2025年、国内セキュリティ事件12事例を全検証 なぜあの企業の防御は突破されたのか？：2025年のインシデントを振り返る

2025年はアスクルやアサヒへの攻撃をはじめ、幅広い業種で深刻なサイバー被害が相次いだ。主な原因は脆弱性の放置や海外拠点の管理不備、多要素認証の未導入にあり、サプライチェーンを介した二次被害も深刻化した。脆弱性管理の徹底や特権IDの厳格化など、包括的な防御体制の構築が急務だ。

[畑陽一郎，キーマンズネット]

　2025年は、アスクルやアサヒホールディングス（以下、アサヒ）への大規模なランサムウェア攻撃をはじめ、企業の事業継続を脅かすサイバーインシデントが相次いだ1年だった。被害は単一の企業にとどまらず、取引先や顧客へと波及し、サイバーリスクが経営上の重要課題であることを改めて浮き彫りにした。本稿では、2025年に国内で発生した12件のセキュリティインシデントとその被害状況を整理し、そこから見えてきた課題を解説する。

国内12事例の失敗学、なぜあの企業の防御は破られたのか？

　2025年9月以降に発生したアスクルとアサヒのセキュリティインシデントは大きな注目を集めたが、企業を狙ったサイバー攻撃はそれだけではない。被害は多様な業界に広がっている。本稿では注目事例以外のインシデントについても掘り下げ、2025年に起きたセキュリティ事故の詳細と原因について、金融業や製造業、小売業、食品業界など業界別に整理する。

　以下では業種別に被害が大きかった事例を中心に紹介する。まずは金融業だ。金融庁の監督があること、2014年には金融ISACが設立されており、サイバーセキュリティ脅威に関する情報を400社以上が共有・分析できていることなどから金融業はサイバーセキュリティにおいて最も先進的だと言われている。

　それにもかかわらず事件は起きてしまった。

証券10社の顧客口座が侵害

　2025年1〜5月には主要な証券会社のうち10社程度の顧客口座が相次いで侵害されて、巨額の不正取引が起きてしまった。2025年6月になって金融庁が被害状況を公開している。

　被害の規模は最大級だ。不正取引の総額は約5240億円で、被害件数は約5958件と巨大で、社会的信用の低下はもちろん、証券会社各社は多額の補償対応を迫られた。

　この事例ではクレデンシャルスタッフィングとフィッシングを使って、顧客がログイン時に使う認証情報を得た。他のWebサイトで漏えいしたIDやパスワードの使い回しが、今回の悪用につながった。証券会社側は顧客用フロントエンドシステムに侵入され、社内の基幹システムへの侵入はないが、顧客の資産が不正な売買や送金に悪用されたことが大きい。

　この事例から分かることは対顧客でWebによる取り引きを進めている企業は認証プロセスを強化しなければならないということだ。証券会社各社も顧客への多要素認証を義務化した他、普段と異なるIPやWebブラウザを使った不自然なログインの検知やブロックを強化した。

個人情報が大量流出した損害保険ジャパン

　個人情報の大量流出を招いた事例としては損害保険ジャパンの事例が挙がる。

　2025年4月に同社が被害に遭ったことを公開し、2025年6月に被害範囲の拡大を公表した。被害の規模は極めて大きく、氏名と連絡先、証券番号がそろった個人情報約337万件以上が外部から閲覧可能だった可能性があった。この他を含めると最大1700万件以上が漏えいした可能性がある。このため金融庁の行政指導の対象となり、社会的信用が大幅に低下したと言われている。

　サイバー攻撃の種類は標的型攻撃だ。外部に公開されているサーバの脆弱（ぜいじゃく）性、または不正に入手された管理者の認証情報が狙われた。特定の業務サーバから、本来アクセス権限がないはずのバックアップデータが格納されたストレージ領域まで攻撃が進行したことで情報漏えいを招いた。

　この事例から分かることは、計画的な脆弱性診断とパッチ適用が欠かせないことと、情報漏えいに備えてデータを暗号化すること、特権IDをいつどこで使ったのかをリアルタイムで監視したり、制御したりしなければならないことだ。

金融機関が使う機器へサプライチェーン攻撃

　少し毛色が違う攻撃もあった。金融機関を狙ったサプライチェーン攻撃だ。金融機関では紙幣や硬貨の計数、選別、収納などのために高さ1m程度の専用機器を利用している。この分野では企業としてローレルバンクマシンのシェアが最も高く、数万台が窓口やバックオフィスで使われている。ここを狙われた。

　2025年9月にローレルバンクマシンのデータ保存用サーバが狙われた。クラウドサービス「Jijilla」の脆弱性を突いた不正アクセスだった。このとき、身代金も要求されている。この攻撃で委託先のデータが流出して二次被害が広がり、2025年11月以降、同社のAI-OCRサービスなどを利用していたみずほ証券や丸三証券、第一フロンティア生命保険など多数の金融機関の顧客情報が漏えいした。

　この事例から分かることは自社のセキュリティだけでなく、委託先のセキュリティを監査しなければならないこと、もう一つ、クラウドサービスの設定ミスを検知するCSPM（クラウドセキュリティ体制管理）を導入しなければならないことだ。

「製造ラインが止まる」では済まない、国内メーカー2社の流出事案

　次は製造業だ。ものづくり日本を支える製造業は全国に34万社もある。攻撃側としては製造ラインを1つ止めるだけで損失が発生するため身代金を要求しやすく、設計図や技術データを盗み出すことでも金銭を獲得できる。また、ITと比べてOT（運用技術）システムのセキュリティ対策が遅れており、レガシーシステムが多数残っているにもかかわらず、不用意なDXでITとOTの連携が増えて攻撃面が拡大していることだ。アサヒの事例もここに含まれる。

Tier1の矢崎総業が狙われた

　日本の製造業の2割を占めるのが自動車産業だ。機密データを狙う攻撃は自動車産業も狙ってきた。

　被害に遭ったのは矢崎総業だ。同社は自動車産業でTier1サプライヤーの位置にあり、自動車メーカーにワイヤーハーネスや計器などを直接供給している。

　同社を狙った二重脅迫型のランサムウェア攻撃は2025年7月ごろに始まり、身代金1000万ドルが要求されたという。2025年12月には攻撃者がダークWebで350GBの機密データを盗み出したと宣言した。このデータには設計図や取引先情報、契約書などが含まれると攻撃者は主張しており、自動車メーカーへの部品供給遅延があるのではないかと不安を呼んでいる。

　この攻撃では公式には不正な第三者がネットワークにアクセスしたとされている。ただし、攻撃者（INC Ransom）の過去の攻撃パターンから、同社の海外拠点のVPN機器の脆弱性が悪用されたか、または流出した認証情報が使われたと考えられている。攻撃は海外拠点から始まり、国内の基幹システムへ侵入して、一部のファイルサーバを暗号化した他、全社的なバックオフィス業務にまで影響が広がった。

　この事例から分かることは損害保険ジャパンの事例と同様に、計画的な脆弱性診断とパッチ適用が必要なこと、海外を含む全拠点で多要素認証を義務化しなければならないこと、拠点間ネットワークを分離してマイクロセグメンテーション化しなければならないことだ。

エンジン部品の美濃工業も狙われた

　Tier1メーカーに部品を納入するTier2メーカーも狙われている。エンジンなどに使うアルミダイカスト部品に強みがある美濃工業が大規模なランサムウェア攻撃を受けた。

　2025年10月4日に攻撃に遭ったことが公開された。全体像が徐々に明らかになる中で、300GB以上のデータが流出し、ダークWebに顧客情報が掲載されてしまった。同時に出荷や受発注業務が遅延した。

　この攻撃では社員用のVPNアカウントを悪用して、正規のIDとパスワードで突破した。侵入からわずか1時間で管理者権限を奪取されてしまい、その後数日かけて社内を横展開して、サーバを初期化したりファイルを暗号化したりした。

　この攻撃から分かることは、多要素認証の導入が欠かせないこと、不審なログインを監視しなければならないことだ。

なぜEDRは止められ、バックアップは消されたのか？　小売業の被害事例

　日本で最も企業の数が多いのは小売業だ。全企業の7社に1社が小売業だ。小売業でもサイバー攻撃が目立った。

アスクルへの攻撃は他社にも波及した

　アスクルへのサイバー攻撃は日本の物流インフラを揺るがす甚大な被害をもたらした。同社は全国に翌日配送が可能な物流網に強みがある。これが物流インフラに多大な影響を与える下地になった。

　ランサムウェア攻撃が起きたことが分かったのは2025年10月19日だ。2025年12月時点でも完全な復旧には至っていない。このため2025年11月度の売上高は、法人向けサービスで前年同月比95％減という大打撃を受けた。加えて合計で約73万9000件の情報漏えいが確認されている。漏えい内容は顧客からの問い合わせ内容が中心だ。同社への攻撃の影響が大きくなったのは他社の物流を受託していたからだ。無印良品やロフト、そごう、西武百貨店、ネスレ日本などに影響が波及した。他社のオンライン注文や出荷の遅延や停止を招いた。

　アスクルへの攻撃は、業務委託先の管理アカウント奪取から始まった。多要素認証が導入されていなかった業務委託先の管理者アカウントが突破口となった。IDとパスワードが何らかの形で漏えい、悪用されたことが侵入の原因だと推定されている。その後ランサムウェア攻撃が始まった。単一のマルウェアではなく、検知を逃れるために複数種類が組み合わされて使用された。侵入後、攻撃者はネットワーク内を横移動して、より高い権限を奪取した。その後、管理者権限を悪用して同社で導入されていたEDRなどのセキュリティソフトを強制的に停止させた。システム復旧を困難にするために、ネットワーク接続されていたバックアップデータも削除・暗号化された。データを暗号化するだけでなく、情報を盗み出して公開すると脅す二重脅迫が実行されて攻撃グループが犯行声明を出している。

　つまりアスクルへの攻撃は今回取り上げたさまざまな事例の中でも特に悪質だったことになる。この攻撃から分かることは、多要素認証を導入するときに例外を設けてはいけないということだ。EDRの抜け漏れも怖い。バックアップを取る場合にイミュータブル（不変）でなければならないということだ。攻撃者が削除できない隔離された環境や、書き換え不能な形式でバックアップを保存する必要がある。加えて特権IDの管理を強化して使用を厳格に制限し、常用させない運用が求められる。

駿河屋のECサイトが改ざんされた

　小売業を狙う特徴的な攻撃手法はECサイトの改ざんだ。偽のECサイトを立ち上げ、購入者が自分の情報を入力することを狙う＊

IPAが2025年6月に公開した「情報セキュリティ10大脅威2025個人編」でも「ウェブスキミング　ECサイト（ショッピングサイト）の脆弱性を悪用し正規Webサイトの決済画面を改ざんする。利用者が改ざんされた決済画面にクレジットカード情報を入力してしまうと攻撃者にその情報を詐取される」と解説している。

　この手法で被害を受けたのが全国で140店舗以上を展開し、中古品の買い取り、販売に強みがある駿河屋だ。

　同社は2025年7月23日に侵害を検知後、同年8月4日に決済ページの改ざんが発覚、同日中に決済システムを修正した。2万9932人分の個人情報と3万431件のクレジットカード情報が漏えいした可能性がある。約4カ月にわたってカード決済機能が停止したため、売上が減少し、社会的信用が低下した。

　攻撃の手法はJavaScript改ざんによるWebスキミングだ。同社の監視ツールには脆弱性があった。社外からサーバを管理・監視するための監視ツールに残っていた欠陥を突かれた。この監視ツール経由でWebサーバに侵入されて、決済画面のプログラムが書き換えられて、購入者のクレジットカード情報などの入力データが外部に自動送信される設定になっていた。

　この攻撃では検知から対策完了まで数週間のタイムラグがあり、その間も情報が盗まれ続けた。対策としてはこのような監視ツールを含む管理用ソフトウェアを最新の状態に保つこと、Webサイト向けのファイル改ざん検知システムを導入すること、WAF（Webアプリケーションファイアウォール）を導入することだ。

スーパー全店舗が臨時休業に

　ECサイトとは無関係に、小売店が狙われた事例もある。大分県内で23店舗を構える中規模スーパーのトキハインダストリーだ。

　2025年3月31日にランサムウェア攻撃が発覚し、全店舗が臨時休業に追い込まれた。幸いにも2025年4月1日には営業を再開できた。

　この攻撃では同社グループ共通のサーバの脆弱性を悪用されたか、または認証情報を窃取されたことでサイバー攻撃を招いた。店舗のレジと連携するシステムがダウンしてしまい、決済システムが動かず店舗の営業ができなくなった。

　この攻撃から分かることは、バックアップのオフライン保管（加えてイミュータブルバックアップを導入すること）が欠かせないこと、店舗ネットワークと基幹ネットワークを論理的に分離すること、BCP（事業継続計画）にランサムウェア攻撃を含めることだ。

アサヒビールが店頭から消えた

　食料品業界の事例では、アサヒへのサイバー攻撃が2025年では最大だ。国内の飲料・食品インフラに極めて大きな影響を及ぼした。アサヒスーパードライなどの出荷が止まり、店頭在庫がなくなって「アサヒの××の入荷は未定です」という張り紙があちこちで目立ったほどだ。完全な正常化は2026年2月を予定している。

　2025年9月29日ごろ、まず同社でシステム障害が発生した。調査する中でファイルが暗号化されていることを確認したため、同日に被害拡大防止のためネットワークを遮断した。なお、攻撃者は侵入直後に暗号化を実行せずに約10日間潜伏していたことも分かっている。

　攻撃された原因はグループ拠点のネットワーク機器の脆弱性にあった。攻撃者はここからグループのデータセンターのネットワークへ入り込み、脆弱な認証情報を悪用して管理者権限を奪取したと分析されている。その後、認証サーバからランサムウェアを配信して、稼働中の複数のサーバとPCを一斉に暗号化した。これによって受注や出荷、在庫管理、メール、コールセンターなどの業務が全面的に停止した。国内の主要なビール工場・飲料工場での生産・出荷システムも停止した。

　この他、約150万件の個人情報が流出した可能性があると発表された。

　この事例から分かることは、ネットワーク機器の脆弱性管理が重要だということだ。本社だけでなく、拠点の機器を含めて計画的な脆弱性管理とパッチ適用が必要であり、サポートが終了した機器を使い続けないことも必要だ。多要素認証の全面導入も必要だ。それも操作の各段階で有効にしておく必要がある。ネットワークのセグメンテーションも有効だ。

止まない医療機関への攻撃　7割がCISO設置も被害止まらず

　厚生労働省が全国の医療機関8117施設を調査＊した結果によれば、医療機関のセキュリティ意識は高い。CISOを設置している病院は有効回答のうち、73％に達している。JAHIS（保健医療福祉情報システム工業会）とJIRA（日本画像医療システム工業会）が策定したドキュメント「MDS」「SDS」に基づいてベンダーのセキュリティを評価していた率も85％と高い。ただし、電子カルテシステムのバックアップも進んでいる。

＊「病院における医療情報システムのサイバーセキュリティ調査」、5842施設から回答があった。

　それでも、2025年に複数の医療機関がサイバー攻撃を受けた。

徳島大学病院が狙われた

　徳島大学病院は2025年10月19日ごろに外部からの不正アクセスを受けたことを確認し、同年12月22日に公表した。

　患者1万6945名と職員約2000人の個人情報が漏えいした可能性がある。氏名だけでなく、医療検査結果や看護キャリア支援システムのデータも含まれていた。

　攻撃対象になったのは管理サーバの脆弱性か、または認証情報の不正利用だ。外部から業務システムにアクセスされて、内部データを閲覧された。

　この事例から分かることは、インターネット公開資産の管理（ASM）を導入、強化しなければならないことと、特権IDの管理の厳格化だ。最後のとりでとして異常なデータエクスポートの監視も必要だ。

宇都宮では30万人分の個人情報が漏えいか

　2025年2月10日、栃木県の宇都宮セントラルクリニックがランサムウェア攻撃を受けたことが発覚した。同2月18日に情報漏えいの可能性を公表、2025年5月14日には通常業務を再開できた。

　最大約30万件の個人情報漏えい（氏名、生年月日、診療情報など）があった他、ITシステムの停止によって、診察や健康診断業務が大幅に制限された。

　ランサムウェアはVPN機器か、外部接続アカウントの脆弱性を狙ったと考えられている。侵入された後、院内ネットワーク全体に拡大して、診療・検査系サーバが暗号化された。電子カルテを含むシステムが広範囲に停止した他、二次被害として連携する健康保険組合へも影響が波及してしまった。

　この事例から分かることは、外部接続点に多要素認証を導入すること、不審な挙動を検知するためにEDRを導入すること、ネットワークのセグメンテーションが必要だということだ。

広島市では私用PCが原因の被害も

　職員の私用PC（BYOD）が原因になった不正アクセスの事例もある。2025年2月に公表された広島市立北部医療センター安佐市民病院の事例だ。

　このPCは院内ネットワークに接続されていた。ところがリモートアクセスツールが不明な人物によって仕込まれており、その結果、患者の情報約5000件が漏えいした可能性がある。なお、事件自体は2024年10月9日に発覚していた。

　この事例から分かることは、私物デバイスの持ち込み制限を厳格化しなければならないこと、EDRなどを用いたエンドポイントの可視化が必要なことだ。USBポートの無効化も役立つだろう。

　以上、12の国内事例から、発生したサイバー攻撃の詳細と、防ぐための方法を紹介した。

　複数の事例を横串にして考える際には、米国国立標準技術研究所（NIST）が公開した「サイバーセキュリティフレームワーク 2.0」（CSF）が役立つ。

・統治　サイバーセキュリティを事業戦略に統合
・識別　資産とリスクの把握、優先順位の決定
・防御　アクセス制御、データ保護、教育
・検知　異常の継続的監視
・対応　インシデント処理とコミュニケーション
・復旧　復旧計画と改善活動

　アスクルの事例では特定、防御、検知に課題があり、アサヒでは特定、防御だった。

　ソリューションとしては脆弱性対応や多要素認証、特権ID管理、EDR、ネットワーク分離、イミュータブルバックアップの導入があてはまる。2026年に自社が多大な影響を受けないためにも、自社の弱点を把握して強化しなければならない。