-1-150x150.png){kind=avatar}
コトラ(広報チーム) 
2025年のセキュリティインシデント概要
インシデント総数と年間増加率
2025年には、国内におけるセキュリティインシデントの総数が1,782件に達しました。この数値は、昨年の1,344件から438件の増加を示しており、増加率は約33%にも及びます。特に、1月から11月までのデータでは平均1日あたり1.5件ものインシデントが発生しており、セキュリティインシデントが日常的な脅威となりつつあることが明らかです。
主要な被害カテゴリの分析:不正アクセスとランサムウェア
2025年で最も多かったセキュリティインシデントの種類は不正アクセスで、総数は782件、全体の約44%を占めています。一方、ランサムウェア被害も顕著で、特に下半期には酒類企業やオフィス用品通販企業が被害を受けるなど、事例が相次ぎました。これらの攻撃では、企業の重要なデータが暗号化され、多額の身代金を要求されるケースが多発しました。
影響を受けた業界とその分布
セキュリティインシデントの影響は多岐にわたり、さまざまな業界に広がっています。テーマパーク運営会社では約200万件の個人情報が漏えいする被害が報告され、また保険会社では約1,748万件ものデータ漏えいの可能性が指摘されました。さらに、バイオテック企業や証券会社、酒類企業といった特定の業界がターゲットにされていることからも、業界横断的なセキュリティ対策の必要性が浮き彫りとなっています。
個人情報漏洩とその規模
個人情報漏洩の規模も2025年の際立った特徴の一つです。特に法人向けメールセキュリティへの不正アクセスによる約31万件のメールアカウント情報漏えいや、テーマパーク運営会社での200万件を超える個人情報漏洩といった大規模な事案が発生しました。これらの数字が示すように、個人情報の保護が引き続き重大な課題となっています。
データから見るセキュリティ対策の必要性
これらのデータからは、全業界に共通したセキュリティ対策の強化が急務であることがわかります。不正アクセスやランサムウェアなどの深刻な事案に直面した組織では、既存の防御体制の見直しが求められるとともに、エンドポイントでの保護やゼロトラストセキュリティモデルの導入が議論されています。2025年のセキュリティインシデントの教訓は、2026年以降の対策をより堅固にするための指標となるでしょう。
ランサムウェア攻撃の事例と傾向
アサヒグループへの攻撃:影響と教訓
2025年下半期には、国内大手の酒類企業であるアサヒグループがランサムウェア被害を受けました。この攻撃により、業務システムの一部が停止し、生産や物流に多大な影響を及ぼしました。同社は攻撃の詳細を公表していませんが、EDR(Endpoint Detection and Response)による検知に失敗していたことが指摘されています。この攻撃が示した大きな教訓は、既存のセキュリティツールだけでは最新の脅威に対応しきれない可能性があることです。そのため、ゼロトラストの理念に基づく統合的なセキュリティ対策の必要性が再認識されています。
中小企業を狙う脅威の増加
2025年には、中小企業を狙ったランサムウェア攻撃の件数が増加しました。その背景には、セキュリティに十分なリソースを割くことが難しいことが挙げられます。この状況を悪用した攻撃者は、中堅・小規模の企業に対して身代金を要求する傾向を強めています。さらに、攻撃後にデータの窃取と脅迫を行う「二重脅迫」の手口が多く採用され、不正アクセス事例は中小企業の業務や顧客情報に深刻な影響を与えました。セキュリティインシデントの発生を防ぐには、限られた予算の中でも、高リスクなシステムを優先して防御を固める工夫が必要です。
ランサムウェアの手口と侵入経路
ランサムウェア攻撃の手口は年々巧妙化しています。2025年には、攻撃者はフィッシングメールを用いた不正アクセスだけでなく、委託先などを経由して侵入するサプライチェーン攻撃の手口を活用しました。具体的な侵入ルートとしては、パスワードの使い回しや脆弱なリモートデスクトッププロトコル(RDP)を悪用するケースが多く確認されています。また、直近ではゼロデイ脆弱性を活用した高度な手法も増加傾向にあります。このような背景から、全社的なリスク管理と脆弱性の迅速な修正がより一層求められる状況となっています。
再発防止策の導入事例
2025年にランサムウェア被害を経験した企業の中には、攻撃後に再発防止策を導入する動きが見られました。たとえば、ある中小企業では、不正アクセスを防ぐために二要素認証(2FA)の実施とフィッシング対策のための社員教育を強化しました。また、医療機関を含む一部の組織では、重要データをオフラインバックアップする体制作りが進められました。加えて、AIを活用した攻撃検知ソリューションを導入する企業も増えており、これらの取り組みが成果を上げつつあります。これらの事例は、セキュリティインシデントをきっかけとした対策強化の有効性を示しています。
サプライチェーン攻撃の新たな脅威
委託先や外部サービスを狙う攻撃の事例
2025年には、サプライチェーンを狙った攻撃がセキュリティインシデントの中でも顕著に増加しました。このような攻撃は企業の委託先や外部のサービスプロバイダーを経由して実行され、広範な被害を引き起こしています。特に5月に発生したプレスリリース配信サービスの不正アクセス事例では、発表前の重要情報が漏洩する可能性が指摘され、多くの企業に警鐘を鳴らしました。また、保険事故調査会社に対するランサムウェア被害では、30社以上の関連事業者が影響を受け、一部ではデータ窃取や業務停止といった深刻な事態に発展しました。このようなサプライチェーン攻撃は、企業自身が行うセキュリティ対策だけでは防ぎきれないケースが多く、新たな課題となっています。
波及型インシデントの被害規模
サプライチェーン攻撃における波及型インシデントは、一度攻撃が成功するとその影響が連鎖的に拡大することが特徴です。2025年のランサムウェア被害の中でも、保険事故調査会社を経由したケースでは、二次的な被害範囲が特に注目を集めました。被害に遭った直接の企業だけでなく、その取引先や関係機関が業務停止や情報漏洩に巻き込まれるケースが続出しました。これにより、単一のセキュリティインシデントで数十社規模の被害が発生し、経済的な損失も拡大しました。このような波及型被害を考慮すると、単なる個別対策では不十分で、サプライチェーン全体を視野に入れた包括的な対策が必要であることが分かります。
脆弱性対策の重要性と失敗例
脆弱性対策が不十分であった結果、サプライチェーン攻撃の成功率が高まった事例が多く報告されています。たとえば2025年9月の酒類企業に対するランサムウェア攻撃では、EDR(Endpoint Detection and Response)が稼働していたものの、初期段階での検知に失敗し、被害を拡大させる一因となりました。また、委託先が使用していた古いソフトウェアに潜む未修正の脆弱性が攻撃経路となり、結果的に顧客データの流出や業務停止につながったケースも確認されています。これらの例から、最新のセキュリティパッチの適用や、第三者が絡むシステムの定期的な監査がいかに重要であるかが明らかとなりました。
ゼロトラスト導入の推進事例
2025年を通じてゼロトラストセキュリティモデルの重要性がますます認識されるようになり、多くの企業がこのモデルの導入を進めました。ゼロトラストとは、「ネットワーク内外を問わず、すべてのアクセスを疑う」ことを基本理念としたセキュリティアプローチです。ある中堅製造企業では、委託先でのセキュリティ事故を教訓に、ゼロトラストモデルを活用したアクセス制御システムを導入しました。その結果、認証の厳格化やデータアクセス監視の強化によって、不正アクセスや情報漏洩が大幅に減少したと報告されています。このような事例は、今後同様のセキュリティインシデントを未然に防ぐうえで、他企業にとっての参考ともなるでしょう。
2025年の教訓と2026年への備え
2025年最大のセキュリティ教訓
2025年のセキュリティインシデントは1,782件と、昨年に比べ約32%の増加を記録しました。このデータが示すように、セキュリティリスクはますます顕著化しています。特に、不正アクセスやランサムウェアは依然として主要な脅威であり、サプライチェーンを狙った攻撃やデータ窃取の増加も見逃せない傾向です。また、1件ごとのインシデントで波及する被害規模も拡大しています。これらの事例から得られる教訓は、セキュリティ対策を組織単体ではなく、周辺環境も含めた包括的な視点で考える必要性です。また、不正アクセスの多さを鑑みると、アクセス制御の強化と脆弱性の早期発見が急務といえます。
規模別に見る効果的なセキュリティ対策
企業の規模に応じたセキュリティ対策も重要な教訓でした。大企業では、ランサムウェアに対する多層防御体制の構築が求められます。具体例として、EDR(エンドポイント検知&応答)の強化やゼロトラストアーキテクチャの導入が効果的とされています。一方、中小企業では、コスト面からセキュリティへの投資が制限されがちですが、外部のセキュリティサービスを活用するなど、適切なリソース配分が必要です。また、規模にかかわらず、定期的なサイバー攻撃シミュレーションや訓練の実施は、全ての組織にとって有益です。
人を起点とした攻撃を防ぐ教育と意識向上
多数のセキュリティインシデントを分析すると、従業員の行動に起因する問題も多く含まれています。2025年では内部犯行やヒューマンエラーによる情報漏えい、フィッシング攻撃への対応ミスが一部の重大なインシデントに繋がりました。これを踏まえ、組織全体でセキュリティ意識を高めることが第一です。従業員が最新の脅威に対する知識を習得するため、新人研修でのセキュリティ教育や定期的なワークショップの実施が効果を発揮します。また、セキュリティルールを簡潔かつ分かりやすい形で設計し、日々の業務に取り入れやすくする工夫も必要です。
進化するサイバー攻撃に対する最新技術の活用
サイバー攻撃の手法が高度化する中、企業は最新技術を活用して対策を講じる必要があります。AIや機械学習を用いた脅威検知システムは、異常なネットワーク活動を迅速に察知する能力を持ち、ランサムウェアなどの進行を早期に食い止める有効な手段です。また、クラウドベースのセキュリティサービスも普及が進み、特に中小企業での導入が増加しています。それに加え、暗号化技術を活用したデータ保護や、ゼロトラストの概念に基づいたシステム設計が注目されています。組織はこれらの技術を適切に活用し、来る2026年のより厳しいセキュリティ環境に備えるべきです。
