#1009 2025 年は過去最多を更新 ～ デジタルアーツ、過去 3 年分の国内セキュリティインシデントを集計

今回ご紹介するのは、日本のサイバーセキュリティの現状を浮き彫りにする最新のレポートです。2025年、私たちの国で発生したセキュリティインシデントの件数が、過去最多を更新したことが明らかになりました。攻撃の手口として何が最も多かったのか、そして保険業界や教育現場といった身近な場所でどのような被害が広がっているのか。このデータを読み解くことで、組織が直面している脅威の傾向と、サプライチェーン管理の重要性について深く理解することができます。ただ怖がるのではなく、実態を知り、次の対策へつなげるための情報をしっかりとお届けします。

このレポートは、2023年から2025年にかけて国内組織で発生した情報漏えいなどのインシデントを、公表された報告書や報道を基に独自集計したものです。最大のポイントは、2025年のインシデント総数が1,782件に達し、前年の1,344件を大きく上回って過去最多となったことです。その内訳を見ると、「不正アクセス」が782件で全体の約4割を占め、依然として最大の脅威となっています。また、下半期には大手企業でのランサムウェア被害によるシステム障害や、業務委託先からの情報漏えいが目立ち、特に保険業界や教育機関において、サプライチェーン全体に波及する深刻な事態が報告されています。

不正アクセスとは、本来アクセス権限を持たない第三者が、システムやネットワークに侵入する行為全般を指します。具体的には、盗み出したIDやパスワードを使って正規の利用者になりすましてログインしたり、ソフトウェアの不具合である「脆弱性」を悪用して裏口から侵入したりするケースが含まれます。今回のレポートでこれが全体の約4割を占めているという事実は、基本的なパスワード管理の徹底や、システムのセキュリティ更新プログラムを迅速に適用することの重要性が、依然として極めて高いことを示しています。

攻撃手法の高度化と、デジタル化の進展による攻撃対象の拡大が背景にあります。企業がDXを推進し、多くの情報資産をネットワーク上で管理するようになったことで、攻撃者にとっての「狙い目」が増えています。また、ランサムウェア攻撃において、単にデータを暗号化するだけでなく、盗み出した情報を公開すると脅迫する手口が一般的になり、企業側が被害を公表せざるを得ない状況が増えていることも、統計上の件数を押し上げている要因の一つと考えられます。隠しきれない被害が増えているのです。

保険業界では、顧客情報を大量に扱うため被害の影響が甚大になりがちです。レポートでは、損害保険ジャパン株式会社が自社システムへの不正アクセスを受け、約1,740万件もの情報漏えいの可能性を公表した事例が挙げられています。また、株式会社保険見直し本舗グループではランサムウェア被害により、約510万件の情報がリスクに晒されました。これらは、強固なセキュリティが求められる金融関連企業であっても、巧妙な攻撃の前では大規模な情報流出を防ぐことが難しいという、厳しい現実を突きつけています。

これは直接学校が攻撃されたというよりも、業務委託先が狙われた「サプライチェーン攻撃」の典型例です。卒業アルバムの制作を請け負う印刷会社などがランサムウェアの被害に遭い、そこから学校側が生徒の写真データなどを預けていたために、情報漏えいの懸念が生じました。教育現場自体セキュリティ対策を行っていても、委託先のセキュリティレベルが低ければ、そこが弱点となって大切な個人情報が漏れてしまうのです。委託先の管理がいかに重要かを示す事例と言えます。

もはや「侵入を完全に防ぐことは難しい」という前提に立つ必要があります。これを「ゼロトラスト」や「侵入前提」の考え方と言いますが、万が一不正アクセスを許しても、早期に検知して被害を最小限に抑える体制づくりが急務です。また、今回のレポートで浮き彫りになったように、自社だけでなく、取引先や委託先も含めたサプライチェーン全体のセキュリティリスクを洗い出し、定期的に監査や対策状況の確認を行うことが、組織を守るための必須条件となっていくでしょう。