2025年という年は、いくつかの重要な出来事が重なり、私たちの生活や社会に少なからず影響を与えました。

政治の面では、アメリカでドナルド・トランプ氏が大統領に就任し、その動向が世界から注目されました。一方、日本では高市早苗氏が首相に就任し、新たなリーダーシップのもとで政治の流れが大きく動き始めました。経済では、日経平均株価が連日最高値を更新し、ついには初の5万円台に到達するという記録的な動きがありました。その一方で、物価高が続き、特に米価格やマンション価格の高騰が生活を直撃。日米間の関税交渉も話題となり、経済の先行きに注目が集まりました。文化面では、大阪・関西万博が盛況を博し、多くの来場者でにぎわいました。野球のメジャーリーグでは日本人選手が大活躍し、国際舞台での存在感を一段と高めました。夏の平均気温は観測史上最高を記録し、全国で猛暑対策が重要な課題となりました。さらに秋には熊による被害が各地で相次ぎ、自然との向き合い方があらためて問い直される形となりました。

それでは、2025年のセキュリティインシデントやニューストピックにはどのようなものがあったでしょうか。すべてを紹介できませんが、デジタルアーツのリサーチャーが注目したものをいくつかピックアップしました。

2025年	デジタルアーツのリサーチャーが選定したトピック
1月	バイオテック企業がBEC（ビジネスメール詐欺）被害 生々しい攻撃手法が明らかに
2月	テーマパーク運営会社がランサムウェア被害 最大約200万件の情報漏えい可能性
3月	証券会社で不正取引が多発
4月	法人向けメールセキュリティサービスに不正アクセス メールアカウント約31万件情報漏えい
5月	プレスリリース配信サービスに不正アクセス 発表前情報の漏えい可能性
6月	保険会社が不正アクセス受け約1,748万件の情報漏えい可能性
7月	保険事故調査会社がランサムウェア被害 委託元30社以上に影響
8月	CRMサービス上のデータ窃取と恐喝が流行
9月	酒類事業を展開する企業がランサムウェア被害 EDRも検知できず
10月	オフィス用品通販を手掛ける企業がランサムウェア被害
11月	新聞社が利用するチャットツールに不正ログイン マルウェア感染で認証情報が流出

※12月については本稿執筆時点で判断できないため記載しておりません。
※インシデント公開時期や話題になった時期で各月に選定していますが、月についてはあくまで目安としてご了承ください。

下記に、それぞれの概要とコメントを記載しました。注目したポイントは太赤字にしています。各トピックから、2025年を振り返るきっかけとしてご利用いただければと思います。

【1月】バイオテック企業がBEC（ビジネスメール詐欺）被害 生々しい攻撃手法が明らかに

国内バイオテック企業がBEC（ビジネスメール詐欺）による被害を公表し、BECによる巧妙な攻撃内容が明らかになりました。同社の取引先（海外）のメールアカウントが乗っ取られ、その取引先になりすました攻撃者が、メールで攻撃者の口座に支払いを請求。同社はそれに応じて口座に送金してしまったといいます。取引先とは過去に複数回の取引実績があり、同社からの条件の変更にも応じてもらうなど良好な関係であったとのこと。攻撃者の送付したメール内容やタイミングから判断すると、攻撃者はある程度の期間を同社と取引先とのやりとりを観察したあと、攻撃を実行したと、同社は推測しています。

信頼関係のある取引先を名乗り、正規のメールアドレスを用いて、やり取りの流れに沿ったタイミングで送金口座の変更を依頼された場合、それを疑うことは極めて困難だったでしょう。BECの対策として、送金先変更などの重要事項については、メールだけでなく電話など別の手段での確認を必須とし、複数名による承認や、上司や役員や信頼できる取引先からの依頼であっても手順をスキップさせないことを義務付けるなど、プロセスの多層化と遵守が推奨されます。

【2月】テーマパーク運営会社がランサムウェア被害 最大約200万件の情報漏えい可能性

国内テーマパーク運営会社が1月にサイバー攻撃を受けて一部のサービスが利用できないなどの問題が発生していました。2月の続報で、攻撃はランサムウェアによるものであり、個人情報や機密情報が最大約200万件漏えいした可能性があると発表しました。本インシデントの影響は、情報漏えいの他に、攻撃直後からテーマパークサイトのマイページ機能、来場予約の取得、オンラインチケット購入、コーポレートサイトへのアクセスなどが利用できなくなっていました。最終的に復旧が完了したのは発生から約6か月後の7月末となっています。

攻撃を受けた原因としては、リモートアクセス機器の脆弱性を狙った不正アクセスに対処できなかったとしています。脆弱性のある製品を放置せず早期にアップデートし、多要素認証の導入や、アクセス権限は最小にするといったことが重要です。

【3月】証券会社で不正取引が多発

国内の証券会社の利用者から、不正取引されてしまったという報告がSNSで急増しました。証券会社側のシステムに不正侵入されたという報告はこれまでのところありません。利用者側において、アカウント情報をフィッシング詐欺やマルウェア（インフォスティーラー）によって窃取されてしまった可能性があります。乗っ取ったアカウントの資金で、流動性の低い中国株などを大量に購入・売却して株価を意図的に操作し、利益を得ようとしていたと考えられています。金融庁のデータによると、インターネット取引サービスでの不正アクセス・不正取引は2025年3月から急増し、ピークの4月には単月で不正買付と不正売却あわせて約2,930億円にのぼりました。その後、証券会社がセキュリティを強化し、ログイン時の多要素認証の必須や、よりフィッシング耐性の高いパスキーを導入するなどした結果、被害は減少傾向にあります。

SNSやメディアで話題になり、証券業協会や金融庁も注目し、その結果、証券会社のログイン方式が強固になっていったと言えます。また、話題になったことでセキュリティやサイバー攻撃に馴染みがなかった方々へも注意喚起として情報が行き渡りました。不正取引はピーク時に比べると落ち着きましたが、なくなったわけではありません。利用者側においても、フィッシングやマルウェアへの対策を怠らないようにしましょう。

【4月】法人向けメールセキュリティサービスに不正アクセス メールアカウント約31万件情報漏えい

国内通信事業者が提供する法人向けメールセキュリティサービスにおいて、利用しているソフトウェアへのゼロデイ攻撃（未発見の脆弱性を突く攻撃）により、不正アクセスを受けました。被害規模は、初報では最大で約6,500契約・メールアカウント約407万件の情報漏えいの可能性があるとしていたものの、その後の調査により、586契約で漏えい、メールアカウント・パスワードは約31万件の漏えいが確認されました。

ゼロデイ攻撃自体への対策は困難ですが、通信事業者は再発防止に向けて、振る舞い検知の強化やWAFの多層化などさらにセキュリティ対策を強化するとしています。一方で、本件においてサービスを利用する側での対策は難しいでしょう。ただし、たとえば認証情報が流出してしまったという事態に備えて多要素認証を設定しておくなど、利用者側でも可能な一般的なセキュリティ対策は行っておきましょう。

【5月】プレスリリース配信サービスに不正アクセス 発表前情報の漏えい可能性

プレスリリース配信サービスを提供する国内の会社は、不正アクセスを受け1,182社の発表前プレスリリース情報が1,682件、サービス利用者の個人情報が最大で約90万件の漏えいの可能性があると発表しました。原因はコロナ禍でリモートアクセス対応にともなって設定・許可したものの、追加の経緯が不明なIPアドレスが存在し、それが侵入経路になりました。認証には、通常は利用されていない社内管理用の共有アカウントが使用されていたと説明しています。

新型コロナウイルスの流行によって、急な社内システムの変更を余儀なくされた企業は少なくないはずです。対岸の火事ではなく、本インシデントをきっかけに自社の設定を見直すことも検討してください。

【6月】保険会社が不正アクセス受け約1,748万件の情報漏えい可能性

国内の保険会社は、利用しているWebシステムが不正アクセスを受け情報漏えいの可能性があるとして、2025年4月に初報を出していました。6月の第2報で、顧客関連と代理店関連のデータが約904万件、個人を特定をすることはできないデータが約844万件、あわせて約1,748万件が情報漏えいの可能性があることが判明しました。不正アクセスの原因については述べられていません。

再発防止策のうち、確認・対策済みの項目に「・他システムに同様の脆弱性がないこと」とあることから、Webシステムの脆弱性が狙われた可能性は考えられます。脆弱性のある製品を放置せず早期にアップデートし、多要素認証の導入や、アクセス権限は最小にするといったことが重要です。

【7月】保険事故調査会社がランサムウェア被害 委託元30社以上に影響

保険事故調査を行う会社は、2025年7月、一部サーバー内に保存されていたファイルが暗号化されるランサムウェア被害が発生したことを公表しました。一部報道によると、「同社は、7月2日に取引先からダークウェブ上に関連情報が掲載されていると情報提供を受けた」とあり、情報漏えいの可能性が指摘されていました。本件に関連して、同社に業務委託していた保険会社など30社以上が、情報漏えいの恐れがあるとして公式ホームページ等で相次いで発表する事態となりました。その後、12月初旬に調査結果が発表され、委託元から受けた調査に関する個人情報のうち、約10万件（要配慮情報を約1,200件含む）が漏えいしたことが判明しました。

攻撃の原因については、ネットワーク機器の脆弱性を突いて内部ネットワークに侵入されたことと、導入していたセキュリティソフトが無効化されたことが挙げられています。脆弱性のある製品を放置せず早期にアップデートし、多要素認証の導入や、アクセス権限は最小にするといったことが重要です。

【8月】CRMサービス上のデータ窃取と恐喝が流行

2025年6月、企業の利用するCRM（顧客関係管理）サービス環境を狙った攻撃が流行中だとして、ある会社が記事を公開。その後、2025年8月には記事が更新され、同社自身も被害を受けたことを報告し、話題となりました。

攻撃の手口は次のような流れとなっています。まず、攻撃者は標的の従業員に電話をかけ、ITサポート担当者を装うことで CRMサービスの認証情報を聞き出したり、データ接続用のアプリを許可させるよう誘導します。次に、従業員が許可した接続用アプリを使って、CRMサービス環境内のデータを窃取します。そして、窃取したデータを人質に、金銭を要求するというものです。電話の標的となった例として、多国籍企業の英語圏支社にいる従業員が挙げられています。この攻撃により、航空会社やジュエリーブランドなど、多数の世界的に有名な企業が被害を受けました。

システムの脆弱性や設定不備を狙ったものではなく、人を騙して不正な操作をさせたり情報を窃取する「ソーシャルエンジニアリング」による攻撃が行われています。多要素認証やアクセス権限を最小化するなどといったシステム面でのセキュリティ対策に加え、従業員に対して社内ルール周知・徹底やセキュリティ啓発などもあわせて行うことで被害の低減につながるでしょう。

【9月】酒類事業を展開する企業がランサムウェア被害 EDRも検知できず

酒類事業を展開する会社が9月末にサイバー攻撃を受け、グループが使用するシステムに障害が発生。その後すぐの10月初頭にはランサムウェアグループがリークサイトに犯行声明を出し、会社側もランサムウェアによる攻撃であることや、情報漏えいの可能性があることを確認しました。国内グループ各社での受注・出荷業務やコールセンター業務を停止し、その影響で生産に関しても一時停止しました。その後、受発注を電話やファックスで行い、表計算ソフトに手入力でのデータ管理を行うなどで再開したものの、新商品発売延期や決算発表日の延期などのほか、飲食店や小売店などで品薄や欠品が発生。また反動で注文が殺到した同業他社においては、供給のバランスが崩れ、一部商品を販売休止するという事態にもなりました。

その後の続報で、攻撃は、拠点のネットワーク機器を経由してデータセンターに侵入したあと、パスワードの脆弱性を突いて管理者権限を奪取し、その後ネットワークに接続するサーバーや端末がランサムウェアによって暗号化されたといいます。セキュリティ診断や模擬攻撃も行い、国際基準に沿ったセキュリティ対策は行っていたが防ぐことはできず、EDRも導入していたが攻撃を検知できなかったと述べています。幸い、バックアップの多くが無事であったことから復旧につなげられたとし、12月初頭からシステムによる受注の再開、翌年2月からは物流業務を正常化する予定としています。

本件は、十分な対策をとっていると考えていても、攻撃者はその隙をついて侵入してくるということを思い知らされました。バックアップがあったとしても、すぐに元に戻すことはできず、復旧までにそれなりの時間を要するということも判明しました。

【10月】オフィス用品通販を手掛ける企業がランサムウェア被害

オフィス用品通販を手掛ける会社で、10月中旬にランサムウェア感染によりシステム障害が発生したと公表しました。10月末にはランサムウェアグループがリークサイトに犯行声明を出し、会社側も犯行声明と情報漏えいを確認しました。障害発生の範囲は主に物流システムで、同社のグループ会社が受託している物流業務も停止。しばらくしてファックスや手運用で注文を再開しましたが、本稿執筆時点ではシステムの完全復旧には至っていません。影響は取引先や同業他社にも及んでいます。自社の通販サービスだけでなく、物流業務を請け負っていた他社通販サイトでも受注の停止が発生しました。また、同社の利用者がやむなく別の会社から商品を調達しようとしたことから、同業他社に注文が殺到し、電話やWebサイトがつながりにくくなる、配送に遅延が発生するなどといった間接的な影響も出ました。

影響は法人から個人まで及び、我々の生活にも大きなインパクトを与えました。

【11月】新聞社が利用するチャットツールに不正ログイン マルウェア感染で認証情報が流出

新聞社が利用するチャットツールに不正ログインが判明し、チャットツールに登録されていた氏名やメールアドレス、チャット履歴など1万7368人分が流出した可能性があると公表。原因は、社員の個人保有PCがマルウェアに感染したことで認証情報が流出し、この認証情報からチャットツールの社員アカウントに不正にログインしたと、同社は推測しています。

多要素認証の設定をしていたかどうかは公開されていません。もし、IDとパスワードだけの認証であれば、多要素認証の設定が必要でしょう。しかし、「マルウェアが感染したことで認証情報が流出」しているため、多要素認証が意味をなさなかった可能性も考えられます。それは、インフォスティーラー（情報窃取マルウェア）であれば、セッションCookieやトークンを盗み、それを悪用すると別の端末でログイン済みの状態を再現できるようになってしまうからです。個人端末や個人アカウントが侵害された結果、業務利用のアカウントまでもが窃取される可能性があります。多要素認証だけでなく、インフォスティーラーへの対策として、可能であれば、個人端末を業務で使用しない、個人アカウントを業務で使用しない、サービス側の設定でセッション期限を短くする、なども行っておくとリスクが減らせるでしょう。

【総括】

私たちの安全に対する常識が改めて3つの方向から揺さぶられたと言えます。

1つ目は、「システム」のわずかな隙を突かれてしまう現実です。十分な対策を講じ、EDRなど高度な検知システムを導入していたはずの企業でも、脆弱性や設定の死角といった隙間から侵入を許してしまうこともあります。完璧に見えるシステムにも必ず隙は生じるものであり、「対策済みだから安心」という過信は禁物です。

2つ目は、堅牢なシステムを正面から突破するのではなく、システムを利用する「人」を狙い撃ちにする手口があるということです。攻撃者は、信頼できる取引先やIT担当者になりすましてメールや電話で巧みに接触し、従業員の善意や油断につけこんで、自身の手で鍵を開けさせようとします。フィッシングやマルウェアで認証情報を盗んで従業員になりすまして侵入することもあります。どんなに強固な壁があっても、それを扱う人が騙されてしまうと脆いという課題は、年々深刻さを増しています。

3つ目は、「サプライチェーン」リスクです。今年は特に保険業界では（ピックアップできなかったものも含め）、委託先の被害が原因で自社の情報漏えいにつながった事例が目立ちました。自社の対策が万全であったとしても、サプライチェーンの一角が崩れるだけで巻き込まれてしまうリスクが浮き彫りになりました。

「システム」による防御だけでなく、「人」による防御、取引先や委託先のセキュリティ体制を含めた「サプライチェーン」全体のリスク管理も重要です。セキュリティリスクをゼロにすることは困難ですが、リスクを低減することは可能です。これらの事例が単なる「怖い話」ではなく、今後の安全性を高めるヒントとして活かされることを願っています。

ページトップへ戻る