2025年1月に、独立行政法人情報処理推進機構(IPA)から「情報セキュリティ10大脅威2025」が公開されました。この資料は2006年から毎年発行されており、前年に発生した情報セキュリティ事故やサイバー攻撃の状況などからIPAが脅威候補を選出し、情報セキュリティ分野の研究者や企業の実務担当者などの有識者が審議・投票を行ってランキングにしたものです。企業・団体でセキュリティ対策方針を決める際に広く参考にされています。最新の組織向け情報セキュリティ10大脅威ランキングは図表1の通りです。

昨年に引き続き、「ランサム攻撃による被害」、「サプライチェーンや委託先を狙った攻撃」が１位、２位に選ばれており、依然として対策が必須の脅威です。また、新たな脅威として「地政学的リスクに起因するサイバー攻撃」が7位に登場しており、国家の関与が疑われるサイバー攻撃への備えがこれまで以上に重要視される状況となっています。

「ランサム攻撃による被害」は、2021年以降5年連続で1位を維持しています。警察庁が公表した2024年の国内でのランサムウェア被害報告は図表2の通りです。

被害は2022年以降、高い水準で推移していることが分かります。被害の内訳としては大企業だけでなく、中小企業や団体も被害の対象となっており、企業規模や業種問わず注意が必要な脅威となっています。また、近年ではRaaS（Ransomware as a Service）という、サービスとして開発・提供されたランサムウェアを利用して攻撃を実行する形態も確認されるほか、ランサムウェアによる暗号化を行わず、窃取した機密情報を公開すると脅迫して金銭を要求する「ノーウェアランサム」による攻撃も確認されています。ノーウェアランサム攻撃は従来よりも少ない労力で攻撃が仕掛けられ、被害が発覚しづらいという特徴があります。
これらランサムウェア攻撃への対策として警察庁では、被害防止対策、被害軽減対策等について見直しを行うとともに、社員に対して適切なセキュリティ教育を行う、総合的な対策強化をすることを呼びかけています。その対策例は図表3の通りです。

ランサムウェア対策において、標的型メール攻撃への対策の重要性が増しています。標的型メール攻撃は、特定の個人や組織を狙って行われるもので、巧妙に偽装されたメールを送信し、受信者に悪意のあるリンクをクリックさせたり、添付ファイルを開かせたりします。これにより、正規のアカウント情報が盗まれ、攻撃者が内部ネットワークにアクセスし、ランサムウェアを感染させる足掛かりとなります。昨今では、企業への初期侵入の手段の提供を専門とする「アクセスブローカー」といったサイバー犯罪者も確認され、サイバー犯罪の分業化、ビジネス化が進んでいると言われています。
昨年のKADOKAWAへのランサム攻撃被害は個人情報流出、動画配信サービスの停止、出版事業の製造・物流機能の停止など社会に広く影響を与え、大きな話題となりました。この攻撃も事前にフィッシング攻撃等により 従業員のアカウント情報が窃取されたことが原因と推測されています。
特定の組織を狙った標的型攻撃は、組織で最もセキュリティ対策が弱い「箇所」を狙って行われます。それは「システム」だけではなく、「人」を侵入口として攻撃されることもあります。したがって、技術的な対策だけでなく、人への対策、従業員のセキュリティ意識向上や教育もセキュリティ対策においては重要です。

従業員一人一人のセキュリティ意識向上を図る上で、標的型攻撃メールに対する訓練は実践的な対応力を養うために非常に有効です。
近年、生成AIの進化により、標的型攻撃メールはより巧妙化しています。生成AIは高度な自然言語処理能力を持ち、非常に巧妙でリアルなメールを作成することが可能です。これにより、従来の手法では見分けが難しい攻撃メールが増加し、企業のセキュリティリスクが高まっています。生成AIを利用した攻撃は、個々の従業員の行動パターンや好みを分析し、非常に説得力のある内容で攻撃を仕掛けることができるため、従業員の警戒心を緩める可能性があります。
弊社では訓練メールの生成にAIを活用し、最新の攻撃者の動向を取り込んだ、実際の脅威を模した標的型攻撃メール訓練を提供しています。訓練結果を基に、具体的な改善点を見出し、より効果的な教育、次回の訓練をご提案しています。また、従業員の標的型攻撃メールへの耐性を診断することができるメニューも準備しております。標的型攻撃メール訓練を未実施のお客様、実施しているものの効果測定に悩んでいるお客様までぜひお気軽にご相談ください。