🦆
情報セキュリティ10大脅威 2025 [組織] を眺める
なぜ作成したのか
- IPAが情報セキュリティ10大脅威 2025を発表したので目を通した気になりたい
参考
情報セキュリティ10大脅威 2025 [組織]
-
ランサム攻撃による被害
- ランサムウェアによってデータを暗号化し、身代金を要求する攻撃です。
- 事例:2024年に製造業がランサム攻撃を受け、業務停止の被害を受けたケースがあります。
- https://partnernews.sophos.com/ja-jp/2024/05/resources/the-state-of-ransomware-in-manufacturing-and-production-2024/
- 参考リンク(IPAランサム攻撃解説)
Piyolog
- https://piyolog.hatenadiary.jp/entry/2024/11/01/161840
- https://piyolog.hatenadiary.jp/entry/2024/08/19/074417
- https://piyolog.hatenadiary.jp/entry/2024/06/15/011339
- https://piyolog.hatenadiary.jp/entry/2024/03/07/232125
- https://piyolog.hatenadiary.jp/entry/2024/03/01/003619
- https://piyolog.hatenadiary.jp/entry/2024/02/08/004058
-
サプライチェーンや委託先を狙った攻撃
- 取引先を経由して攻撃者が侵入するケースです。
- 事例:ITプロバイダーへの攻撃によって顧客企業の情報が漏洩した事件が発生しています。
- https://www.trendmicro.com/ja_jp/jp-security/24/h/expertview-20240716-01.html
- 参考リンク(サプライチェーン攻撃対策)
Piyolog
-
システムの脆弱性を突いた攻撃
- 未修正の脆弱性を悪用する攻撃手法です。
- 事例:2024年、特定ソフトウェアのゼロデイ脆弱性が悪用され、多数の企業に被害が出ました。
- 参考リンク(脆弱性攻撃詳細)
Piyolog
- https://piyolog.hatenadiary.jp/entry/2024/04/01/035321
- https://piyolog.hatenadiary.jp/entry/2024/10/31/165527
- https://piyolog.hatenadiary.jp/entry/2024/07/23/023045
- https://piyolog.hatenadiary.jp/entry/2024/06/13/011202
- https://piyolog.hatenadiary.jp/entry/2024/05/03/015043
- https://piyolog.hatenadiary.jp/entry/2024/04/15/024314
- https://piyolog.hatenadiary.jp/entry/2024/03/01/003619
- https://piyolog.hatenadiary.jp/entry/2024/02/11/024613
- https://piyolog.hatenadiary.jp/entry/2024/02/06/014207
- https://piyolog.hatenadiary.jp/entry/2024/01/17/023516
-
内部不正による情報漏えい等
- 従業員による意図的な情報持ち出しなどのリスクがあります。
- 事例:金融機関の元従業員が顧客情報を不正流出させた事件が報じられました。
- https://www.fsa.go.jp/sesc/news/c_2024/2024/20240614-2.html
- 参考リンク(内部不正管理のガイドライン)
Piyolog
-
機密情報等を狙った標的型攻撃
- 特定の組織を狙ったフィッシングメールやマルウェアによる攻撃です。
- 事例:政府機関を装ったフィッシングメールにより情報窃取が試みられたケースが確認されています。
- https://www.cao.go.jp/others/csi/security/20240130notice.html
- 参考リンク(標的型攻撃手法解説)
Piyolog
-
リモートワーク等の環境や仕組みを狙った攻撃
- リモートアクセスやVPNを狙った不正アクセスが増えています。
- 事例:VPN脆弱性を利用して企業のネットワークに侵入する攻撃が報告されました。
- 参考リンク(リモートワーク時のセキュリティ対策)
Piyolog
- https://piyolog.hatenadiary.jp/entry/2024/12/25/180139
- https://piyolog.hatenadiary.jp/entry/2024/11/09/041408
- https://piyolog.hatenadiary.jp/entry/2024/07/23/023045
- https://piyolog.hatenadiary.jp/entry/2024/06/13/011202
- https://piyolog.hatenadiary.jp/entry/2024/04/15/024314
- https://piyolog.hatenadiary.jp/entry/2024/02/16/032540
- https://piyolog.hatenadiary.jp/entry/2024/02/11/024613
- https://piyolog.hatenadiary.jp/entry/2024/02/08/004058
- https://piyolog.hatenadiary.jp/entry/2024/02/06/014207
- https://piyolog.hatenadiary.jp/entry/2024/01/17/023516
-
地政学的リスクに起因するサイバー攻撃
- 国家間の対立を背景にした攻撃が特徴です。
- 事例:特定の国からの関与が疑われる重要インフラへの攻撃がありました。
- https://www.bbc.com/japanese/64507930
- 参考リンク(地政学的リスク対策)
Piyolog
-
分散型サービス妨害攻撃(DDoS攻撃)
- 大量トラフィックによるサービス停止を狙う攻撃です。
- 事例:年末年始にオンラインサービスがDDoS攻撃を受け、一時停止した事例があります。
- 参考リンク(DDoS攻撃概要)
Piyolog
-
ビジネスメール詐欺(BEC)
- 経営者や取引先を装った偽メールによる詐欺です。
- 事例:偽の請求書により、企業が詐欺グループへ多額の送金を行ったケースがあります。
- 参考リンク(BEC対策ガイド)
-
不注意による情報漏えい等
- 社員のミスによる情報漏洩のリスクがあります。
- 事例:クラウドストレージへの誤公開で機密情報が漏洩した事件がありました。
- https://bravegroup.co.jp/news/6477/
- 参考リンク(情報漏洩対策の基本)
Piyolog
所感
- DDoSがお手軽なサービスとなってカムバックしてきた感
- どの脅威も生成AIがちょっと絡むだけで識別難易度があがるので、もはや人力での識別は難しいのかなって
Discussion