本連載「企業セキュリティの歩き方」では、セキュリティ業界を取り巻く現状や課題、問題点をひもときながら、サイバーセキュリティのスキルを向上させていくための視点やヒントを提示する。 情報処理推進機構(IPA)が毎年3月に公開(数年前から順位と概要のみ前倒しで公開)している「情報セキュリティ10大脅威」の2025年版が3月7日に公開された。2024年に発生した情報セキュリティに関する事案から社会的な影響が大きいと考えられる脅威の候補を約200人のメンバーが審議・投票することで選ばれたものだ。 そのメンバーはセキュリティ分野の研究者らが中心だが、ITベンダーの営業担当者などのそれほど専門的ではない方からの意見が少なからず含まれる。このためランキングは、セキュリティの有識者が考える脅威の程度を示すというより、セキュリティインシデントなどの事件・事故の印象度で決まる投票という意味合いが強く、人気投票と言った方が正しいかもしれない。 今回は、2025年版の情報セキュリティ10大脅威で「ランサム攻撃による被害」が5年連続で1位となったことの理由について述べる。 標的型攻撃と並ぶ5年連続第1位の「ランサムウェアによる被害」 筆者は、10大脅威の毎年の結果に対して特別な感情を抱くことがほとんどなくなった。なぜなら、先述したように、このランキング自体が人気投票に過ぎないからだ。 筆者は日頃、セキュリティに特化したマーケティングが本業ということもあり、結果が予想通りになってしまうことも少なくない。もちろん、10件に1件ぐらいは多少「意外だな」と思うこともあるが、たいていの場合は想定範囲内の結果となる。 それでも、ランキングを中長期で観察すれば、セキュリティ対策のトレンドや世論の推移が読み取れる。5~10年単位の中長期でランキングを見ることで、攻撃手法の傾向、大きな事件に対する人々の注目度やそれが継続的に認識され続けたか否かということを可視化できることも少なからずある。 2025年版のランキング1位は、「ランサム攻撃による被害」だった。2021年から5年連続の1位である。 これまで、このランキングにおいて5年連続1位を記録したのは、2016~2020年の「標的型攻撃による機密情報の窃取(各年によって表現は少し異なる)」だけだ。「ランサム攻撃による被害」がその翌年から5年連続1位のため、2016~2025年の10年間においては、前半は標的型攻撃、後半はランサム攻撃が圧倒的な猛威を振るったことが分かる。 標的型攻撃が1位だった5年間を見ても、ランサム攻撃は上位(2016年7位、2017年2位、2018年2位、2019年3位、2020年5位)にランクインしている。後半の5年間においても標的型攻撃は上位(2021年2位、2022年2位、2023年3位、2014年4位、2025年5位)となっている。この特徴的なランキングの推移は、因果や相関性を疑いたくなるような結果だ。