リスク低減へ「情報セキュリティ10大脅威2025」組織編の解説書を公開 IPA
情報処理推進機構(IPA)は2月28日、今年1月に発表した「情報セキュリティ10大脅威」について組織向けの解説書を公開しました。解説書はその年の10大脅威に沿ってIPAが作成しているもので、今回は「どこから攻撃されても防御ができる十分なセキュリティ対策を」という副題がつけられています。
「情報セキュリティ10大脅威」は組織編と個人編とに分けてそれぞれ10の脅威を選定し公表しています。今般公開された解説書は組織編となり、組織を対象とした10の脅威について▽攻撃者(加害者)▽被害者▽脅威と影響▽攻撃手口▽事例または傾向▽対策・対応――の項目ごとにまとめられています(全60ページ)。
今年の10大脅威には初めて「地政学的リスクに起因するサイバー攻撃」が選定されました(第7位)。攻撃者は国家機関の職員などによって構成されたサイバー攻撃を実施するグループや国家機関にサイバー攻撃サービスを提供する当該国の民間企業、国家が支援する組織的犯罪グループおよびハクティビストとし、攻撃者を支援する国家にとって重要な情報を持つ国内の組織や攻撃に成功した時の社会的なインパクトが大きい組織および重要インフラ企業が被害者になると記しています。
一例として、中国の関与が疑われるサイバー攻撃グループ「MirrorFace」が行ったサイバー攻撃を挙げています。この攻撃では、「ANEL」と呼ばれるマルウェアをダウンロードするリンクが記載されたメールが送信され、日本の学術機関やシンクタンク、政治家、マスコミに関係する個人および組織が狙われました。警察庁と内閣サイバーセキュリティセンターは、安全保障や先端技術に関する情報窃取を目的とした組織的なサイバー攻撃であるとする見解を今年1月に発表しています。
第9位に選出されたビジネスメール詐欺(BEC)では、要因の一つに生成AIがあると指摘しました。攻撃者が生成AIを利用することでBECが急増したとの見方も紹介しています。生成AIについては別途コラムでも取り上げ、プロンプトインジェクション(Prompt Injection)と呼ばれる攻撃に注意が必要と記しました。
解説書を多くの組織に活かしてもらおうと「『情報セキュリティ10大脅威』解説書の活用法(組織編)」(全13ページ)も作成。また、脅威の種類は多岐に渡っても対策には共通しているものもあります。こうした観点からセキュリティ対策を解説した「セキュリティ対策の基本と共通対策 情報セキュリティ10大脅威2025版 基本と対策」(全20ページ)も公開しました。
