採用情報

お問い合わせ

BLOG

  1. HOME
  2. BLOG
  3. 情報セキュリティ BLOG
  4. IPA 発表「情報セキュリティ 10 大脅威 2025」でシステムの脆弱性を突いた攻撃がランクアップ

情報セキュリティ BLOG

情報セキュリティ BLOG

2025 年 02 月 06 日

IPA 発表「情報セキュリティ 10 大脅威 2025」でシステムの脆弱性を突いた攻撃がランクアップ

~ N デイ攻撃やゼロデイ攻撃などに対応するためには? ~

「システムの脆弱性を突いた攻撃」が 3 位に浮上

情報処理推進機構(IPA) は、2025 年 1 月 30 日に「情報セキュリティ 10 大脅威 2025」を公開しました。昨年の情報セキュリティ 10 大脅威 2024 と同様に、「ランサムウェアによる被害」「サプライチェーンや委託先を狙った攻撃」が上位となり、「システムの脆弱性を突いた攻撃」が 3 位にランクアップされています。この「システムの脆弱性を突いた攻撃」は、昨年 5 位の「修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃)」と 7 位の「脆弱性対策情報の公開に伴う悪用増加」が統合されています。

(出典)情報処理推進機構(IPA)「 情報セキュリティ 10 大脅威 2025

近年、脆弱性を狙った攻撃については、さまざまな記事でも取り上げられ、この「システムの脆弱性を突いた攻撃」は、N デイ攻撃やゼロデイ攻撃と呼ばれることもあります。そもそもこの 2 つにはどのような違いがあるのでしょうか。2 つの攻撃が狙う脆弱性そのものは全く同じもので、OS・ミドルウェア・アプリケーションなどの脆弱性が発見されてから、セキュリティパッチ(修正プログラム)が提供されていない間は「ゼロデイ」、セキュリティパッチが提供されエンドユーザーがパッチを適用するまでの間を「N デイ」と呼び名が異なっています。

昨今、この N デイ攻撃が増加している傾向にあります。例としては、VPN 機器の脆弱性が報告されてセキュリティパッチは提供されていたが、エンドユーザーが適用外だったために脆弱性を悪用し不正アクセスされ、ランサムウェア被害に遭うという事案が発生しています。脆弱性を放置することで二次的に情報漏えいやランサムウェア被害などのサイバー攻撃を受ける可能性が高く、OS・ミドルウェア・アプリケーションなどのすべてに脆弱性が発生しない保証はありません。また、VPN 機器などのソフトウェアを最新版にアップデートすることはもちろんのこと、多要素認証による認証強化が重要です。ID/パスワードのみの認証方式を用いると、許可されていない端末や悪意ある第三者からの不正な接続が行われサイバー攻撃の被害に遭う可能性があります。

警察庁が公表する「 令和 6 年上半期におけるサイバー空間をめぐる脅威の情勢等について 」では、企業・団体等におけるランサムウェア被害の報告件数は、「大企業(26%)」「中小企業(64%)」となっています。

(出典)警察庁サイバー警察局「 令和 6 年上半期におけるサイバー空間をめぐる脅威の情勢等について

外部からの攻撃に備える定期的な脆弱性診断とペネトレーションテスト

「情報セキュリティ 10 大脅威 2025」で上位にランクインしているサイバー攻撃や警察庁サイバー警察局の調査からも分かるように、近年のサイバー攻撃では企業や組織の公開サーバーやシステムの脆弱性が狙われており、被害は大企業のみでなく中小企業で多く発生しています。これらの攻撃に備えるには、特に外部からアクセス可能なサーバーや、機密情報を扱うシステムを運用している場合、定期的な脆弱性診断を通じてシステム全体の安全性を確認したり、攻撃者の視点で調査を行うペネトレーションテストを定期的に行ったりすることが重要です。

ソフトウェアサプライチェーンの脆弱性対策に SBOM 活用の管理手法が注目

サプライチェーン攻撃などのサイバー攻撃の増加を受けて、ソフトウェアサプライチェーンのセキュリティ向上のために、SBOM(Software Bill of Materials:ソフトウェア部品表)を用いた管理手法が国際的に注目されています。米国サイバーセキュリティ・インフラ安全庁(CSA)などが策定しています。SBOM とは、さまざまな製品に含むソフトウェアを構成するコンポーネントなどをリスト化した一覧表です。OSS(オープンソースソフトウェア)のライセンス管理、脆弱性管理やソフトウェアサプライチェーンのリスク管理などに利用することができます。

国内でもセキュリティ・バイ・デザインの考え方において、ソフトウェア製品ごとに SBOM を構築・管理し、利用できるようにすることが推奨されています。経済産業省では、「 ソフトウェア管理に向けた SBOM(Software Bill of Materials)の導入に関する手引 ver2.0」を策定し、公開しています。

SBOM の必要性や国際動向などについては、「SBOM(Software Bill of Materials)とは」の 前編 後編 を参考にしてください。

サイバートラストでは、脆弱性の見える化を実現する脆弱性管理ソリューション「MIRACLE Vul Hammer(ミラクル バル ハンマー)」を提供しており、複数の SBOM の一元管理や、IT システムの脆弱性対応を自動化可能にしています。 脆弱性診断サービス は、情報システムに対し最新のサイバー攻撃を熟知した専門のセキュリティエンジニアが、攻撃者の視点で情報システムの脆弱性を徹底的に調査。情報システムの潜在的な問題点を洗い出し、適切な対策を講じるために情報システムの安全性を確認・評価します。

また、端末認証サービス「 サイバートラスト デバイス ID」は、端末識別情報を確認し、管理者が許可した端末にのみデバイス証明書を登録することによって、厳格な端末認証が可能なデバイス証明書発行管理サービスで、多要素認証による認証強化が可能で、不正なデバイスからのアクセスを排除することができます。

「MIRACLE Vul Hammer」「サイバートラスト デバイス ID」は、実際の導入の前に導入検証や技術評価ができるよう無償評価いただくことができますので是非ご活用ください。

本記事に関連するリンク
はじめての脆弱性診断をお考えの方へ 脆弱性診断の必要性とは?種類と内容、選び方を解説
< 前の記事へ
IPA「情報セキュリティ10大脅威 2024」を発表
最新 BLOG 記事
IPA 発表「情報セキュリティ 10 大脅威 2025」でシステムの脆弱性を突いた攻撃がランクアップ
IPA 発表「情報セキュリティ 10 大脅威 2025」でシステムの脆弱性を突いた攻撃がランクアップ
2025 年 02 月 06 日
IPA「情報セキュリティ10大脅威 2024」を発表
IPA「情報セキュリティ10大脅威 2024」を発表
2024 年 01 月 29 日
ランサムウェア対策への脆弱性診断の有効性
ランサムウェア対策への脆弱性診断の有効性
2023 年 12 月 06 日
人工知能が拓く、新しい脆弱性診断の形
人工知能が拓く、新しい脆弱性診断の形
2023 年 07 月 28 日
IPA「情報セキュリティ10大脅威 2023」を発表
IPA「情報セキュリティ10大脅威 2023」を発表
2023 年 01 月 31 日
脆弱性診断を実施する必要性とは⁉
脆弱性診断を実施する必要性とは⁉
2022 年 11 月 07 日
カテゴリ
情報セキュリティ関連記事

人工知能が拓く、新しい脆弱性診断の形

より高度な情報セキュリティが必要なあなたへ システム内部からの認証スキャン PCI DSS 4.0 対応 サイバートラスト 脆弱性診断サービス ホスト診断

CentOS 7 延長サポートサービス
デジタルトランスフォーメーションのための電子認証基盤 iTrust
SSL/TLS サーバー証明書 SureServer Prime