サイバー攻撃は年々巧妙化・悪質化してきている。引き続き勢いを増すランサムウェア攻撃や、広がるサプライチェーンリスクに加え、内部脅威によるセキュリティーインシデントも後を絶たない。また、世界情勢に起因した地政学的リスクなど、多くの脅威が存在する。情報処理推進機構（IPA）が1月に発表した「情報セキュリティ10大脅威 2025」を参考に、脅威の傾向や対策を分析する。
（取材・文／大向琴音）
 

拡大するランサムウェア被害

　情報セキュリティ10大脅威は、セキュリティー分野の研究者や企業の実務担当者などの有識者約200人で構成される選考会が、最新のセキュリティー脅威について審議・投票し、決定する。組織編と個人編を発表しているが、個人編については「個人ユーザーが順位を“危険度”と誤って認識してしまうと、下位の脅威への注意がおろそかになることを懸念した」（IPA）ため、24年から順位付けを廃止した。組織編についても、順位にかかわらず組織が置かれている立場や環境を考慮し、各項目の優先度を検討し対応していく必要があるとしているほか、ランクインした脅威が全てではなく、継続した対策が重要だとしている。
 
　25年版組織編について、IPAのセキュリティセンター対処調整部脆弱性対策グループの篠塚耕一・主幹は「基本的には例年とほぼ変わらない脅威が並んでいるが、以前と比べて手口が巧妙化・悪質化してきているという特徴がある」と総括する。

　1位は「ランサム攻撃による被害」、2位が「サプライチェーンや委託先を狙った攻撃」となり、昨年と同じ並びだった。ランサムウェア攻撃は、PCやサーバーのデータを暗号化し、復旧のための鍵と引き換えに金銭を要求する攻撃手法だが、篠塚主幹は、「最近は“ノーウェアランサム”といって、暗号化をせずに、盗み出した情報を公開すると脅し、金銭を要求する攻撃がはやってきている」と傾向を説明。また、ランサムウェア攻撃に必要な機能などを包括的にサービスとして提供するRaaS（Ransomware as a Service）の利用や、DDoS攻撃を仕掛けると脅迫する「ランサムDDoS攻撃」の増加などが確認されているとする。
   
　24年6月、大手出版社のKADOKAWAグループは、ランサムウェアを含む大規模なサイバー攻撃を受けたことで、個人情報などが流出し、ダークウェブ上で公開された。ほかにも、規模問わずさまざまな企業や機関などから被害が報告されており、ランサムウェア攻撃は社会に大きな影響を与えている。

　サプライチェーン攻撃は、セキュリティーが強固な企業を直接攻撃するのではなく、関連会社や取引先などの外部組織を通じて侵入し情報を窃取するケースと、ソフトウェアサプライチェーンと呼ばれるソフトウェア開発・提供の工程の中で、ライブラリーやアップデートプログラムなどの中にマルウェアを混入させるケースの二つがある。

　企業間のサプライチェーンでは、24年5月、情報処理サービスなどを手掛けるイセトーがVPN機器を侵入経路にされ、端末やサーバーがランサムウェアに感染。同社に業務委託していた企業が保有する個人情報などが流出した。企業間のサプライチェーンのセキュリティー強化に向けては、親会社などエコシステムの中核企業がかじを取りルールを明確化したり、業界団体が発行するガイドラインを参考にリスク管理を徹底したりするのが有効だ。

　ソフトウェアサプライチェーンについては、オープンソースソフトウェア（OSS）の開発者が不正プログラムを仕込み、利用者が被害を受けるなどのケースがみられることから、利用する製品やサービスの提供業者自体に問題がないかなどをきちんと確認するなどの対策がより重要になってくる。

　5位の「機密情報等を狙った標的型攻撃」は、長年登場する外部脅威だ。IPAは解説書で、標的型攻撃とは「特定の組織（民間企業、官公庁、団体など）を狙う攻撃のことであり、機密情報などの窃取や業務妨害を目的としている」と説明。組織が利用するクラウドサービスやWebサーバー、VPNといった製品の脆弱性を突いて認証情報を搾取し、その認証情報を利用して攻撃する不正アクセス、メールの添付ファイルやメール本文に記載したリンクにマルウェアを仕込むといったメールを使った攻撃などを代表的な攻撃手口として紹介している。

　24年12月下旬から25年1月上旬にかけて、金融機関や航空会社などがDDoS攻撃を受けサービスの提供ができない状況に陥り、社会に大きな打撃を与えたことなどを理由に、「分散型サービス妨害攻撃（DDoS攻撃）」が5年ぶりに選出され8位となった。

　近年は、ランサムウェア攻撃、サプライチェーン攻撃、標的型攻撃、DDoS攻撃が単体ではなく、それらを組み合わせた攻撃が主流のため、さまざまな局面に対応できる環境を構築する必要性が高まっている。