通関業務では社内システムだけでなく、取引先や物流パートナーとも情報を共有します。
IPAが2025年1月30日に公表した「情報セキュリティ10大脅威2025」では、組織向けの脅威として以下の10項目がランクインしました。
参考)情報セキュリティ10大脅威2025から考える、すぐに対応すべ…
組織編TOP10の一覧:
上位3つの脅威は前年から変動がなく、ランサム攻撃とサプライチェーン攻撃が引き続き最大のリスクとして認識されています。
参考)IPA「情報セキュリティ10大脅威 2025」ランサム攻撃が…
注目すべき変化として、「地政学的リスクに起因するサイバー攻撃」が初めてランクインしました。これは国家の関与が疑われる攻撃への備えが重要視される状況を反映しています。
また、「分散型サービス妨害攻撃(DDoS攻撃)」が5年ぶりに8位に復活し、サービス停止による業務への影響が再び懸念されています。
参考)【IPA資格 取得希望者は必見!】セキュリティ10大脅威 2…
ランサム攻撃は、PCやサーバーをランサムウェアに感染させ、データの暗号化や重要情報を窃取して脅迫により金銭を要求する攻撃です。
参考)情報セキュリティ10大脅威 2025を解説
つまり直近5年間は連続1位です。
攻撃者は、意図せず公開されているポート(リモートデスクトップ等)を利用した不正アクセスからマルウェアに感染させ、ランサムウェアに感染させて金銭を要求します。特に「ノーウェアランサム」や「多重脅迫型攻撃」といった高度化が確認されており、被害の深刻さが増しています。
参考)https://www.ipa.go.jp/security/10threats/eid2eo0000005231-att/setsumei_2025_soshiki.pdf
物流代行事業を展開する関通では、2024年9月12日18時頃にシステム障害を検知し、その後一部サーバーにおいてランサムウェアの感染が確認されました。同社の外部ネットワークの接続口から侵入され、その後複数のサーバーに被害が及び、不正アクセスを受けたサーバーの一部に個人情報が保管されていたため、利用企業への情報流出の可能性が生じました。
参考)物流代行事業者のランサムウエア感染についてまとめてみた - …
これは使えそうです。
通関業務では、貨物情報や取引先の個人情報を扱うため、ランサムウェア感染による業務停止は輸出入手続きの遅延につながります。名古屋港では2023年にランサムウェア攻撃を受け、システム障害が49時間続き、7月6日午前7時半に復旧しました。
参考)物流インフラを襲うランサムウェア被害
サプライチェーン攻撃とは、攻撃者がターゲット企業に直接攻撃するのではなく、子会社や関連企業、取引先などにサイバー攻撃を行い、そこを踏み台にして本来のターゲット企業に攻撃を行う手法です。
参考)近年増加しているサプライチェーン攻撃の手口と対策をご紹介
取引先や業務を委託している外部組織から情報漏えいするリスクが高まっています。
2025年版では「サプライチェーンや委託先を狙った攻撃」が7年連続で2位にランクインしており、攻撃の繋がりである「ソフトウェアサプライチェーン」を悪用して攻撃されるケースが増加しています。
通関業務では、NACCS(輸出入・港湾関連情報処理システム)やクラウドサービスを通じて複数の事業者と情報を共有するため、自社のセキュリティ対策だけでは不十分です。NACCSはNACCS専用回線(閉域網)による接続とデジタル証明書による通信暗号化で情報漏洩を防止していますが、取引先や委託先のセキュリティレベルが低い場合、そこから侵入される可能性があります。
サプライチェーン攻撃への対策として、取引先や委託先のセキュリティレベルを定期的に確認し、契約時にセキュリティ基準を明記することが重要です。また、アクセス権限を最小限に設定し、不要なアカウントは速やかに削除することで、攻撃の侵入経路を減らせます。
2025年版で初めてランクインした「地政学的リスクに起因するサイバー攻撃」は、国家間の緊張を背景とした攻撃が企業に及ぶリスクを指します。
参考)情報セキュリティ10大脅威2025 解読!組織の脆弱性をどう…
国家の関与が疑われる攻撃への備えが、これまで以上に重要視される状況となっています。
地政学的リスクに起因する攻撃では、先端技術や機密情報を狙った海外からのサイバー攻撃が増加しており、通関業務で扱う貨物情報や取引先情報も標的になる可能性があります。特に、日本の保有する先端技術や機密情報を狙った攻撃には注意が必要です。
どういうことでしょうか?
地政学的リスクへの対策として、重要情報へのアクセスを制限し、多要素認証を導入することで不正アクセスを防げます。また、ログ監視を強化し、不審なアクセスを早期に検知する体制を整えることが大切です。
内部不正による情報漏えいは、在職中に割り当てられたアカウントの悪用や、USB メモリー、HDD、メール、クラウドストレージを使った内部情報の不正な持ち出しが該当します。
内部不正は10年連続4回目です。
不注意による情報漏えいとは、メール誤送信やクラウドサービスへのファイルの誤ったアップロードなど、不注意により意図せぬ相手に情報を漏えいしてしまうことです。近年では、クラウドサービスの設定ミスなどにより、非公開情報が誰でも閲覧可能になってしまう事案も増加しています。
参考)IPA「情報セキュリティ10大脅威2025」解説|専門家が語…
財務省関税局調査課の職員が、2025年2月6日、横浜税関での打ち合わせ後に横浜市内の飲食店で飲酒し、帰宅途中の7日午前0時頃にカバンを紛失しました。カバンには不正薬物の密輸事件に関連する容疑者ら187人の氏名や住所が記載された機密書類とノートパソコンが入っており、現在も所在は不明で、情報が第三者の手に渡った可能性を完全に否定できない状況です。
参考)財務省関税局職員が飲酒後に機密書類を紛失、密輸事件の容疑者1…
痛いですね。
内部不正と不注意による情報漏えいを防ぐため、業務デバイスには暗号化を施し、リモートワイプ(遠隔削除)機能を有効化することが推奨されます。また、重要データはクラウド上に保管し、端末には保存しないことで、紛失時のリスクを軽減できます。
リモートワーク等の環境や仕組みを狙った攻撃は、2021年から5年連続で選出されており、在宅勤務やテレワークの普及に伴って攻撃の機会が増加しています。
参考)IPA「情報セキュリティ10大脅威2025」についてわかりや…
攻撃者は、リモートワーク環境のセキュリティの甘さを狙い、VPN機器の脆弱性やリモートデスクトップの不正アクセスを試みます。
通関業務でも、リモートワークで貨物情報や取引先情報にアクセスする機会が増えており、自宅ネットワークのセキュリティが不十分な場合、情報漏えいのリスクが高まります。
リモートワーク環境への対策が条件です。
VPN接続には最新のセキュリティパッチを適用し、リモートデスクトップのポートは必要時のみ開放することで、不正アクセスのリスクを減らせます。また、業務端末にはエンドポイント保護ソフトウェアを導入し、マルウェア感染を防ぐことが重要です。
IPA「情報セキュリティ10大脅威2025」公式ページ
上記リンクには、各脅威の詳細な解説と対策事例が掲載されており、組織のセキュリティ教育や研修の場で活用できます。