【2025年上半期 】国内セキュリティインシデントの現状と今後の展望
- INDEX
-
2025年に入り、世界中でサイバー攻撃の脅威はこれまでにないスピードで進化しています。国内でも大小さまざまなセキュリティインシデントが報告され、企業や個人のデジタル資産を脅かすケースが増加しています。これまでの攻撃手法が単純な情報窃取や不正アクセスに留まらず、複雑なランサムウェア攻撃、クラウドサービスの侵害、サプライチェーンを狙った間接的な攻撃など、多岐に渡る傾向が確認されています。
この背景には、企業のデジタル化の進展、IoT機器やクラウドサービスの普及、そしてリモートワークの定着が大きく影響しています。インターネットに常時接続されるシステムやデータの増加は、攻撃対象の拡大を意味し、サイバーセキュリティのリスクをますます高めています。
セキュリティインシデントとは?
セキュリティインシデントとは、情報システムやデータ、ネットワークに対して意図しないアクセスや不正操作、情報漏洩、サービス停止などが発生した事象を指します。これには、ウイルス感染やランサムウェア攻撃、個人情報の流出、重要インフラへの侵入など、さまざまな形態があります。簡単に言えば、「情報資産やサービスの安全性・機密性・可用性が脅かされる出来事」がセキュリティインシデントです。企業や個人は、このようなインシデントを未然に防ぐ対策を講じるとともに、発生した場合には迅速に対応し、被害を最小化することが求められます。
2025年上半期の国内セキュリティインシデントの現状
公表件数と傾向
2025年上半期(1月〜6月)に国内で公表されたセキュリティインシデントは、前年同期と比べて増加傾向にあり、サイバー攻撃の脅威が一層高まっていることを示しています。特に注目すべきはランサムウェア攻撃の増加で、2025年上半期の件数は前年同期の37件を上回りました。さらに、これらの攻撃の約8割は侵入経路が不明であり、攻撃者の手口がますます巧妙化していることが伺えます。
セキュリティインシデントランキング(2025年上半期)
| 順位 | 企業 | 情報漏えい件数 | 原因 |
|---|---|---|---|
| 1位 | 保険ショップ大手A社 | 510万件 | ランサムウェア |
| 2位 | 人気テーマパーク運営元C社 | 200万件 | ランサムウェア |
| 3位 | PRテック企業F社 | 90万件 | 不正アクセス |
| 4位 | 専門小売店チェーンE社 | 12万件 | 不正アクセス |
| 5位 | 大手損害保険会社D社 | 7.5万件 | サプライチェーン攻撃 |
2025年上半期セキュリティインシデントの種類別トピック
【ランサムウェア攻撃】保険ショップ大手A社
2025年2月、保険ショップ大手のA社がランサムウェア攻撃を受け、約510万件の個人情報が流出した可能性があることを公表しました。漏洩の可能性がある情報には、保険契約者の氏名や住所、電話番号などが含まれます。金融機関は取引先や委託先が多数存在するため、第三者のセキュリティ対策まで完全に管理することは容易ではありません。このため、金融庁は2024年10月に金融機関向けサイバーセキュリティガイドラインを公表し、関係先のリスク管理を徹底するよう求めています。サイバーリスクが一段と高まる中、金融機関における体制強化が急務となっています。
【ランサムウェア攻撃】人気テーマパーク運営元C社
2025年1月、人気テーマパークを運営するC社でネットワークトラブルが発生し、一部サービスが利用できない状態に陥りました。その後の調査で、ランサムウェアを用いたサイバー攻撃を受けていたことが判明しました。今回の攻撃により、機密情報や最大約200万件の個人情報が外部に流出した可能性があります。流出の対象には、年間パスポート購入者や会員に関する氏名、性別、生年月日、住所、電話番号、メールアドレスのほか、一部では会員ID情報も含まれます。さらに、支払関連書類の発行先である取引先の個人事業主や従業員など、特定個人情報(マイナンバー)を含む契約情報も影響を受ける可能性があるとされています。
【不正アクセス】PRテック企業F社
2025年5月、情報配信サービスを提供する企業D社は、社内サーバーが複数回にわたり不正アクセスを受けていたことを公表しました。今回の攻撃により、約90万件の個人情報や1600件以上の未公開プレスリリースが漏洩した可能性があります。D社は報道機関や個人会員に向け、企業のプレスリリースを配信するサービスを提供しており、情報提供元の企業や配信先の会員情報を管理しています。今回不正アクセスを受けたのは、これらの業務--利用企業からの申込み受付、プレスリリースの確認、配信処理など--を行う社内システムです。原因として、社内システムへのアクセス権限の設定やアカウント管理に運用上の不備があったことが指摘されています。
【サプライチェーン攻撃】大手損害保険会社D社
2025年6月、大手損害保険会社D社の一部Webシステムが外部からの不正アクセスを受け、最大で約1,750万件に上る顧客情報や代理店関連データが閲覧された、もしくは漏洩した可能性があることが公表されました。被害が確認されたのは、主に指標管理などを目的としたサブシステムで、2025年4月中旬から数日間にわたり不正アクセスが行われたとされています。漏洩の可能性がある情報には、氏名、住所、電話番号、契約番号などの顧客データが含まれ、社内では速やかに影響範囲の調査と再発防止策の検討が進められています。
セキュリティインシデントの影響
セキュリティインシデントは、企業や組織の損失にとどまらず、経済活動全体や社会生活、個人の安全にまで影響を及ぼします。2025年上半期の事例でも示された通り、攻撃は巧妙化し、被害規模も大きくなっています。そのため、企業は技術的な防御だけでなく、組織体制やサプライチェーン管理の強化を図る必要があります。同時に、個人も情報管理の意識を高め、日常生活におけるリスク軽減策を講じることが求められます。セキュリティ意識の向上は、社会全体の安全性向上につながるのです。経済への影響
企業が被害を受けた場合、まず直接的な損失が発生します。漏洩した顧客情報の管理・通知、システム復旧、外部専門家による調査などにかかるコストは非常に大きく、数億円規模に達することも少なくありません。また、企業の信用失墜による取引先や顧客離れも深刻です。例えば、2025年上半期に報告された保険業界のランサムウェア事件では、数百万件規模の個人情報が流出の可能性に晒され、金融庁の指導に基づき緊急対策が求められました。このような事例は、企業の株価下落や取引停止のリスクも伴い、広範な経済的影響を引き起こす要因となります。さらに、サプライチェーンを通じた攻撃は、関連する中小企業にも波及し、産業全体の信頼性を損なう可能性があります。
社会と個人の生活への影響
情報漏洩や不正アクセスは、個人の生活にも直接的な影響を与えます。氏名、住所、電話番号、契約情報やマイナンバーなどの個人情報が流出すると、詐欺被害やなりすまし、身元盗用のリスクが増大します。特に金融機関や保険会社、情報配信サービスでの漏洩は、生活上の重要な情報が攻撃者に渡る可能性があるため、個人の安心・安全に直結する問題です。また、社会全体への影響としては、公共サービスやインフラへの信頼低下が挙げられます。攻撃を受けた企業のサービス停止や情報提供の遅延は、日常生活や業務に支障をもたらす場合があり、社会的コストも無視できません。サイバー攻撃が増えるほど、私たちの生活の安全性に対する不安は高まります。
今後のセキュリティ対策の展望
サイバー攻撃の巧妙化や被害規模の拡大に伴い、企業や組織はセキュリティ対策の高度化を急務としています。2025年上半期に発生した大規模インシデントの事例は、防御体制の不備が甚大な影響をもたらすことを改めて示しました。ここでは、今後のセキュリティ対策の展望として、技術的な進化と法律・規制面での強化の二つの側面から考察します。技術的対策の進化
まず、技術面では防御手段の高度化が進んでいます。従来のウイルス対策やファイアウォールに加え、AI(人工知能)や機械学習を活用した不正アクセス検知システムの導入が増加しています。これにより、未知のマルウェアやゼロデイ攻撃も迅速に検知し、被害を最小限に抑えることが可能になりつつあります。さらに、クラウド環境やサプライチェーン全体を対象としたセキュリティ対策も重要視されています。企業が利用する外部サービスや委託先のリスクまで管理する「サプライチェーンセキュリティ」の強化は、ランサムウェアや不正アクセスによる二次被害の防止に直結します。加えて、多要素認証や権限管理の厳格化、データ暗号化などの基本対策を徹底することで、情報漏洩リスクを大幅に低減できます。
法律と規制の強化
法律・規制面でも、サイバーリスクに対応する動きが進んでいます。金融庁や個人情報保護委員会は、企業や金融機関に対してサイバーセキュリティ体制の整備や情報漏洩時の迅速な報告義務を求めるガイドラインを公表しています。2025年には、情報セキュリティ管理の監査や報告の義務化、取引先のセキュリティ評価の強化など、規制面の厳格化がさらに進む見込みです。また、個人情報保護法やサイバーセキュリティ基本法の改正も視野に入っており、違反時の罰則強化や報告義務の明確化が進むことで、企業はより積極的にセキュリティ対策を講じざるを得なくなります。これにより、組織全体の情報管理体制の改善と、社会全体でのリスク低減が期待されています。
まとめ
2025年上半期の国内セキュリティインシデントの現状を見ると、攻撃手法の高度化と被害規模の拡大が顕著であることがわかります。ランサムウェア攻撃や不正アクセス、サプライチェーン攻撃といった多様な手口が報告され、企業だけでなく個人や社会全体への影響も無視できない状況です。情報漏洩やサービス停止は、直接的な経済損失に加え、信用低下や社会的信頼の損失を招く可能性があります。こうした状況を踏まえ、今後のセキュリティ対策は、技術面と規制面の双方で強化が求められます。AIや機械学習を活用した高度な防御システムの導入、クラウドやサプライチェーンを含む全体的なリスク管理、多要素認証やデータ暗号化といった基本対策の徹底が不可欠です。一方で、法律や規制の整備、企業への監査・報告義務の強化、個人情報保護法の改正などにより、組織はより積極的にセキュリティ対策を実施せざるを得なくなります。
最終的には、技術的対策と法的規制の両輪でサイバーリスクに備えることが、企業・個人・社会全体の安全性向上につながります。セキュリティ意識の向上と具体的な対策の実行が、未来のデジタル社会を守る鍵となるでしょう。
弊社の提供する統合型IT運用管理「AssetView」は、さまざまな業種向けのセキュリティガイドラインに対応しており、これまで実施した業種別のガイドライン対策セミナーをアーカイブとしてご覧いただけます。ぜひお気軽にご活用いただき、日々の業務にお役立てください。
