情シスが抱えるITインフラやネットワーク、セキュリティの悩みを解決するメディアサイト情シスが抱える悩みを解決するメディアサイト
タグから探す
働き方改革
人材不足
ITインフラ
労働環境
課題解決
クライアント管理
顧客対応
人材管理
セキュリティ
アウトソーシング
クライアント管理
中小企業

IPA「情報セキュリティ10大脅威 2025」を解説。企業へのリスクと対策とは? -セキュリティ通信-

セキュリティ通信
情報システム部門
この記事の内容
IPA「情報セキュリティ10大脅威 2025」発表
岡山県の病院で起きたランサム被害から得られる教訓
  • エスカ
  • レン
  • エスカ&レン:
    今月もやってきました!「エスカとレンのセキュリティ通信」のお時間です。
  • エスカ
  • エスカ:
    だんだん桜の咲く時期だね。
  • レン:
    みんなでお花見もいいね~!
    東京は名所がいっぱいあるからどこに行くか悩むね。
  • レン
  • エスカ
  • エスカ:
    職場が渋谷なのもあって、私はやっぱり代々木公園に見に行きたいな~。
    さて、今回ご紹介するトピックスは・・

IPA「情報セキュリティ10大脅威 2025」発表

  • エスカ
  • エスカ:
    毎年発表されている10大脅威、どんな脅威がランクインしているのか気になっていた方もいらっしゃると思いますが、今年は新しい脅威が追加されています。
    早速見ていきましょう。
10大脅威

(参照)IPA「 情報セキュリティ10大脅威 2025

情報処理推進機構(IPA)は1月30日、2025年版の「情報セキュリティ10大脅威」を発表しました。

組織部門では10年連続10回目の「ランサム攻撃による被害」が1位に選ばれました。
また、2位には7年連続7回目で「サプライチェーンや委託先を狙った攻撃」がランクインしています。
さらに、7位の「地政学的リスクに起因するサイバー攻撃」は今回初めて選出され、8位には「分散型サービス妨害攻撃(DDoS攻撃)」が2020年以来再びランクインしました。

7位の「地政学的リスクに起因するサイバー攻撃」とは、国家間の政治的・経済的な緊張や地域紛争など、地理的要因に基づくリスクが原因で発生するサイバー攻撃を指します。
これらの攻撃は、国家やその支援を受けた組織によって行われることが多く、情報の窃取、インフラの破壊、経済的損失の誘発などを目的としています。

8位の「分散型サービス妨害攻撃(DDoS攻撃)」は大量のアクセスやデータ送付により特定のサーバやWebサイトに過剰な負荷をかけ、サービスを停止させるサイバー攻撃のことです。
2024年の年末に発生した日本航空や三菱UFJ銀行に対する同サイバー攻撃の影響も関係しているものと推察しています。

IPAは「組織」向け脅威について、セキュリティ対策情報を継続的に収集し、使用している機器やサービスに適切なセキュリティ対策を講じつつ、各脅威が自組織の事業や体制にどのようなリスクがあるのか洗い出すことが重要と呼びかけています。

参考URL:
https://www.ipa.go.jp/security/10threats/10threats2025.html
https://www.ipa.go.jp/pressrelease/2024/press20250130.html
https://news.yahoo.co.jp/articles/4574fde6a717719ea87609d67a66506698a8bd2e?page=1
https://www.yomiuri.co.jp/national/20241226-OYT1T50207/

  • そふくリス
  • そふくリス:
    国家間の政治、経済的な要因も脅威として大きいんだね。
    僕たちの会社はどこに注目したらいい?
  • エスカ
  • エスカ:
    そうだね。一般的な企業だと、やっぱり1位~3位の脅威は引き続き注意をしたほうがいいよ。
    特にランサムウェア攻撃による被害では、大企業よりもセキュリティ対策が乏しいサプライチェーンを狙って攻撃を受けることも多いの。
  • レン:
    ランサムウェアによる被害の原因としては3位のシステムの脆弱性を突かれることが多いよね。
  • レン
  • エスカ
  • エスカ:
    最近でもVPNの脆弱性が悪用されて、被害に遭った報告も出ているの。
    なので、今回は次のような対策を推奨します。

■推奨する対応策

  • ①基本的なセキュリティ対策がきちんと実施されているか確認する
    (OSやソフトウェア、セキュリティ製品のアップデート、複雑なパスワードの設定と多要素認証の導入、アクセス権限管理、従業員へのセキュリティ教育等)
  • ②サプライチェーンを含めてセキュリティ対策強化を行う
  • ③ログを監視し、不審な通信が発生した場合に、リアルタイムで対応できる体制を整える
  • ④書き換えができないイミュータブルバックアップを取得し、復元の手順を整備する
  • そふくリス
  • そふくリス:
    脅威はさまざまあるけど、まずは基本的なセキュリティ対策が重要なんだね。
  • レン:
    そうだね。インシデント報告を見ると基本的な対策ができていなくて、被害に遭っているケースがほとんどだからね。
    現状のセキュリティ対策状況を可視化できるサービスなどもご提供していますので、確認してみてください。
  • レン

■関連サービス

SCSmart セキュリティ評価 ・・セキュリティ対策の現状の可視化、対策改善案の提示
Security FREE ・・EDRやUTM、ADサーバ、Microsoft 365 など監視対象機器における不審なログのリアルタイム検知・報告
脆弱性診断 ・・既知の脆弱性の有無の確認

岡山県の病院で起きたランサム被害から得られる教訓

  • レン:
    続いて、岡山県精神科医療センターで昨年発生したランサムウェア被害について調査報告書が公開されましたのでご紹介します。
  • レン

地方独立行政法人 岡山県精神科医療センター ランサムウェア事案調査報告書について

ランサムウェア事案調査報告書

(参照)岡山県精神科医療センター「 ランサムウェア事案調査報告書について

岡山県精神科医療センターは2025年2月13日に「ランサムウェア事案調査報告書」を公開しました。
サイバー攻撃を受け情報漏えいが発覚したのは2024年5月19日で、現時点では幸いにも被害の拡大は確認できていません。

今回の報告書で特に注目すべき箇所は初期侵入の原因として挙げられていた下記の内容です。

  • ①保守用SSL-VPN装置のID/PWが、「administrator/P@ssw0rd」という推測可能なものが使用されていた
  • ②病院内の全ての「Windows」コンピュータの管理者のID/PWも、上記と同じものが使いまわされていた
  • ③SSL-VPN装置の脆弱性が2018年の設置以降、修正されておらず、過去、ランサムウェア攻撃に使用された脆弱性が複数存在した
  • ④全てのサーバや端末ユーザーに管理者権限を付与していた

こういった現状はおそらく多くの業種や規模の組織が似たような状況にあるのではないでしょうか。

医療という現場においてセキュリティ対策に意を唱えるような余裕はないかもしれません。
しかし、少なくとも機器を設置するパートナーが助言をしていればもう少し被害が緩和できたのではないかと思うと、今回の事案を「この病院はセキュリティ意識が低い」と切って捨てるわけにもいかないでしょう。

ランサムウェア事案調査委員会の委員長でソフトウェア協会のフェローとして活躍する、板東直樹氏は、ランサムウェアの実行犯とは「全て生身の実行犯の直接の操作によるもの」と述べ、脆弱性や安直で推測しやすいパスワードを狙い、ランサムウェア稼働の条件を整えるとしています。

20桁以上の“単に”長いパスワードを設定するだけでも、その攻撃の成功率を下げられるわけです。そのわずかなことが講じていないだけでランサムウェア被害が広がっているといえます。

参考URL:
https://www.popmc.jp/home/consultation/er9dkox7/lromw3x9/
https://www.popmc.jp/wp-content/uploads/2025/02/24bb9b94f7eb10eff58b605c01c384ad.pdf
https://www.itmedia.co.jp/enterprise/articles/2502/18/news058.html

■推奨する対応策

  • ①昨今発生しているインシデント事例は定期的に情報収集を行い、他組織と同様の被害に遭う恐れがないか、今一度、自組織のセキュリティ対策状況を確認する
  • ②パスワードポリシーを設定し、ユーザーが強固なパスワードを設定するように強制する
  • ③使用機器の脆弱性管理を行い、特にVPN機器など攻撃者の標的となりやすい機器は優先的に脆弱性情報の収集と対処を行う

■関連サービス

SCSmart セキュリティ評価 ・・セキュリティ対策の現状の可視化、対策改善案の提示
Security FREE ・・EDRやUTM、ADサーバ、Microsoft 365 など監視対象機器における不審なログのリアルタイム検知・報告
SCSmart ASM ・・攻撃者から狙われ得る資産の洗い出し

  • そふくリス
  • そふくリス:
    原因として挙げられていたものは一見すると「できている」と思いそうだけど、実際はできていないものもありそうだよね。
  • レン:
    前任の担当者が対応していたり、何年も前に設定された機器だと、推測しやすいパスワードが設定されていたり、共有アカウントが利用されているケースが多いから、改めて確認することが必要だね。
  • レン
  • エスカ
  • エスカ:
    脆弱性も対応を後回ししていたところから侵入される事例が後を絶たないから、他組織のインシデント事例を教訓に、自組織でも対応を行うことが重要だね。
  • レン:
    ということで、本日の「エスカとレンのセキュリティ通信」は以上となります。
    バナーから、セミナーやサービス紹介ページを確認できますので、ご興味ありましたらぜひ確認してみてください。
  • レン
  • そふくリス
  • そふくリス:
    ランサムウェアやサイバー攻撃、怖いよね。自分の組織が狙われる可能性だってあると思うんだ。
    レベル別に次の対策が分かる資料があるから、もし気になったらチェックしてみてね!

お役立ち資料

自社のセキュリティレベルが気になる方向け

レベル別に考える、セキュリティ対策のNEXTステップ

セキュリティ対策

前回の記事はこちら!

クラウド環境の1番の脅威は人為的な設定ミス?気づくための仕組みとは

無料セミナーのご案内

セミナー

関連サービス

記事内でご紹介したサービスは下記からご覧いただけます。

SCSmartセキュリティ評価
Security FREE
SCSmart ASM
関連キーワード
セキュリティ通信
情報システム部門
ITインフラに関するおすすめ記事
2024年のインシデント事例まとめ&2025年に注意すべき脅威とは? -セキュリティ通信-
セキュリティ通信
情報システム部門
まずはこれ!新入社員が知るべき3つの情報漏えいの脅威とインシデント対策 -セキュリティ通信-
セキュリティ通信
情報システム部門
クラウド環境の1番の脅威は人為的な設定ミス?気づくための仕組みとは -セキュリティ通信-
セキュリティ通信
情報システム部門
ASMのススメ〜政府も進める新たなサイバー攻撃への対策、どう始めるか?
情報システム部門
セキュリティ
知らない間にサイバー攻撃の侵入経路が増えている! 新たな脅威への備えとなる「ASM」とは?
情報システム部門
セキュリティ