1位　ランサムウェアによる被害

情報が暗号化され、復旧と引き換えに金銭を要求されます。また金銭を支払わなければ、情報を公開すると脅迫する二重脅迫も確認されています。
事例：攻撃者はWebサービス上にランサムウェアを自動的に配布するファイルを配置し、自動更新時にファイルを実行させることで、ランサムウェア感染を引き起こしました。

2位　サプライチェーンの弱点を悪用した攻撃

直接攻撃が困難な大企業に対し、セキュリティレベルが低い取引先や子会社を攻撃し、踏み台にして標的に侵入する攻撃です。
事例：某製造メーカーが取引先のシステム障害により国内全工場を停止しました。

3位　標的型攻撃による機密情報の窃取

特定の企業を標的にし、業務関連のメールを装ったウイルス付きメールを送りつけることで行われます。受信者がメールを開くと、PCやサーバに感染が広がります。そして、攻撃者は組織内部に潜入し、機密情報を窃取するなどの活動を行います。
事例：某お菓子メーカーは、他社の社員を装ったメールに添付されたWordファイルを開き、「編集を有効にする」をクリックし、ウイルスに感染しました。

4位　内部不正による情報漏えい

企業の従業員や元従業員などが、会社で保管する情報を不正に持ち出し、外部に公開したり、競合他社へ情報提供したりすることで情報が漏えいすることがあります。
事例：某住宅メーカーは、元従業員が同社顧客情報を不正に持ち出し、転職先に提供していたことを明らかにしました。

5位　テレワークなどのニューノーマルな働き方を狙った攻撃

Web会議を覗き見されたり、テレワーク用の端末にウイルスを感染させられたり、VPNの脆弱性を悪用して不正アクセスされ、情報を搾取されるおそれがあります。
事例：某製造メーカーは、 テレワークの負荷により過去に利用したVPN機器を再度稼働させたところ、未修正の脆弱性が存在しており、IDとパスワードが窃取されました。

6位　修正プログラムの公開前を狙う攻撃（ゼロデイ攻撃）

ソフトウェアに脆弱性が存在することが判明し、脆弱性の修正プログラムがベンダーから提供される前に、その脆弱性を悪用してサイバー攻撃されることがあります。
事例：某ベンダーは、ブラウザのゼロデイ脆弱性を解消するアップデートを準備しており、それまで影響を軽減する機能の活用を呼びかけています。

7位　ビジネスメール詐欺による金銭被害

従業員のメールアカウントを乗っ取り、取引実績がある組織の担当者へ偽の請求などを送りつけ、攻撃者の用意した口座に金銭を振込ませるような攻撃です。
事例：国内企業と海外取引先企業の間で行われるやり取りにおいて、攻撃者が取引先を装い、銀行口座証明書を偽造し、書類の真正性に気付かずに誤って偽造口座へ送金した事案が発生しました。

8位　脆弱性対策情報の公開に伴う悪用増加

ベンダーが脆弱性対策情報の公開をして利用者に広く呼びかける際、攻撃者がその情報を悪用し、当該製品へ脆弱性対策を講じていないシステムを狙って攻撃を行うことがあります。
事例：某食品メーカーは、VPN機器の公開された修正プログラムを更新しなかったため、ランサムウェアによるサイバー攻撃を受けました。

9位　不注意による情報漏えいなどの被害

メールの誤送信、記録端末や記録媒体の紛失など、従業員のセキュリティ意識の低さ、不注意によるミスなどによって重要情報を漏えいすることがあります。
事例：某マスコミは、メールマガジンの送信時にミスがあり、登録者のメールアドレスが流出しました。

10位　犯罪のビジネス化（アンダーグラウンドサービス）

企業から不正に窃取した情報が、ブラックマーケットで売買され悪用されています。認証情報を入手し、企業のWebサービスなどに不正ログインされることがあります。
事例：某施設運営会社はサイバー攻撃を受け、その後、口座情報を含む一部の個人情報がダークウェブ上で公開されたことが判明しました。

(出典) IPA「情報セキュリティ10大脅威」を基に作成