2023年から2025年の国内組織における情報漏えい等にかかるセキュリティインシデントを、対象組織による公開報告書およびマスメディアによる報道資料をもとに独自に集計しました【図1】【図2】。

（※1）本集計では、インシデントの連鎖的影響を個別に計上しています。
例えば、業務委託先企業がランサムウェア被害を受け、情報漏えい報告があった場合、それを1件として計上します。さらに、その被害により影響を受けた委託元企業からの情報漏えい報告も、それぞれ独立したインシデントとして計上しています。
具体例：業務委託先A社のランサムウェア被害（1件）により、委託元のB社、C社、D社から情報漏えいの報告があった場合、合計4件の「マルウェア感染」インシデントとして集計しています。

（※2）2023年に発生した社会保険や人事労務業務支援システムを提供する企業のランサムウェア被害が起因となった情報漏えいインシデントに関しては、個人情報保護委員会への漏えい等報告が3000件を超えていますが、本集計では対象組織による公開報告書およびマスメディアによる報道資料が確認できたもののみ「マルウェア感染」インシデントとして集計しています。

※公開済みの記事（※3、※4）と比較すると分類項目によっては数値の増減があります。
これは記事作成にあたって、新たに見つかったインシデントの追加や既存インシデントの更新情報の反映/分類の見直し等を行ったことによります。あらかじめご承知おきくださいますようよろしくお願いいたします。
（※3）[2025年3月公開]過去3年分の国内セキュリティインシデント集計
（※4）2025年上半期国内セキュリティインシデント集計

紛失・盗難	パソコンやUSBメモリといった記録媒体や紙文書の紛失や盗難など
不正アクセス	脆弱性を突かれるなどして侵入され、情報窃取やWebサイトの改ざん、スパムメールの踏み台にされてしまったなど
誤操作、設定不備	FAXや書類の誤送付、システムの不具合や人為的な設定不備により意図せず公開されてしまったなど（電子メールでの誤送信は含まない）
業務外利用・不正持出	機密情報の無断閲覧や、不正に持ち出した情報を外部の者に譲渡など
メール誤送信	電子メールで宛先を誤って送信してしまったなど
マルウェア感染	ウイルスやその他ランサムウェアへの感染など

2025年はインシデント総数は1782件で、集計以来過去最多を更新し、「不正アクセス」が多くを占める結果となりました。
中でも、上半期はサプライチェーンを狙った攻撃によるインシデント報告が顕著でした。特に「不正アクセス」「マルウェア感染」を中心に、外部サービスの脆弱性悪用やランサムウェア被害など、波及性の高い事案が相次ぎました。また、下半期は上半期に比べ委託元の情報漏えい報告が少なかったものの、酒類事業を展開する企業やオフィス用品通販を手掛ける企業のランサムウェア被害による自社の情報漏えい報告やシステム障害による機会損失に繋がる事例が目立ちました。
酒類事業を展開する企業においては、グループ内拠点のネットワーク機器を突破され内部侵入を許し、データセンターまで侵害され、弱い認証管理を突かれて管理者権限を奪取された結果、ランサムウェア被害が発生しました。基幹システムや一部端末が暗号化・停止し、業務に長期の支障が出たほか、従業員データなどの情報流出の可能性も生じました。
オフィス用品通販を手掛ける企業においては、例外的に多要素認証を適用していなかった業務委託先の管理者アカウント情報を悪用され、長期間の潜伏と侵入を許した結果、ランサムウェア被害が発生しました。監視体制や権限管理、バックアップ設計の不備により、基幹・物流システムやクラウド環境まで侵害され、業務停止や情報流出、取引先を含む広範なサービスへの影響が生じました。

保険業界における情報漏えい報告

2025年は、保険会社や代理店、保険事故調査会社においてサプライチェーンを起因とする情報漏えいが相次ぎ、保険業界全体でセキュリティ意識と管理体制の見直しが急速に進んだ年となりました。
上半期は保険会社において自社システムに対して第三者からの不正アクセスによるサイバー攻撃があり、顧客情報などを含む、合計約1740万件の情報漏えいの可能性を公表しました。保険代理店においてはランサムウェア被害により、顧客情報などを含む、約510万件の情報漏えいの可能性を公表しました。攻撃はネットワーク機器経由で侵入し、ファイルの暗号化や情報流出の可能性が確認されました。また、下半期は保険調査会社が第三者によるサイバー攻撃を受け、一部サーバー内のファイルがランサムウェアにより暗号化される被害を受け、委託元の個人情報を含む情報漏えいを公表しています。


サプライチェーンリスクや保険業界の動向と規制強化の流れについては、下記レポートにて取り上げていますので、ご参照ください。
サプライチェーンリスクの可視化：国内インシデント集計データから分析

学校・教育機関に関連するインシデント

2023年から2025年の国内組織における情報漏えい等にかかるセキュリティインシデントの中から、学校・教育機関に関連するインシデントにフォーカスして集計しました【図3】。

学校・教育機関に関連するインシデントの総数も集計以来過去最多を更新しており、昨年から倍増していました。
中でも、「マルウェア感染」が大幅に増加しており、こちらは2025年上半期国内セキュリティインシデント集計でも取り上げた卒業アルバム制作業務を担う2社で発生したランサムウェア被害によるインシデント報告が増加要因となります。
卒業アルバム制作および印刷業を担う企業においては、クラウドシステムが委託先による機器交換時の設定不備で生じた脆弱性を突かれ不正アクセスを受け、約7万件の画像や氏名が外部閲覧された可能性が判明しました。加えて、保管期限を過ぎたデータ削除が徹底されておらず、委託管理とデータ管理体制の不備が被害拡大の原因となりました。
また、別の卒業アルバム制作事業者においては、VPN機器の認証情報漏えいや脆弱性を突かれて不正侵入を許し、共通認証基盤を経由して制作サーバまで侵害されるランサムウェア被害を受けました。ネットワーク分離やVPN・認証管理の不備が原因となり、大規模な個人情報漏洩の可能性が生じました。
このことから、業務委託先が起因となったインシデントは企業だけでなく、学校・教育機関にも影響が及んでおり、学校・教育機関と業務委託先を含めた企業の双方に共通するセキュリティ対策として、重要な個人情報や機密データといった情報資産の適切な管理と保護などの包括的なアプローチが重要となります。

まとめ

本レポートの集計から、2025年の国内セキュリティインシデントは集計以来過去最多を更新し、被害の中心は不正アクセスやランサムウェア、サプライチェーンを起点とした波及型インシデントへと広がっていることが明らかになりました。こうした背景には、インフォスティーラー（情報窃取型マルウェア）などによってID・パスワード等の認証情報や認可情報が窃取され、それらが不正アクセスやランサムウェア攻撃の起点として悪用されている可能性が考えられます。不正アクセスやランサムウェア被害は、こうして窃取された認証情報を足がかりに、システムの設定不備や認証管理の甘さといった「技術的な隙」を突くことで発生します。さらに、従業員や委託先アカウントといった「人」を起点に被害が拡大し、サプライチェーン全体へと波及するケースも見られます。なお、インフォスティーラー（情報窃取型マルウェア）とランサムウェア侵入との関係については、下記レポートでも詳しく取り上げていますので、あわせてご参照ください。
ランサム侵入原因の34%が認証情報、メールとWebから忍び寄るインフォスティーラーとの関係

こうした状況に対し、インフォスティーラーなどの情報窃取型マルウェアへの対策としては、まずWebやメールといった主要な侵入経路において不正な通信や悪意あるファイルを入口段階で遮断することが重要です。これにより、マルウェアの侵入や認証情報の窃取を未然に防ぐことが可能となります。
加えて、万一侵害が発生した場合でも被害を最小限に抑えるためには、重要情報そのものに暗号化や利用制御を施し、正規の利用者・用途以外では閲覧や持ち出しができない状態を維持することが求められます。そのため、ファイル単位での暗号化や権限管理、利用状況の可視化を実現するIRM製品を導入することが有効となります。
さらに、SSL-VPNなどのリモートアクセスを起点とした侵入や権限悪用が増加する中では、従来のネットワーク境界防御に依存するのではなく、ネットワークの内外を問わず、利用者や端末の正当性を都度検証したうえでアクセスを許可するアプローチが重要となります。ZTNA（Zero Trust Network Access）の概念に基づき、最小権限でのアクセス制御を徹底することで、入口段階での不正侵入や不正な横展開を抑止することが不可欠です。こうしたセキュリティ対策を組み合わせて、「システム・人・サプライチェーン」を横断した実効性の高いセキュリティ体制を構築することが、今後ますます重要になるでしょう。