2025年も、日本国内の多くの企業や組織がサイバー攻撃の脅威に晒され、深刻な被害が後を絶ちません。ランサムウェアによる業務停止や大規模な情報漏洩など、その手口はますます巧妙化・悪質化しています。
本記事では、2025年に発生した主要なサイバー攻撃の被害事例をまとめ、そこから得られる教訓と、情報システム担当者が今すぐ取り組むべき対策を専門家の視点から解説します。
2025年サイバー攻撃の主な傾向
2025年のサイバー攻撃には、いくつかの顕著な傾向が見られます。
- ランサムウェア攻撃の継続と巧妙化: 攻撃者は企業の規模を問わず、金銭を要求するランサムウェア攻撃を仕掛けています。特に、サプライチェーンの脆弱性を突き、取引先を経由して標的企業へ侵入するケースが増加しており、中小企業が大手企業への攻撃の足がかりにされる事例も目立ちます。
- AI技術の悪用: AIを利用して、より巧妙なフィッシングメールを作成したり、脆弱性を自動で探索したりするなど、攻撃の高度化が進んでいます。AIによるサイバー攻撃は、従来の対策だけでは防ぎきれない新たな脅威となっています。
- 内部不正と設定ミスによる情報漏洩: 外部からの攻撃だけでなく、従業員による情報の持ち出しや、クラウドサービスの設定ミスといった内部の要因による情報漏洩も依然として多く発生しています。
【2025年】国内の主要サイバー攻撃被害事例
2025年に報道された、特に影響の大きかったサイバー攻撃の被害事例をいくつかご紹介します。
| 発生時期 | 組織名(業種) | 概要 | 原因 |
|---|---|---|---|
| 2025年4月 | 大手損害保険会社 | 不正アクセスにより、最大1,740万件の顧客情報が漏洩した可能性。Webサブシステムが攻撃を受け、顧客情報などが外部から閲覧可能な状態に。 | 不正アクセス |
| 2025年2月 | 保険ショップ大手 | ランサムウェア攻撃を受け、約510万件の個人情報(顧客の保険契約情報や相談履歴)が漏洩した可能性。 | ランサムウェア |
| 2025年4月 | 地域密着型スーパー | ランサムウェア攻撃により、全23店舗が臨時休業。決済サービスやポイント付与も長期間利用不可となり、業務に甚大な影響。 | ランサムウェア |
| 2025年8月 | 法政大学 | 外部委託先のシステムへの不正アクセスにより、学生や教職員など最大約1万7千人分の個人情報が漏洩した可能性。 | サプライチェーン攻撃 |
| 2025年上半期 | 製造業 | 2025年上半期で最もランサムウェア被害が多かった業種。サプライチェーン上の比較的セキュリティ対策が手薄な中小企業が狙われる傾向。 | ランサムウェア |
これらの事例は氷山の一角に過ぎず、日々多くの企業がサイバー攻撃の被害に遭っています。
例えば、野村證券やSBI証券では不正アクセスによる市場操作による被害が発生しています。
特に、製造業を標的としたランサムウェア攻撃は深刻化しています。アサヒグループホールディングスへの攻撃でその名が知られたランサムウェア「Qilin」の事例は、日本の製造業のセキュリティ体制に大きな警鐘を鳴らしました。詳細は以下の記事で深掘りしています。
- 2025年アサヒグループ・ランサムウェア攻撃全貌解明:サプライチェーン麻痺と経営危機に学ぶ教訓(2025/10/18時点)
- 【徹底解説】ランサムウェア「Qilin」の脅威|アサヒGHDの事例から学ぶ、経営層と情シスが今すぐやるべきこと(2025/10/14時点速報)
- 危機の深層:2025年アサヒグループへのランサムウェア攻撃から学ぶ日本の製造業の未来(2025/10/13時点)
- 2025年アサヒグループサイバー攻撃:サプライチェーン麻痺と経営危機に学ぶ教訓(2025/11/01 update 版)
事例から学ぶべき教訓と情シス担当者がとるべき対策
これらの事例は、私たちに多くの教訓を与えてくれます。情報システム担当者として、これらの学びを自社のセキュリティ対策に活かすことが重要です。
1. サプライチェーン全体でのセキュリティ強化
自社だけでなく、取引先や業務委託先を含めたサプライチェーン全体でのセキュリティレベルの向上が不可欠です。委託先の選定基準にセキュリティ項目を盛り込んだり、定期的な監査を実施したりすることが求められます。
より具体的なインシデント事例や、特定の時期に集中した攻撃については、以下の記事で詳しく解説していますので、併せてご覧ください。
【他人事ではない】2025年8月のサイバー攻撃被害事例まとめ|情シス担当者が今すぐやるべきこと
2. AIを活用した新たな脅威への備え
AIを悪用したサイバー攻撃は、今後さらに増加することが予想されます。AIが生成する巧妙な偽情報や、未知の攻撃手法に対応するためには、AIを活用した防御システムの導入や、従業員への継続的な教育が重要です。
AIがもたらすサイバー脅威とその対策については、以下の記事で詳細に解説しています。
【CISSP解説】2025年のAIサイバー攻撃|サプライチェーン攻撃・モデル窃取等の脅威と企業の対策
3. インシデント発生を前提とした体制構築
どれだけ対策を講じても、サイバー攻撃のリスクをゼロにすることはできません。重要なのは、インシデントが発生することを前提として、迅速な検知、対応、復旧を行うための体制(CSIRTなど)を整備しておくことです。定期的な訓練を通じて、インシデント対応計画の実効性を高めておく必要があるでしょう。
2025年上半期の攻撃トレンドや、企業がとるべき具体的な対策をまとめたレポートも公開しています。ぜひご参照ください。
まとめ
本記事では、2025年に日本国内で発生したサイバー攻撃の被害事例を概観し、その傾向と対策について解説しました。サイバー攻撃はもはや対岸の火事ではなく、すべての企業にとって深刻な経営リスクです。
今回紹介した事例を教訓とし、自社のセキュリティ対策を見直し、継続的に強化していくことが、企業をサイバー脅威から守るための第一歩となります。
