毎年2月のセキュリティ月間が始まり、2025年も恒例の情報処理推進機構(IPA)による「情報セキュリティ10大脅威」が公開されました。組織編、個人編でそれぞれ10の脅威が選出されています。まずはランキングのみの発表ですが、ここ数年にはなかった新しい動きが見られたのでこのコラムで紹介しましょう。
前年の10大脅威には大きな変化がなく、全てが○年連続という内容でした。それもそのはず、サイバー空間でのリスクは変わらず存在し、リスクを解消できるようなブレークスルーもありません。2024年も同じ時期にこのコラムでもそのようなことに触れていました。ただ今回は「初選出」そして「5年ぶり」という文言が登場しています。
●新たに2つの脅威がランクイン 組織が注目すべきは……
2025年に初めて選出されたリスクは「地政学的リスクに起因するサイバー攻撃」です。正直に言って、この脅威は他のあらゆる脅威を内包しているものであり、地政学的リスクだから特別な対応が必要だという企業はそう多くはないと思っています。そのため、ここに大きく注目する必要はないはずです。
個人的に全ての組織で気にするべきは、8番目にリストアップされた「分散型サービス妨害攻撃(DDoS攻撃)」です。これは5年ぶりのピックアップということで、今、正に攻撃のリスクが高まっているものでもあります。
DDoS攻撃は2024年末から2025年初頭にかけて多発しました。三菱UFJ銀行は2024年12月26日、インターネットバンキングの不具合について「本不具合は、外部からの不正な大量データ送付に起因するものであり、顧客データ流出やウイルス被害は生じておりません」と発表しました。
同日にはJALでも「大量データ送付による障害に起因する」とされたシステムの不具合が発生しました。
この他にもみずほ銀行やNTTドコモなど国内のさまざまな企業にDDoS攻撃が実行されていたことがおぼろげながらに明らかになりました。その意図に関しては図りかねる部分が多いですが、これを何らかの大規模攻撃のテストと捉える専門家も少なくありません。選ばれた企業を考えれば、これこそが「地政学的リスクに起因するサイバー攻撃」そのものという可能性もあるでしょう。IPAがこのスピードで2つの脅威を入れ込んだことにも、いろいろな意図が読み取れるかもしれません。
●根本的な対策が難しいDDoS では何もしなくてもいいのか?
DDoS攻撃の対策はこれまでも非常に困難だとされ、本当に止められないゲーム運営企業などは先進的な対策をしていますが、その他多くの企業では、DDoSは一定時間しか実行されないことを前提とし、「待つ」という消極的な対策を講じている企業も多いでしょう。いつやってくるか分からない攻撃に対し、臨戦体制を整え続けることも難しいです。
しかし、DDoS対策を一切しなくていいというわけではないと思っています。例えば上記のようなDDoS攻撃を受けた企業の顧客視点で考えれば、サービスにつなごうとしているのに反応がないということが分かったとき、真っ先に必要なのは「現状をお知らせする仕組みが、顧客に伝わっているか?」ということです。大枠では「広報がDDoS攻撃下でも機能するか?」ということに集約されるかもしれません。生活のインフラに近いサービスであればあるほど、その視点での対策が必要となります。
DDoS攻撃はいつやってくるか分かりません。一方で攻撃者はセキュリティ対策の弱い機器、例えば「アップデートされておらず、パスワードも初期設定のままの家庭用ブロードバンドルーター」や、「自分だけは大丈夫であろうと考えてサポートが切れたままのPC」などを乗っ取り、大量の機器から通信を発生させることはさほど難しくはないというのが現状です。
昨今のDDoS攻撃を見ると、もしかしたら「大企業はDDoS対策をやっていないのか!」と憤ることもあるかもしれません。しかし上記のように、DDoSの被害に遭ってしまう要因は、私たちがいつも使っているデバイスに対して、適切なセキュリティ対策をしていないことなのです。これはつまり、DDoS攻撃を根絶するには、インターネットにつながるわれわれが、正しいセキュリティ対策をする必要があるとも言えます。
セキュリティ対策を講じる上では世界や企業、組織、そして個人がつながっています。2025年の10大脅威も改めて対策手法などが詳細が出てきますので、そのときにはまた、チェックしていただければと思います。
筆者紹介:宮田健(フリーライター)
@IT記者を経て、現在はセキュリティに関するフリーライターとして活動する。エンタープライズ分野におけるセキュリティを追いかけつつ、普通の人にも興味を持ってもらえるためにはどうしたらいいか、日々模索を続けている。