2025/09/09 i-FILTER,m-FILTER,サイバー攻撃
2025年上半期国内セキュリティインシデント集計
この記事の要約
- 2025年上半期の国内セキュリティインシデントは集計以来過去最多を記録。
- 不正アクセスやマルウェア感染が特に増加し、サプライチェーン経由の影響が顕著。
- インシデントによる被害額には直接的被害だけでなく、機会損失も大きく影響する。
2025年上半期(1~6月)国内組織における情報漏えい等にかかるセキュリティインシデントを、対象組織による公開報告書およびマスメディアによる報道資料をもとに独自に集計しました。下図は2019年以後の半期毎での集計です。
(※1)本集計では、インシデントの連鎖的影響を個別に計上しています。
例えば、業務委託先企業がランサムウェア被害を受け、情報漏えい報告があった場合、それを1件として計上します。
さらに、その被害により影響を受けた委託元企業からの情報漏えい報告も、それぞれ独立したインシデントとして計上しています。
具体例:業務委託先A社のランサムウェア被害(1件)により、委託元のB社、C社、D社から情報漏えいの報告があった場合、
合計4件の「マルウェア感染」インシデントとして集計しています。
また、2023年に発生した社会保険や人事労務業務支援システムを提供する企業のランサムウェア被害が起因となった情報漏えいインシデントに関しては、個人情報保護委員会への漏えい等報告が3000件を超えていますが、本集計では対象組織による公開報告書およびマスメディアによる報道資料が確認できたもののみ「マルウェア感染」インシデントとして集計しています。
加えて、新たに見つかったインシデントの追加や、既存インシデントの更新情報の反映等を行ったことにより増減が発生している場合があります(例:第一報では障害発生のみが報告されていたが、しばらく後にランサムウェアによるセキュリティインシデントだったと続報が出されたなど)。あらかじめご承知おきください。
| 紛失・盗難 | パソコンやUSBメモリといった記録媒体や紙文書の紛失や盗難など |
| 不正アクセス | 脆弱性を突かれるなどして侵入され、情報窃取やWebサイトの改ざん、スパムメールの踏み台にされてしまったなど |
| 誤操作、設定不備 | FAXや書類の誤送付、システムの不具合や人為的な設定不備により意図せず公開されてしまったなど(電子メールでの誤送信は含まない) |
| 業務外利用・不正持出 | 機密情報の無断閲覧や、不正に持ち出した情報を外部の者に譲渡など |
| メール誤送信 | 電子メールで宛先を誤って送信してしまったなど |
| マルウェア感染 | ウイルスやその他ランサムウェアへの感染など |
集計以来過去最多を更新
2022年上半期はEmotetが活発で「マルウェア感染」インシデントが非常に多かったためやや特殊だったものの、それを除くと公表されるセキュリティインシデントは年々増加傾向にあります。
2025年上半期は総数が1027件で集計以来過去最多を更新し、「不正アクセス」が最も多く、「マルウェア感染」も増加し多くを占める結果となりました。総数は前年同期比で約1.8倍になっており、サプライチェーンに起因するインシデントによる増加が主な要因となります。
「不正アクセス」の増加要因については後述させていただきます。
「マルウェア感染」の増加要因となった事例としては、保険代理店グループで発生したランサムウェア被害で34件のインシデント報告があり、卒業アルバム制作業務を担う2社で発生したランサムウェア被害で合計146件のインシデント報告がありました。特に、卒業アルバムの制作業務を担う会社の被害が大きく、ランサムウェア攻撃による委託元組織への影響が顕著な事例となります。
不正アクセス
(※2)本集計では、不正アクセスを受けた対象別に公表組織数を集計しています。
| メール | メールアカウントやメールサービスなどが不正アクセスを受け、スパムメールの送信や情報漏えいが発生した事例など |
| システム・サーバー | 自社システムやサーバーに不正アクセスがあり、個人情報が外部に流出した事例など |
| Webサイト | Webサイトが不正アクセスを受け、個人情報やカード情報が漏えいした事例など |
| SNS | SNSアカウントが不正アクセスを受け、個人情報が漏えいした事例など |
| クライアントPC | サポート詐欺により、PCが遠隔操作され、個人情報が流出した可能性がある事例など |
| その他 | 外部から不正アクセスを受け、社内ネットワークやデータが漏えいした事例など |
「不正アクセス」は、Webサイトが不正アクセスを受け、個人情報やカード情報が漏えいした事例が増加していました。また、保険会社関連で44件のインシデントが報告されており、通信業者のメールセキュリティサービス関連では282件に及ぶ多数のインシデントが報告されていました。
特に注目すべきは、通信業者のメールセキュリティサービス関連の多数のインシデント報告です。この事例は外部サービスの脆弱性を突かれたもので、規模の大きさからサプライチェーン全体におけるリスクの深刻さを象徴しています。加えて、このような多数の報告は、形式的な委託先評価による管理手法ではリスクを防ぎきれない現状を示しています。効果的な管理には、リスクの大きさに応じて重点的にチェックを行い、事故発生時の影響を想定した対応策も準備することが重要です。
ランサムウェア被害などによる「マルウェア感染」や「不正アクセス」といったセキュリティインシデントが増加している中で、単なる対応強化だけでなく、これらのインシデントが組織にどれほど経済的な影響を及ぼしているかを把握することも重要です。実際に発生したインシデントが企業経営や事業継続に与えた具体的な被害額を分析することで、現場における投資判断やリスクコミュニケーションの精度向上に役立てられます。そこで次に、こうしたインシデントがもたらした「インシデント被害額」について、事例別にその実態を見ていきます。
インシデント被害額
下記は、2024年(および一部2024年以前)に発生したインシデントごとの被害額および年間売上額について、決算書や決算説明資料などを基に算出しました。
これらの資料では、機会損失額を含めて記載している、または機会損失額を別途明示しているケースと、機会損失額が不明であるか、もしくは企業側が意図的に記載していないため機会損失を含めずに公表しているケースがあり、それぞれに分けて記載しています。
インシデント被害額(機会損失を含む)
| 業種 | 年間売上額 | 営業損益 | 被害額 |
|---|---|---|---|
| 電機・精密機器メーカー | 2617億円 | 142億円 | 約130億円 |
| 出版・映像メディア企業 | 2582億円 | 184億円 | 105億円 |
| 小売・流通業者 | 4711億円 ※3 | 314億円 ※3 | 42億円 |
| 物流・倉庫運営企業 | 152億円 | △4700万円 | 12億3100万円 |
| 包装資材・化学製品メーカー | 1500億円 | 101億円 | 10億円 |
| ITソフトウェア開発企業 | 26億3900万円 | 3億4800万円 | 2億6100万円 |
インシデント被害額(機会損失を含まない)
| 業種 | 年間売上額 | 営業損益 | 被害額 |
|---|---|---|---|
| 建設コンサルタント企業 | 683億円 ※4 | 32億円 ※4 | 約10億円 |
| 自動車販売業者 | 4132億円 | 167億円 | 1億3000万円 |
| 機械・部品製造業者 | 676億円 | 6億9000万円 | 7600万円 |
| ITソフトウェア開発企業 | 13億円 | △1億7900万円 | 3200万円 |
| 包装資材メーカー | 180億円 | 3億3800万円 | 2389万円 |
| 繊維製品メーカー | 208億円 | 4億3000万円 | 1960万円 |
(※3)(※4)被害額が複数年度に渡る事案については、参考としてインシデントが発生した年度の売上額と営業損益を表に記載しています。
本表からも明らかなように、インシデント発生時の被害額は直接的なコストだけにとどまらず、機会損失が大きな影響を与えています。機会損失を含めて評価した場合、想定以上の被害が発生する可能性も考慮しなければなりません。さらに、営業損益と比較すると被害額の大きさが分かります。こうした実際のインシデント被害額を踏まえると、セキュリティ対策の強化は一層不可欠であると言えます。
おわりに
2025年上半期において、公表されたセキュリティインシデント件数は集計以来過去最高を更新し、特に不正アクセスやマルウェア感染においてサプライチェーンに起因するインシデントが増加要因となっていました。
また、単に公表組織数が増加しているだけでなく、個々のインシデントが組織の経営に与える被害額も甚大であり、機会損失を含めた被害は想定以上に大きな影響を及ぼしています。
今後、サイバーリスクはさらに多様化し、あらゆる業種・組織にとって無視できない経営課題となることが予想されます。そのために、各組織における現状の対策を見直し、実効性あるセキュリティ対策の強化が不可欠となるでしょう。