企業で情報セキュリティを担当されている皆さまは、「IPA（情報処理推進機構）」という組織をご存じでしょうか？IPAは、経済産業省所管の公的機関であり、国内の情報セキュリティに関するリスク啓発や技術的支援、ガイドラインの提供などを行っています。
なかでも毎年発表される「情報セキュリティ10大脅威」は、国内外で発生したサイバーインシデントを分析し、企業や組織が対策すべき主要リスクを整理した重要な資料です。本記事では、2025年版の最新の脅威リスト（組織向け／個人向けそれぞれの脅威）と、それぞれに対する対策を簡単に紹介します。

⚠️ 情報セキュリティ10大脅威 [組織]

💥 1位 ランサム攻撃による被害

ランサムウェアは、業務用サーバや社員端末のファイル・データを強制的に暗号化し、復旧のために金銭（仮想通貨）を要求するマルウェアです。2024年は「暗号化だけでなく、情報を窃取して公開すると脅す“二重恐喝型”」「支払っても復号されない」「支払っても再攻撃される」といった深刻な被害が増加。特に製造業・医療機関・公共インフラ事業者を狙った攻撃が目立ち、社会的混乱を伴うケースも多く報告されています。

✅ 対策

①オフラインバックアップや世代管理によるバックアップの多重化
②メール添付・リンクの自動検知と隔離（EDR/MDRの導入）
③ランサム感染時の初動対応計画（IRP）の策定と訓練
④従業員へのサイバー攻撃訓練（模擬標的型攻撃演習）

💥 2位 サプライチェーンや委託先を狙った攻撃

攻撃者は直接ターゲット企業に侵入するのではなく、相対的にセキュリティの弱い取引先（子会社、委託先、開発パートナーなど）を経由して、内部ネットワークへ侵入する手法が増えています。過去には、**ソフトウェア開発会社のビルド環境にマルウェアを仕込み、納品先の企業に一斉感染させる「サプライチェーンマルウェア事件」**も発生しています。

✅ 対策

①委託先に対して情報セキュリティポリシーの遵守を契約で義務化
②社外ネットワークからのアクセスはゼロトラスト設計で分離・監視
③重要業務に関わるパートナーには定期的なセキュリティ監査を実施
④システム開発時は**SBOM（ソフトウェア部品表）**を活用して構成管理を徹底

💥 3位 システムの脆弱性を突いた攻撃

日々新たな脆弱性が公表されており、「パッチ未適用」の隙を突かれて侵入されるケースが後を絶ちません。公開サーバ、社内Webアプリケーション、ミドルウェア、クラウド構成ミスなど、攻撃対象は多岐にわたります。特に、ゼロデイ脆弱性（発表前の脆弱性）を狙ったAPT（高度標的型攻撃）が深刻化しています。

✅ 対策

①脆弱性管理ツール（Vulnerability Management）の導入
②公開サーバ・アプリにはWAF（Webアプリケーションファイアウォール）を設置
③脆弱性スキャンやペネトレーションテストの定期実施
④CVE、JVN、ベンダー情報を継続監視し、迅速なアップデートを徹底

💥 4位 内部不正による情報漏えい等

内部関係者による情報漏えいや業務妨害などの事件が後を絶ちません。特に退職者による顧客リスト持ち出しや、外部からの買収による故意の内部工作といった事案が問題となっています。単なる技術的対策では防ぎきれず、人事・監査・法務部門との連携が不可欠です。

✅ 対策

①アクセスログの取得・定期的なレビュー
②USBメモリなど外部媒体の使用制限・記録化
③職務分離・内部牽制体制の明確化
④報制度（ホットライン）の整備と利用促進

💥 5位 機密情報等を狙った標的型攻撃

特定業種（防衛、製造、金融など）や個別企業を狙った**高度で持続的な攻撃（APT：Advanced Persistent Threat）**が増加中です。偽装メールや水飲み場攻撃などを用いて、気付かれずに長期間ネットワーク内に潜伏し、機密情報を窃取します。

✅ 対策

①標的型攻撃メール訓練と教育
②EDR・XDRによるふるまい検知とインシデント対応
③社内ネットワークをセグメント化し、侵入拡大を抑制
④SOC（Security Operation Center）や外部MSSの活用

💥 6位 リモートワーク等の環境や仕組みを狙った攻撃

テレワーク普及に伴い、リモート接続機器（VPN、VDI、RDP）やクラウド利用に対する攻撃が増加。セキュリティ設定が不十分なまま導入されるケースが多く、クラウドストレージの誤設定による機密情報の公開なども多発しています。

✅ 対策

①VPN、クラウド、VDIの設定ミス検出ツールの導入
②全リモートアクセスに多要素認証（MFA）
③BYOD端末のMDM（モバイルデバイス管理）による統制
④リモートワーク端末の資産登録・パッチ適用管理

💥 7位 地政学的リスクに起因するサイバー攻撃

国際的な政治対立、紛争、経済制裁に関連した国家主導のサイバー攻撃が、官公庁だけでなく一般企業にも及ぶようになっています。2024年には某国系ハッカーによるエネルギーインフラ攻撃が波紋を呼びました。攻撃の意図が「経済混乱」や「信頼失墜」である点が特徴です。

✅ 対策

①重要インフラ系システムのネットワーク分離（物理・論理）
②BCP（事業継続計画）にサイバー攻撃インシデント対応を明記
③国家主導攻撃に対する脅威インテリジェンス活用
④サイバー演習の実施とCSIRT体制の高度化

💥 8位 分散型サービス妨害攻撃（DDoS攻撃）

多数の感染端末からターゲットのWebサービスやサーバに大量のトラフィックを送信し、サービスをダウンさせる攻撃。最近では、クラウドサービスやCDNを通じて高度に分散された攻撃が多く、DNS・API・認証基盤などが標的にされることも。

✅ 対策

①クラウド型DDoS防御サービスの利用
②CDNを使った負荷分散とキャッシュ活用
③トラフィック異常の検出・自動遮断ルールの整備
④ISPやクラウドベンダーとの連携体制構築

💥 9位 ビジネスメール詐欺

攻撃者が取引先や経営者を騙って偽の送金依頼メールを送り、経理担当者などに不正な送金を実行させる詐欺。最近は、実在のメール履歴を盗用して信憑性を高める「会話型BEC」が増え、被害額が1件で数千万円にのぼるケースも。

✅ 対策

①業務用メールへのMFA導入とIP制限
②送金指示の多段階承認フローの整備
③不審メール検出のためのAIベースのメールセキュリティツール
④社員へのフィッシング訓練と対応フロー教育

💥 10位 不注意による情報漏えい等

メールの誤送信、社外に持ち出したUSBの紛失、クラウドストレージの設定ミスなど、ヒューマンエラーによる漏えい事件が依然として多数を占めています。特に、DXやクラウド移行が進む中、利用者の操作ミスが新たなリスクとなっています。

✅ 対策

①DLP（Data Loss Prevention）による誤送信防止
②クラウドサービスのアクセス権限見直し
③教育＋システムによるダブルチェック体制
④情報資産の分類・ラベル付けによる取り扱いの明確化

⚠️ 情報セキュリティ10大脅威 [個人]

💥 インターネット上のサービスからの個人情報の窃取

SNS、Webサービス、ショッピングサイト、会員サイトなど、あなたが利用するさまざまなオンラインサービスに保存されている個人情報（氏名、住所、電話番号、メールアドレス、履歴情報など）が、不正アクセスや脆弱性、内部関係者の不正などによって流出・窃取されるリスクです。たとえば、サービス側のセキュリティミスやデータベースへの侵入、APIの認証不備などを通じて、大量の利用者情報が漏れるケースが過去に多く報じられています。

✅ 対策

①利用するサービスでは、可能な限り最小限の情報だけを登録する
②サービスごとに強力かつ異なるパスワードを使う
③多要素認証（MFA／2段階認証）**を使えるところでは必ず有効にする
④定期的に利用サービスを見直し、不要になったアカウントは削除または退会する

💥 インターネット上のサービスへの不正ログイン

他人があなたのアカウント（SNS、メール、クラウドストレージ、銀行・決済サービスなど）に不正にログインする攻撃です。手口としては、パスワードの使い回し、辞書攻撃、パスワードリスト攻撃、認証情報の流出、フィッシングなどが利用されます。不正ログインされると、個人情報閲覧・削除・なりすまし送信・不正取引などの被害につながります。

✅ 対策

①各サービスで複雑かつ長めのパスワードを使う
②パスワード使い回しをしない
③多要素認証（MFA）を有効にする
④パスワード漏洩チェックサービスで使用中のパスワードが流出していないか確認する（例：Have I Been Pwned など）
⑤通知設定：ログイン時、異常な場所からのアクセス時に通知を受け取るように設定する

💥 クレジットカード情報の不正利用

クレジットカード番号、有効期限、セキュリティコード（CVV）などの情報が盗まれ、第三者が不正にカード決済を行う被害です。オンラインショップのセキュリティが弱い、カード情報を保存しているサービスが流出する、カードスキミング、物理的なカード番号の盗撮・コピーなども含まれます。被害額が大きくなることもあり、早期発見・対応が重要です。

✅ 対策

①安全性の高いサービスでのみカードを使う（SSL/TLS対応、信頼性のある決済業者を使っているか確認）
②カードの明細を定期的にチェックし、不審な利用がないか早期に発見
③オンラインでのカード情報保存を許可しない（使い捨てカード、バーチャルカードを活用）
④カード会社の**利用通知サービス（メール・SMS通知）**などを有効にする
⑤カードの利用限度額を適切に設定・管理する

💥 スマホ決済の不正利用

QRコード決済、モバイルウォレット、スマホアプリ決済などの普及に伴い、これらを悪用した不正利用が増加しています。偽のQRコードによる詐欺、決済アプリの脆弱性、アプリ内部での不正アクセス、アプリ偽装などが手段となります。普段使いの利便性とセキュリティのバランスが問題になりやすい分野です。

✅ 対策

①決済アプリは公式ストアからのみインストール
②決済アプリにPIN、パスワード、生体認証などロック機能を設定
③決済履歴をこまめに確認し、不正利用を早期に発見
④QRコードをスキャンする際は、見慣れないコードや不審な場所でのスキャンを避ける
⑤スマホを紛失したときに備え、遠隔ロック・消去機能を準備しておく

💥 偽警告によるインターネット詐欺

「あなたのパソコンがウイルス感染しています」「利用しているソフトの更新が必要です」などと偽の警告を出し、不安を煽ってソフト購入やサポート契約を促す手口。偽ソフトをインストールさせたり、サポート費用を請求したり、マルウェアを仕込ませたりすることがあります。

✅ 対策

①警告画面が出ても急いで操作せず、まずブラウザを閉じる
②OS・ブラウザ・セキュリティソフトを最新に保つ
③信頼できるセキュリティソフトを導入し、スキャン機能を定期実行
④怪しい更新要求・サポート依頼はネットで検索して正当性を確認してから応じる

💥 ネット上の誹謗・中傷・デマ

SNS、掲示板、動画コメント欄、口コミサイトなどで、個人に対する誹謗中傷・嫌がらせ・虚偽の事実流布（デマ）が行われるリスクです。これは精神的な被害だけでなく、名誉毀損、風評被害、職場・学校でのトラブルにも発展します。情報が拡散されやすいネット空間では、被害が広がるスピードが速い点が特徴です。

✅ 対策

①SNSはプライバシー設定を強めにする（非公開、友達限定など）
②本名・個人情報・具体的な住所などはネットに安易に出さない
③見知らぬアカウント・コメントに過剰反応せず、証拠（スクリーンショットなど）を残す
④名誉毀損や侮辱があれば、弁護士・警察・SNS運営会社に相談・削除申請
⑤ネットの情報を鵜呑みにせず、複数ソースで裏を取る習慣をもつ

💥 フィッシングによる個人情報等の詐取

メール、SMS、チャット、SNSなどを通じて偽のサイトへの誘導リンクを送り、そこにログイン情報、クレジットカード番号、銀行口座番号などを入力させて盗む手口。公式風に偽装された画面や差出人を使うため、見分けがつきにくく、巧妙化しています。

✅ 対策

①メールやメッセージのリンクはむやみにクリックしない
②公式サイトのログインはブックマークや正規URLからアクセス
③多要素認証を使い、パスワードだけでは突破できないようにする
④フィッシング詐欺情報を定期的にチェックして最新手口を把握する
⑤不審なメールを受け取ったら、差出人を確認・メールヘッダーを調べる

💥 不正アプリによるスマートフォン利用者への被害

正規アプリに見せかけた偽アプリやマルウェアが仕込まれたアプリをインストールさせ、スマホ内の情報（連絡先、写真、SMS、位置情報、認証情報など）を盗んだり、不正な挙動をさせたりするもの。悪質な広告やバックグラウンドでの課金、遠隔操作なども含まれます。

✅ 対策

①アプリは公式ストア（Google Play、Apple App Store 等）からのみインストール
②アプリの権限（アクセス許可）をインストール後にチェックし、不要な権限は外す
③セキュリティアプリを導入し、マルウェア検出スキャンを定期実施
④アプリのレビュー・評価を事前に確認し、怪しいアプリは避ける
⑤OS／アプリを常に最新バージョンにアップデートする

💥 メールやSMS等を使った脅迫・詐欺の手口による金銭要求

メールやSMS、チャットを使って「あなたの個人情報が漏れている」「撮影データを公開する」「支払わなければ法的措置を取る」などと脅し、金銭を要求する詐欺。特に身に覚えのない請求や恐怖を煽る文面で、相手を焦らせて支払わせようとするケースが多いです。

✅ 対策

①不審なメール・SMSに即反応せず、冷静に対応する
②相手が名乗る機関や連絡先をネットで確認し、正当性を検証する
③脅迫文や請求文は警察や消費生活センターに相談
④金銭を要求された場合、支払い前に必ず検証・相談する
⑤受信メールのフィルタリングや迷惑メール設定を活用する

💥 ワンクリック請求等の不当請求による金銭被害

怪しい Web サイトにアクセスしたとき、「あなたのパソコンはウイルスに感染しており、解除料を支払え」などの警告が現れ、ワンクリックで料金を請求する表示を出す手口。実際には正当な請求権利がないにもかかわらず、利用者の慌てを誘って支払わせようとします。

✅ 対策

①警告表示を見てもすぐに支払わない
②ブラウザを強制終了するか再起動する
③セキュリティソフトやブラウザ拡張機能で不正広告やポップアップブロックを使う
④安全モードでのスキャンや、信頼できるソフトでマルウェアチェックを行う
⑤不当請求サイトを見かけたら、スクリーンショットを記録して警察や消費者センターに相談