情報セキュリティ10大脅威2025年版が公開 新たに加わった2つの脅威に注目

情報セキュリティ10大脅威2025の組織編にはこれまでになかった項目が登場した（出典：IPAの情報セキュリティ10大脅威 2025年版から抜粋）

　毎年2月のセキュリティ月間が始まり、2025年も恒例の情報処理推進機構（IPA）による「情報セキュリティ10大脅威」が公開されました。組織編、個人編でそれぞれ10の脅威が選出されています。まずはランキングのみの発表ですが、ここ数年にはなかった新しい動きが見られたのでこのコラムで紹介しましょう。

　前年の10大脅威には大きな変化がなく、全てが○年連続という内容でした。それもそのはず、サイバー空間でのリスクは変わらず存在し、リスクを解消できるようなブレークスルーもありません。2024年も同じ時期にこのコラムでもそのようなことに触れていました。ただ今回は「初選出」そして「5年ぶり」という文言が登場しています。

●新たに2つの脅威がランクイン　組織が注目すべきは……

　2025年に初めて選出されたリスクは「地政学的リスクに起因するサイバー攻撃」です。正直に言って、この脅威は他のあらゆる脅威を内包しているものであり、地政学的リスクだから特別な対応が必要だという企業はそう多くはないと思っています。そのため、ここに大きく注目する必要はないはずです。

　個人的に全ての組織で気にするべきは、8番目にリストアップされた「分散型サービス妨害攻撃（DDoS攻撃）」です。これは5年ぶりのピックアップということで、今、正に攻撃のリスクが高まっているものでもあります。

　DDoS攻撃は2024年末から2025年初頭にかけて多発しました。三菱UFJ銀行は2024年12月26日、インターネットバンキングの不具合について「本不具合は、外部からの不正な大量データ送付に起因するものであり、顧客データ流出やウイルス被害は生じておりません」と発表しました。

　同日にはJALでも「大量データ送付による障害に起因する」とされたシステムの不具合が発生しました。

　この他にもみずほ銀行やNTTドコモなど国内のさまざまな企業にDDoS攻撃が実行されていたことがおぼろげながらに明らかになりました。その意図に関しては図りかねる部分が多いですが、これを何らかの大規模攻撃のテストと捉える専門家も少なくありません。選ばれた企業を考えれば、これこそが「地政学的リスクに起因するサイバー攻撃」そのものという可能性もあるでしょう。IPAがこのスピードで2つの脅威を入れ込んだことにも、いろいろな意図が読み取れるかもしれません。

●根本的な対策が難しいDDoS　では何もしなくてもいいのか？