IPA(情報処理推進機構)は2025年1月30日、「情報セキュリティ10大脅威 2025」を発表した。この発表は、2024年に発生した情報セキュリティに関する重大な事案を基に、情報セキュリティ分野の研究者や企業の実務担当者など約200名が参加する「10大脅威選考会」で審議・投票を行い決定されたものである。
情報セキュリティ10大脅威の発表は、個人や組織が直面するセキュリティリスクを認識し、対策を講じるための重要な指針となる。IPAは、個人と組織の両方に向けた解説書をそれぞれ5月末と2月末に公開予定。また、セキュリティ対策の基本と共通対策、知っておきたい用語や仕組みについても、6月末までに公開される予定である。これらの資料は、情報セキュリティに関する理解を深め、具体的な対策を講じるための手助けとなることを目的としている。
組織向けの脅威では「ランサム攻撃による被害」が1位にランクインし、10年連続で選出された。他にも「サプライチェーンや委託先を狙った攻撃」や「システムの脆弱性を突いた攻撃」などが上位にあげられている。また、2025年には新たに「地政学的リスクに起因するサイバー攻撃」が初めて選出された。これは、国際的な政治情勢や紛争がサイバー攻撃に影響を与えることを示している。これにより、組織は国際的なリスクを考慮したセキュリティ対策が必要となる。
一方、個人向けの脅威では「インターネット上のサービスへの不正ログイン」や「クレジットカード情報の不正利用」が10年連続で選出されている。今回の発表では、個人の10大脅威に関しては順位を付けず、五十音順で掲載されている。これは、順位に基づく優先対応が下位の脅威への対策を疎かにする可能性を懸念したためである。順位に関わらず、自身に関連する脅威に対して適切な対策を講じることが期待されている。
