリティ情報統括室 室長の根岸征史氏

ランサム攻撃による被害

最初のトピックは「ランサム攻撃による被害」だ。10大脅威に取り上げられるのは10年連続10回目、過去5年は連続して1位の座をキープしてきた。今回は名称が「ランサムウェア」から「ランサム攻撃」へと変更されている。

2020年4月頃からリークサイトをウォッチしているという辻氏は、ランサム攻撃の最新動向として、「変化したもの、変化していないものがある」と話す。変化したものは、攻撃する集団だ。攻撃件数やリーク件数が多い大規模なグループは法執行機関などにサーバを差し押さえられるなど”テイクダウン”があったが、「2024年は、その穴を埋めるように新興ギャングが増えた」と説明。2023年には68あったランサムグループが、2024年には40％増加して95になったというCheck Point Software Technologiesのレポートを紹介した。「小規模化が進むことは、攻撃に遭う可能性も高まってきていると身構えた方が良いのでは」と助言した。

変わらないことは、守るためにやるべきことだ。資産管理、脆弱性管理、バックアップなどの対策を講じておくという点は、ギャングの規模や攻撃手法に関係なく同じだという。

「薄利多売化が進むことで、しっかり対策ができていない中小企業が被害に遭いやすくなる可能性もあります」（辻氏）

関連して、根岸氏は「委託先の企業がランサムウェアに感染し、委託元も結局影響を受けた事例が多かった」と指摘した。この分野に明るいpiyokango氏は「日本国内で公表された不正アクセス関連のインシデント約600件のうち、約200件が委託先企業の被害に起因していた。残り400件のうち約100件がランサムウェア関連と推定される」と、公表事例においてはランサムウェアによる攻撃がサイバー攻撃の多くを占めていることを紹介した。

システムの脆弱性を突いた攻撃

徳丸氏は、3位の「システムの脆弱性を突いた攻撃」にスポットを当てた。

2016年に初めて選出され、5年連続8回目で取り扱われている。前年は、修正プログラムの公開前を狙うゼロデイ攻撃と、脆弱性対策情報の公開に伴うN-day攻撃に分かれていたが、今回は2つを統合して1つになっている。

徳丸氏によると継続して多いのがVPN装置の脆弱性を突かれた攻撃であり、ランサムウェア攻撃も脆弱性が狙われていることが多いという。

脆弱性対策における課題として、パッチ適用の難しさがある。とくにVPN装置などのネットワーク機器では、自動アップデートの有効化が進んでいない。徳丸氏は家庭用ルーターでは自動アップデートや初期パスワードのランダム化が進んでいることを例に挙げ、企業向け機器でも同様の対策が必要だとの見解を示した。

昨今の傾向として、パッチが公開されてから悪用されるまでの期間が年々短くなっており、脆弱性情報を知ってからリスク評価、トリアージ、適用というプロセスを経ている間に侵害されるリスクが高まっていることがある。運用面でも、保守契約でパッチ適用まで含まれていないケースや、稟議などの手続きに時間がかかるといった課題がある。

この課題に対し辻氏は、各組織が使用している機器の中で本当に危険な脆弱性の実数を把握することを提案。「ある機器では2年間で本当に危険な脆弱性は数件しかなかった」という具体例を挙げ、現実的な数字に基づいた対策計画の立案を推奨した。

内部不正による情報漏えい

4位の「内部不正による情報漏えい」を取り上げたのは北河氏だ。この脅威も10年連続10回目で選ばれている。「外部からの攻撃の方が注目を浴びがちだが、内部不正も重要でかつ対策が非常に難しい課題」だと同氏は言う。

内部不正を行う可能性のある人物自体が脅威ではなく、それを許してしまう管理体制の不備こそが根本的な問題だ。つまり、内部不正リスクを低減するためには、組織の仕組みとして対策を講じる必要がある。

実は社内システムへの不正アクセスといった明確な違反行為はごく一部で、正当な業務権限を持つ人物が発端の漏えいが多くを占めるという。この点が内部不正対策を難しくしている。

「不正行為は通常の業務活動との区別が困難であり、内部の従業員は業務プロセスやシステムを熟知しています。セキュリティ対策の状況も把握しているため、より巧妙な手口で不正を行うことができるのです」（北河氏）

もう1つの難しさが「グレーゾーン」だ。例えば、業務時間外のアクセスや普段と異なる部署のファイルへのアクセスが業務目的なのか不正目的なのか判断が難しいケースがある。外部攻撃の場合はグレーな通信をブロックできるが、内部の場合は無実の従業員を誤って処分することはできず、対応を誤ると従業員との信頼関係を大きく損なう可能性がある。

対策としてのログ分析だが、多くの企業がアクセス履歴などのログを取得しているものの、「それらを効果的に分析して不正を発見するまでには至っていない」と北河氏は話す。実際、内部不正が発覚するのは取引先や顧客からの指摘、あるいは内部通報など、外部または内部からの問い合わせがきっかけとなることがほとんどだそうだ。

外部からの脅威の監視を外部委託する企業は多く、内部不正に対しても監視を外部委託することが考えられるが、これについても「監視対象となるログには機密性の高い情報が含まれている可能性がある」「適切な判断には、企業固有の業務プロセスや組織文化への理解が必要」「社内の不正を外部に知られたくないという心理的なハードル」といった点から外部への委託が難しい。

北河氏は、内部不正対策では「技術的な対応だけでなく、組織全体のプロセスや企業文化を見直し、不正が起こりにくい環境をつくることが重要」だと強調。例として欧米の金融機関などでは、2週間程度の長期休暇取得を義務付け、その間は業務を他の従業員に引き継ぐ取り組みを行っていることを紹介した。これはリフレッシュ目的だけでなく、不正行為の抑止や隠されていた不正の発見にもつながり、業務プロセスの文書化や共有が促進され、特定の従業員への業務集中を防ぐ効果があるという。

個人と組織の脅威の関連性

IPAの情報セキュリティ10大脅威は、「組織」と「個人」でそれぞれ10の脅威を選出しているが、個人に目を向けたのがpiyokango氏だ。

個人向けの脅威は組織にとっても無関係ではない。例えば、個人でトップとなった「インターネット上のサービスからの個人情報等の詐取」に関連するフィッシング攻撃は、「個人のID・パスワードなどの認証情報を狙う攻撃手法だが、組織のセキュリティにも直結する」とpiyokango氏は指摘する。2024年には、サポート詐欺によって業務端末が侵害され情報流出の可能性があるとして被害を公表した企業が10件以上あったそうだ。

また10年連続10回目の選出で、今回は6位となった「ネット上の誹謗中傷・デマ」も、当事者個人にとっての脅威であるだけでなく、組織にとっても問題となり得る。2024年にはランサムウェア攻撃によって流出したデータが第三者によって二次加工され再拡散されるケースもあったという。

北河氏は、個人向けの脅威としてSNSに関連するものが増えているにもかかわらず、10大脅威にSNSをタイトルにしたものがないことに疑問を呈した。有名人を使ったSNSの投資詐欺、恋愛感情につけ込んだロマンス詐欺、闇バイトの募集など、SNSを利用した犯罪手口が主流になってきていると指摘。根岸氏は、個人端末と組織端末の境界が曖昧になっていることによる新たなリスクが出てきていると述べた。

piyokango氏は、認証情報が不正利用されたという公表は多いものの、それがなぜ漏れたのかという原因について言及している組織が少ないことを指摘。組織への侵入ではあるが、個人の脅威が原因の可能性もあり、個人環境で発生した問題が原因である場合は調査や特定が難しくなるとした。

このように、「組織」と「個人」の明確な区分けが実際のサイバー攻撃の実態と必ずしも合致していないのではないかという懸念にパネラー全員が頷いた。

DDoS攻撃など、分散型サービス妨害攻撃

10大脅威2025年版では「分散型サービス妨害攻撃（DDoS攻撃など）」が5年ぶり6回目に選出された。

この脅威を取り上げた根岸氏は、初選出の「地政学的リスクに起因するサイバー攻撃」（7位）でDDoS攻撃は典型的な例になるとしつつ、気になった点として次のように説明した。

「DDoS攻撃自体は技術的に大きく進化しておらず、攻撃手法も過去10年でそれほど変化していません。にもかかわらず、依然として被害が発生しているのです。対策技術は十分に存在するはずなのに、なぜ効果的に防御できていないのでしょうか」（根岸氏）

考えられる理由として、対策の盲点や想定外の部分が狙われるケースがあるという。例えば、CDN（コンテンツデリバリネットワーク）で防御していると思っていたのに実際にはうまく機能していなかったり、防御対象外の部分が攻撃されたり、直接オリジンサーバーが狙われるなどのケースがあると辻氏は説明した。

辻氏はDDoS攻撃への対策は「最もややこしい」と話す。その理由は、攻撃者側のコストと防御側のコストの非対称さだ。攻撃者は比較的少ないリソースで大きな影響を与えられるのに対し、防御側はそれよりも格段に高いコストの対策を維持する必要がある。また、攻撃の発生頻度や時期も予測が難しく、対策の費用対効果の判断が難しい。これが、対策する側のややこしさにつながっているという。

さらに辻氏はDDoS攻撃に関する情報共有が他の脅威と比較して特に不足していることも指摘した。

「DDoS対策は組織の対処能力に直結するため、情報を公開しにくいという心理的な障壁があるのではないでしょうか」（辻氏）

最後にパネラーから「情報セキュリティ10大脅威」の使い方として、順位に注目するのではなく、選出されている全ての脅威が自組織にとってどのような意味があるのかを考えることが重要だというアドバイスがなされた。IPAが10大脅威とともに公開している詳細な解説書を読み込むなど、「タイトル以外のことを知るアクションに移すことが重要」だと辻氏は助言した。

•