引き続きサイバー攻撃とAI悪用に警戒、「情報セキュリティ白書2025」を公表 IPA
情報処理推進機構(IPA)はこのほど、2025年版の情報セキュリティ白書を公開しました。同白書は、国内外のサイバーセキュリティ政策や新たな脅威の動向、被害の実態をまとめたものに加えて、その年の象徴的なトピックを幅広く取り上げています。
2025年版では、「一変する日常:支える仕組みを共に築こう」を副題とし、昨年に引き続き、国内外でのサイバー攻撃が多数確認されていることを指摘しました。具体的には、身代金を要求するランサムウェア攻撃、特定の組織を狙う標的型攻撃、そしてサービス停止を企むDDoS攻撃などで、攻撃手口はますます巧妙になり、洗練化が進んでいるとしています。
2024年の国内でのランサムウェア被害は、警察庁によると222件と前年より増加し、特に中小企業での被害が増えています。業種別に見ると、最も被害が多かったのは「製造業」で、4年連続で最多となっています。
ランサムウェアの主な感染経路は、VPN機器やリモートデスクトップからの侵入です。侵入された機器の半数以上は、セキュリティ上の弱点を修正するための「セキュリティパッチ」が適用されておらず、基本的なセキュリティ対策を確実に行う重要性が示されています。
急速な発展が目覚ましいAI関連技術については、サイバー攻撃にも防御にもAIが用いられ、AIシステムそのものへの攻撃や悪用、偽情報の拡散が社会や公共に対する深刻な脅威となっていると懸念が示されました。
2024年は国際情勢が一段と厳しさを増した年でもあり、その影響はサイバー空間にもおよびました。白書では、地政学的な背景に起因するサイバー攻撃が顕在化したと記されています。例えば、IPAが毎年年初に発表する「情報セキュリティ10大脅威」において今年は「地政学的リスクに起因するサイバー攻撃」が初めて選出されたと紹介しています。
「地政学的リスク」とは、地理的な位置関係や環境を背景に、国や地域の政治・軍事情勢の変動がもたらすリスクのことです。実際に、国家の関与が疑われるグループによるサイバー攻撃が発生しており、機密情報の窃取にとどまらず、社会混乱の誘発や報復、自国の産業優位性確保などを目的に横行しています。
サイバーセキュリティを強化する政策としては、2025年3月にJC-STAR(セキュリティ要件適合評価およびラベリング制度)の運用を開始、同年5月にはサイバー対処能力強化法および同整備法が成立・公布されるとともに、サプライチェーンのセキュリティ強化を目的としたセキュリティ対策評価制度案など新たな制度構築が進められていることを説明しています。同評価制度は組織のセキュリティ対策の実施状況を評価し、一定の基準に基づいて格付け(見える化)を行う制度として検討されており、2026年度の運用開始を目指しています。
「情報セキュリティ白書2025」は、アンケートに回答すると無料でダウンロードできます。
