「情報セキュリティ10大脅威 2025」は、2024年に発生した情報セキュリティにおける事故や事案から脅威候補をIPAが選出し、情報セキュリティ分野の研究者、企業の実務担当者など約200名のメンバーからなる「10大脅威選考会」による審議・投票を経て決定されています。

「個人」と「組織」という異なる観点から、その年に社会的に影響を与える可能性のあるセキュリティ脅威が発表されており、概要の解説や事例の紹介から対策の仕方までを紹介しています。会社だけではなく、個人でもパソコン・スマートフォンを大多数の方が利用している現代において、誰でも被害者になり得る項目ばかりとなっています。

今年の組織向け脅威には「地政学的リスクに起因するサイバー攻撃」が初めて選出され、７位にランクインしています。これは、国家の関与が疑われるサイバー攻撃であり、地政学的リスクとは、特定の地域、国の地理的条件に起因する政治的、社会的、軍事的な緊張・不確実性を指します。機密情報の窃取、重要インフラの機能停止、経済的損害などを目的として行われており、攻撃者を支援する国家にとって重要な情報を持つ国内の組織や、攻撃が成功した際に社会的なインパクトが大きい組織や重要インフラ企業がターゲットにされています。また、昨年から今年の年末年始に発生し、話題になった「分散型サービス妨害攻撃（DDoS攻撃）」が５年ぶりにランクインしています。

個人向け脅威は昨年と同じ10大脅威が選出されました。昨年に続き、今年も個人向けの10大脅威には順位を付けず、五十音順で掲載されています。これは、順位付けを行うことで高い脅威への対応を優先し、下位の脅威への対策が疎かになることが懸念されるため、順位に関わらず自身に関係のある脅威に対して対策を行うことを期待しての取り組みとのことです。

攻撃者は社会的に注目されるニュースや、生成AIなどの新技術を取り入れており、攻撃の手口は日に日に巧妙になっています。IPAは、昨年と同じ脅威であっても取り巻く環境や手口は常に変化していることを念頭に置き、脅威に対する最新情報に注意を払い、備えを怠らないことが重要としています。