2025年セキュリティインシデントランキング【上半期の最新事例からサイバー攻撃対策を学ぶ】
index
2025/7/4
サイバー攻撃が高度化・過激化して久しい昨今、2025年も様々な攻撃が断続的に企業・組織を襲っています。警察庁によれば2024年度のサイバー犯罪検挙件数が13,164件に上り、10年連続で増加中です。(✳︎)近年ではリモートワークで活用するVPN接続の脆弱性を突く攻撃や、最新の生成AI技術を悪用した攻撃といったように、社会変容とともにサイバー攻撃も変化・進化しています。
✳︎参照令和6年におけるサイバー空間をめぐる脅威の情勢等について
今回は「2025年セキュリティインシデントランキング【上半期の最新事例からサイバー攻撃対策を学ぶ】」と題して、日本企業を襲った最新のサイバー攻撃の中でも被害規模が大きいものを紹介します。掲載している被害事例を参考に、自社のセキュリティ対策を振り返ってみるのがおすすめです。
昨年2024年度版のセキュリティインシデントランキングはこちらの記事を参照ください。
セキュリティインシデントとは?
インシデント(incident)とは、一般的に「事件」「事案」「出来事」などを意味しますが、ビジネスシーンにおいては「企業の信頼性が失われる事象」を指します。代表的なインシデントとしては以下のようなものがあり、セキュリティインシデントもいくつか種類のあるインシデントの中の一つです。
| IT・システム系インシデント | サーバーダウンやシステム障害、サイバー攻撃 |
|---|---|
| セキュリティインシデント | 個人情報・機密情報の漏えい |
| 人的インシデント | 職場トラブルや安全に関する事故 |
| オペレーション系インシデント | 納品ミスやコンプライアンス違反 |
| 法務・契約系インシデント | 規制違反や契約違反・誤認 |
今回取り扱うのはセキュリティインシデント及びIT・システム系インシデントで、2025年上半期(1月~6月)に起きたサイバー攻撃と、それに伴う情報漏えい・システム障害などをランキング形式でまとめています。
2025年セキュリティインシデント被害ランキング(上半期)
2025年上半期はどのようなセキュリティインシデントがあったのでしょうか。多種多様なインシデント事例について、【情報漏えい件数】と【業務影響度】の2つのランキングに分けて振り返ります。
2025年セキュリティインシデント【情報漏えい件数】ワースト5
まずは情報漏えい件数やその被害規模順のランキングです。「情報漏えい」はセキュリティインシデントの代表的な被害の一つで、例年と変わらず2025年も業界問わず頻発しました。ここで紹介している事例は以下5つになります。
| 順位 | 企業 | 情報漏えい件数 | 原因 |
|---|---|---|---|
| 1位 | 保険ショップ大手A社 | 510万件 | ランサムウェア |
| 2位 | 人気テーマパーク運営元B社 | 200万件 | ランサムウェア |
| 3位 | PRテック企業C社 | 90万件 | 不正アクセス |
| 4位 | 専門小売店チェーンD社 | 12万件 | 不正アクセス |
| 5位 | 大手損害保険会社E社 | 7.5万件 | サプライチェーン攻撃 |
保険ショップ大手A社(510万件)
2025年4月末、保険ショップ大手A社がランサムウェア攻撃による個人情報漏えいの可能性を発表しました。漏えい件数はおよそ510万件にも及び、保険契約者の氏名・住所・電話番号などが外部に流出した可能性があるとのことです。2月16日の漏えい発覚後、社内で関連サーバをネットワークから切り離すなどの対策を講じており、4月末時点では顧客情報が外部に公開された事実は確認されていません。
保険業界は多数の金融情報を抱えているため攻撃の標的にされやすく、とりわけデータを多く抱えるA社は狙われやすかったと想定できます。ビジネス上の関係先(サプライヤー)が多岐にわたることも、サプライチェーン攻撃などのきっかけにつながりやすく注意が必要です。
また、A社のように事業規模の大きい企業やグローバル企業の場合、一度インシデントが起こると原因・現状調査にかなりのリソースを割く必要が発生します。インシデントに備えて自社にどのようなセキュリティ課題があるのかを事前リサーチしたうえで、適切なセキュリティ対策を事前に打ち出すことが大切です。特に地方拠点・海外拠点のセキュリティ対策は大手企業でも手薄になりがちなため、IT環境がブラックボックス化して、日本本社にも影響を及ぼす状態になっているかもしれません。
人気テーマパーク運営元B社(200万件)
2025年2月7日、都内有数の人気テーマパークを運営するB社が、1月にランサムウェア攻撃を受けて最大200万件の個人情報が外部漏えいした可能性があると発表しました。漏えいした情報には年間パスポート購入者の氏名・電話番号・メールアドレスといった情報のほか、従業員・取引先の契約情報が含まれています。
また、詳しい関連性は不明ですが、1月21日には不正アクセスによるシステム障害が発生し、テーマパークの来場予約などが利用できない状況となっていました。繰り返されるインシデントに、B社は強固なセキュリティ体制の構築を迫られています。
PRテック企業C社(90万件)
企業の広報・PR活動支援プラットフォームを提供しているC社は、2025年4月24日にサイバー攻撃と情報漏えいの可能性を発表しました。漏えいした情報は最大90万件で、企業ユーザ・メディアユーザ・個人ユーザなど様々な顧客情報が含まれています。C社では複数情報の認証システムを採用していたものの、経緯不明のIPアドレスが侵入経路に使われていたとされています。
インシデント対策として、管理システムのアクセス許可IPアドレスを社内接続とVPN接続のみに制限していますが、近年ではVPN(境界型アクセス制御)の脆弱性を狙った攻撃も増加しているため十分な対策とはいえません。「ゼロトラスト」など最新且つ強固なセキュリティ体制を構築する必要があるでしょう。
参考:ゼロトラストネットワークアクセス(ZTNA)とVPNの違いとは? ―進む 脱VPN の背景、メリットも解説
専門小売店チェーンD社(12万件)
2025年1月27日、人気専門小売店チェーンを運営するD社が、ユーザへ提供している公式アプリのシステムが不正アクセスを受けたことで、一部の登録ユーザの個人情報が漏えいしたと発表しました。漏えいした情報は12万件、会員登録として登録されていた氏名・住所・電話番号などを含んでいます。
昨年11月頃から複数回の不正アクセスを確認しており、今回のインシデントはアプリの脆弱性を狙われたものによるとのこと。Ⅾ社は対策強化と監視体制強化、そして利用者への呼びかけなどの対応を実施しています。
大手損害保険会社E社(7.5万件)
大手損害保険会社E社は、2025年5月1日にサイバー攻撃に伴う顧客情報流出の可能性を発表しました。被害が起きたのは2024年5月で、これまででおよそ7万5,000件の顧客情報が流出した恐れがあるそうです。
サイバー攻撃を受けたのはE社の業務委託先である運送会社で、本事案は関連企業経由で自社グループが被害を受ける所謂「サプライチェーン攻撃」に当たります。本件に代表されるように、サプライヤー経由で自社グループ全体にインシデントが及ぶ事例は数多く、サプライヤー含めたセキュリティガバナンスの徹底が望まれます。特にグローバル企業や大手企業はサプライチェーン攻撃の標的にされやすいため、情報セキュリティガバナンスを徹底することがおすすめです。
参考:情報セキュリティガバナンスとは?実践方法とグローバル展開における重要性
2025年セキュリティインシデント【業務影響度】ワースト5
続きまして、サイバー攻撃による業務への影響にフォーカスしてランキングにしています。紹介しているのは一定期間業務の停止や臨時の顧客対応といった、以下のようにいずれも業務に深刻なダメージを与えたものばかりです。
| 順位 | 企業 | 業務への影響 | 原因 |
|---|---|---|---|
| 1位 | 大手航空会社F社 | 国内線・国際線の運航遅延 | DDos攻撃 |
| 2位 | 地域密着型スーパーマーケットチェーンG社 | 全23店舗臨時休業 | ランサムウェア |
| 3位 | バイオテクノロジー企業H社 | 資金流出 | アカウント乗っ取り |
| 4位 | マンモス学校I大学 | Webサイトシステム利用不可 | ランサムウェア |
| 5位 | 地元密着型建築会社J社 | 顧客対応の遅れ&手動対応 | ランサムウェア |
大手航空会社F社(国内線・国際線の運航遅延)
帰省や旅行シーズンである年末年始に、大手航空会社F社がサーバー攻撃(DDos攻撃)によるシステム障害を発表しました。「DDos攻撃」は企業のサーバーに大量のデータを送り付け、システムの機能を低下させるサーバー攻撃の一つです。
本件は利用者が増える年末年始を狙った犯行であり、これまで本件のほかにも注目を集める目的からイベントの時期を狙ったものと考えられます。羽田空港では手荷物を預ける手続きやチェックインなどで遅れが発生し、F社だけでなくその利用者に多大な影響を及ぼしました。
地域密着型スーパーマーケットチェーンG社(全23店舗臨時休業)
九州で地元密着型スーパーマーケットを運営するG社が、2025年3月31日にサイバー攻撃被害を発表しました。グループの一部サーバーがサイバー攻撃を受け、システム障害が発生したため臨時休業に追い込まれました。
POS(販売時点情報管理)システムが使用不可となり、これにより商品の受発注・売上集計などが実行できないため、全23店舗の休業を余儀なくされました。なお、4月1日から営業を再開したものの、クレジットカードなどの一部決済サービスやポイント付与はそれ以降も利用できていません。攻撃の種類はランサムウェアでしたが、対象サーバーには個人情報を保存しておらず漏えいは確認されていません。
バイオテクノロジー企業H社(資金流出)
2025年1月6日、医薬品開発を手がけるバイオテクノロジー企業のH社が、メールアカウント乗っ取りを起因とする資金流出を発表しました。製造委託先の担当者のメールアカウントが乗っ取られ、請求書記載の虚偽の銀行口座へ送金したことで資金流出に至りました。保険会社による一定額の補償なども勘案した結果、H社の最終的な被害は90,000米ドル(2025年6月末現在で1,300万円相当)に収まっています。
こういった詐欺被害の対策として、アカウント利用に際して多要素認証の実施や、業務プロセス整備・ガバナンスの徹底がおすすめです。特に多要素認証は高度化するサイバー攻撃に対応するための基本的な手段のため、本件の二の舞にならないようにぜひ自社にも導入・運用してください。下記記事では多要素認証について解説していますので、現在検討している企業担当者の方はぜひご一読ください。
参考:ゼロトラストとMFA(多要素認証)・SSO(シングル・サインオン)の関係
マンモス学校I大学(Webサイトシステム利用不可)
全国にキャンパスを構えるマンモス学校I大学が、2025年4月17日に不正アクセスを受け、ランサムウェアに感染しました。ランサムウェア感染確認後にネットワークとの接続を遮断したものの、複数のWebサイトのシステムが利用できなくなりました。被害範囲が広範に及んでおり、I大学はすべての調査・復旧に一か月以上の期間がかかると発表しています。
教育機関・研究機関は学生らの個人情報を多数抱えるだけでなく、ガバナンスを徹底しにくいという特徴があり、サイバー攻撃のターゲットにされやすいため注意が必要です。セキュリティサービスを提供しているIIJにも、2025年に入ってから教育機関からの問い合わせやアクセスが増加しており、教育業界全体として危機感が高まっていることを感じています。
参考:学校・教育機関の情報漏えい対策に必須の「教育情報セキュリティポリシーに関するガイドライン」とは?
地元密着型建築会社J社(顧客対応の遅れ&手動対応)
中部地方で事業を展開している建築会社J社が、2025年1月27日に不正アクセス及びランサムウェア感染を発表しました。被害拡大を防ぐ目的から社内ネットワークを遮断し、状況確認・調整を実施。ネットワーク環境でこなしていた業務の手動・ローカルへの切り替えや、復旧作業の優先による顧客対応への遅れが生じたとされます。
サイバー攻撃は直接的に見舞われる被害のほか、被害拡大防止に伴う業務への影響も甚大です。これらはビジネスチャンスを逃す要因にもなりうるため、前もってセキュリティ施策を実行しておきましょう。
2025年セキュリティインシデントの傾向と対策
最後に2025年上半期のセキュリティインシデントの傾向をまとめます。近年被害件数が増加中のランサムウェア攻撃・サプライチェーン攻撃に加えて、2025年はAIを活用した攻撃も目立ってきました。最新のサイバー攻撃の動向を掴んで、ぜひ自社のセキュリティ対策に活用してください。
【医療などインフラ企業が標的!】ランサムウェア攻撃
近年増加傾向にあるのがランサムウェア攻撃です。攻撃によって業務停止・個人情報窃取に追い込まれ、それらの解消と引きかえに身代金を要求するのが常套手段です。社会的に重要な役割を担っている組織や、多数の機密情報を抱えている企業が特に狙われやすくなっています。
特に医療業界をはじめ地域社会を担うインフラ関連の企業は、業務を長期間停止することが難しく、攻撃者の身代金要求に応じるかどうか迷うことでしょう。下記の記事では「なぜ医療機関はサイバー攻撃に狙われやすいのか?」をテーマに、深刻な現状と背景、そして対策案について解説していますのでぜひご一読ください。
参考:医療機関はなぜ狙われるのか?~サイバー攻撃被害の事例と、効果的なセキュリティ対策を解説
【ガバナンスの徹底がポイント】サプライチェーン攻撃
ランサムウェア攻撃とともに急増中なのが、自社のみならず関連企業・取引先なども巻き込むサプライチェーン攻撃です。自社グループに強固なセキュリティ体制を構築していても、取引先やパートナー企業の脆弱なネットワークから侵入され、グループ内外が被害を受けるというのがサプライチェーン攻撃の特徴です。
例えば、ランキングで紹介した「大手損害保険会社E社」が受けたのがサプライチェーン攻撃であり、主な対策はサプライヤー含めたセキュリティガバナンスの徹底です。ガバナンスを徹底し、それに沿うように「ゼロトラスト」や「SASE」といったセキュリティ体制を構築していくのがおすすめです。
参考:SASEとは? ゼロトラストネットワークアクセス(ZTNA)とどう違い、どのような機能があるのか
【今後トレンドになるかも?】AIを悪用した攻撃
近年、様々なシーンで活用されているAI技術は、サイバー攻撃の新しい手段の一つとして悪用され始めています。特にフィッシング詐欺やディープフェイクのなりすまし、そしてマルウェアといった形で、AIは企業攻撃に悪用されています。
例えば、イギリスのコンサルティング会社が詐欺グループにディープフェイク攻撃を受けたことは大きな話題になりました。被害金額は合計2億香港ドル(2025年6月末時点、日本円で約37億円)で、ディープフェイクの詐欺事件としては世界最大級です。詐欺グループはAIを悪用して企業のCFO(最高財務責任者)になりすましており、AIによって攻撃も高度化しているといえます。
幸いにも日本ではAIの悪用による大規模な被害は報道されていませんが、これから海外同様にAI悪用による被害が頻発するかもしれません。自社が被害に巻き込まれる前に最新動向をチェックし、適切なセキュリティ対策を練っておく必要があります。
2025年セキュリティインシデント対策でマストツールとは?
今回は2025年上半期に発生したセキュリティインシデントをランキング形式で紹介しました。IIJ編集部のリサーチを通して、定番のランサムウェア攻撃から急増中のサプライチェーン攻撃まで、様々な企業に狙いを定めて多様なサイバー攻撃を行っていることがわかっていただけたかと思います。
IIJではセキュリティ対策を実施するために必要な様々な調査ソリューションを提供しています。中でも「IIJグローバルオンサイトサーベイソリューション」は、世界各国のお客様拠点のIT環境をオンサイト調査し、セキュリティリスクを評価するサービスです。グローバル企業が抱える拠点ごとのIT環境の課題やリスクを、調査により可視化することで、取るべき次のアクションを明確化します。
自社のセキュリティ体制に少しでも不安な面がある場合や、これからのセキュリティインシデントに対応するための情報整理にお役立てください。
