2025年 日本国内セキュリティインシデント総まとめ|主要事例と教訓
2025年に発生した日本国内の主要なサイバー攻撃・情報漏洩事件を振り返り、快活クラブ、保険見直し本舗、アサヒグループなどの事例から学ぶべき教訓を解説します。
2025年は、日本国内のセキュリティインシデント公表件数が過去最多を記録した年となりました。1月から11月までに公表されたインシデントは501件、1日あたり約1.5件のペースで発生しています。本記事では、2025年の主要なセキュリティインシデントを振り返り、そこから得られる教訓を解説します。
2025年の概況
| 指標 | 数値 |
|---|---|
| インシデント公表件数(1〜11月) | 501件 |
| 1日あたりの発生ペース | 約1.5件 |
| ランサムウェア被害公表件数 | 78件 |
| 上半期インシデント件数 | 247件(過去最多) |
攻撃タイプ別の傾向
2025年のインシデントを攻撃タイプ別に見ると、以下の順で多く発生しました:
- 不正アクセス - 最多
- ランサムウェア - 第2位
- 不正ログイン
- 公開サーバへの攻撃
- 内部犯行(内部不正)
業種別の傾向
被害を受けた業種は「製造」「サービス」「金融」の順に多く、製造業全体の約35%がランサムウェア被害を受けました。特に注目すべきは、資本金1億円未満の組織が被害の38%を占め、中小企業が依然として主要な標的となっている点です。
主要インシデント一覧
第1四半期(1月〜3月)
快活クラブ|約720万件の個人情報流出
| 項目 | 内容 |
|---|---|
| 発表日 | 2025年1月21日 |
| 被害組織 | 株式会社快活フロンティア |
| 漏洩規模 | 約720万件 |
| 漏洩情報 | 氏名、性別、住所、電話番号、生年月日 |
| 攻撃手法 | サーバへの不正アクセス |
2025年最大規模の情報漏洩事件の一つ。後の調査で、攻撃にはAIチャットボット「ChatGPT」を悪用してプログラムを作成・修正していた高校生が関与していたことが判明し、11月に警視庁に逮捕されました。生成AIを悪用したサイバー攻撃という新たな脅威が現実化した象徴的な事例です。
ハンズ|約12万件の個人情報流出
| 項目 | 内容 |
|---|---|
| 発表日 | 2025年1月27日 |
| 被害組織 | 株式会社ハンズ |
| 漏洩規模 | 約12万件 |
| 漏洩情報 | 氏名、会員番号、メールアドレス、パスワード、住所、電話番号 |
| 攻撃経路 | ハンズクラブアプリ |
ログインパスワードを含む認証情報が漏洩した可能性があり、二次被害のリスクが高い事例となりました。
大手テーマパーク運営会社|最大200万件
| 項目 | 内容 |
|---|---|
| 発表日 | 2025年2月7日 |
| 漏洩規模 | 最大200万件 |
| 攻撃手法 | ランサムウェア |
都内有数の人気テーマパークを運営する企業が、1月にランサムウェア攻撃を受け、顧客の個人情報が漏洩した可能性を公表しました。
宇都宮セントラルクリニック|最大約30万人分
| 項目 | 内容 |
|---|---|
| 発生日 | 2025年2月10日 |
| 漏洩規模 | 最大約30万人分 |
| 攻撃手法 | ランサムウェア |
| 漏洩情報 | 患者の個人情報 |
医療機関へのランサムウェア攻撃は、患者の機微な医療情報が含まれるため、特に深刻な被害となります。
NTTコミュニケーションズ|約17,891社
| 項目 | 内容 |
|---|---|
| 発見日 | 2025年2月5日 |
| 発表日 | 2025年3月5日 |
| 漏洩規模 | 17,891社 |
| 漏洩情報 | 法人顧客向けサービスの一部情報 |
| 攻撃経路 | オーダ情報流通システム |
大手通信事業者のシステムが侵害され、法人顧客の情報が漏洩した可能性がある重大な事例です。
第2四半期(4月〜6月)
保険見直し本舗グループ|約510万件
| 項目 | 内容 |
|---|---|
| 攻撃発生 | 2025年2月 |
| 発表日 | 2025年4月 |
| 漏洩規模 | 約510万件 |
| 漏洩情報 | 保険契約者の氏名、住所、電話番号など |
| 攻撃手法 | ランサムウェア |
金融・保険業界における大規模な情報漏洩事例。保険契約に関する機微な情報が含まれる可能性があり、影響は甚大です。
損害保険ジャパン|330万件以上
| 項目 | 内容 |
|---|---|
| 初報 | 2025年4月 |
| 続報 | 2025年6月 |
| 漏洩規模 | 330万件以上 |
| 攻撃手法 | 不正アクセス |
大手損害保険会社への不正アクセスにより、330万件を超える情報が漏洩した可能性があります。金融業界を狙った攻撃の深刻さを示す事例です。
PR TIMES|約90万件
| 項目 | 内容 |
|---|---|
| 発表日 | 2025年5月7日 |
| 漏洩規模 | 最大901,603件 |
| 漏洩情報 | ユーザー・企業・関係者の個人情報 |
| 原因 | コロナ禍のリモート対応で緩んだセキュリティ設定、不用意な共有アカウント |
プレスリリース配信サービス大手への不正アクセス事例。リモートワーク環境下でのセキュリティ管理の甘さが原因とされており、多くの企業にとって教訓となる事例です。
山形大学附属中学校|サポート詐欺被害
| 項目 | 内容 |
|---|---|
| 発生日 | 2025年5月26日 |
| 攻撃手法 | サポート詐欺(テクニカルサポート詐欺) |
教員が業務中に虚偽の警告画面を表示され、遠隔操作ソフトをインストールさせられた事例。人的要因によるセキュリティ侵害の典型例です。
第3四半期以降(7月〜12月)
アサヒグループホールディングス|約191.4万件
| 項目 | 内容 |
|---|---|
| 攻撃発生 | 2025年9月29日 |
| 情報公表 | 2025年11月27日 |
| 漏洩規模 | 約191.4万件 |
| 攻撃手法 | サイバー攻撃(詳細非公開) |
| 影響 | ビール出荷に影響、競合他社も出荷制限 |
大手飲料メーカーへの攻撃は、サプライチェーン全体に影響を及ぼしました。キリン、サッポロ、サントリーも飲食店向け出荷を制限するなど、業界全体への波及効果が見られた事例です。
ローレルバンクマシン|サプライチェーン攻撃の起点
| 項目 | 内容 |
|---|---|
| 発生月 | 2025年10月 |
| 被害組織 | ローレルバンクマシン株式会社 |
| 攻撃手法 | ランサムウェア |
| 特徴 | 二次・三次・四次被害の発生 |
AIによるデータ入力ツールの開発元がランサムウェア攻撃を受け、同社のサービスを利用する複数の組織が連鎖的に被害を公表しました。サプライチェーン攻撃の典型的な事例です。
2025年初頭のDDoS攻撃
2025年は、2024年末から続く大規模DDoS攻撃の被害公表から幕を開けました。
| 被害組織 | 影響 |
|---|---|
| 日本航空(JAL) | システム障害、運航への影響 |
| NTTドコモ | サービス障害 |
| 日本気象協会 | Webサービス障害 |
これらの攻撃は、重要インフラを狙った組織的な攻撃であり、国家支援の可能性も指摘されています。
注目すべき攻撃グループ
Qilin
2025年に日本で最も多くの被害を出したランサムウェアグループ。製造業を中心に攻撃を展開しました。
Kawa4096
2025年6月19日に初めてリークサイトに被害企業の情報を掲示した新興グループ。複数の日本企業を攻撃したとされています。
2025年の新たな脅威
生成AIを悪用した攻撃
快活クラブの事件では、攻撃者がChatGPTを利用して攻撃プログラムを作成・修正していたことが判明しました。生成AIの普及により、技術的なハードルが下がり、より多くの攻撃者がサイバー攻撃を実行できる環境が整いつつあります。
Vishing(ビッシング)の高度化
音声合成技術を使い、本人になりすまして電話をかける「Vishing」攻撃が増加。AIによる音声合成の精度向上が、新たな詐欺手法を生み出しています。
クラウドサービスを狙った攻撃
2025年には、データの暗号化を行わず、Amazon S3上のファイルを直接削除する新たな攻撃手法が国内で報告されました。クラウドサービスのアクセス権限を窃取し、サービスの標準機能を悪用する攻撃は、今後さらに増加すると予測されています。
2025年のインシデントから学ぶ教訓
1. サプライチェーンリスクの深刻化
ローレルバンクマシンの事例のように、一社の侵害が複数の組織に連鎖的な被害をもたらすケースが増加しています。
対策:
- 取引先のセキュリティ状況の確認
- サプライチェーン全体でのインシデント対応計画
- SBOMの作成と管理
2. リモートワーク環境のセキュリティ
PR TIMESの事例では、コロナ禍のリモート対応で緩んだセキュリティ設定が原因となりました。
対策:
- リモートアクセス環境の定期的な見直し
- 共有アカウントの廃止
- ゼロトラストアーキテクチャの導入
3. 人的要因への対応
山形大学のサポート詐欺事例のように、技術的な対策だけでは防げない攻撃が存在します。
対策:
- 定期的なセキュリティ教育
- フィッシング訓練の実施
- インシデント報告体制の整備
4. 中小企業のセキュリティ強化
被害組織の約38%が資本金1億円未満の中小企業でした。
対策:
- 基本的なセキュリティ対策の徹底
- クラウドサービスの活用
- セキュリティ専門家への相談
チェックリスト:2026年に向けた対策
技術的対策
- 多要素認証(MFA)を全システムに導入
- EDR/XDRソリューションの導入
- 定期的な脆弱性スキャンの実施
- バックアップの3-2-1ルール遵守
- ネットワークセグメンテーションの実施
組織的対策
- インシデント対応計画の策定・更新
- 定期的なセキュリティ訓練の実施
- サプライチェーンリスク評価の実施
- 経営層へのセキュリティ報告体制の整備
運用対策
- ログの収集・監視体制の構築
- アクセス権限の定期的な見直し
- パッチ管理プロセスの確立
- サードパーティサービスのセキュリティ評価
まとめ
2025年は、日本のサイバーセキュリティにとって厳しい1年となりました。
| 特徴 | 内容 |
|---|---|
| 規模 | インシデント公表件数が過去最多 |
| 手法 | 生成AI悪用、クラウド直接攻撃など新手法が登場 |
| 影響 | サプライチェーン経由の連鎖的被害が顕著 |
| 標的 | 中小企業が引き続き主要ターゲット |
これらのインシデントから学び、2026年に向けてセキュリティ対策を強化することが重要です。RiskLensでは、お使いのドメインやWebアプリケーションのセキュリティ状態を診断し、潜在的なリスクを可視化するサービスを提供しています。