【2025年総括】セキュリティインシデント559件から読み解く5大トレンドと中小企業が今すぐ取るべき対策
「うちみたいな小さい会社は狙われないでしょ?」——そう思っていませんか。
2025年に国内組織から公表されたセキュリティインシデントは559件。1日あたり約1.5件のペースで、業種・規模を問わずあらゆる組織が被害を受けました。トレンドマイクロの調査によれば、攻撃者は特定の業界を狙うのではなく、**「侵入できる隙がある組織に侵入する」**という行動原理で動いています。
つまり中小企業だからこそ、対策の隙を突かれるリスクがあるのです。
この記事では2025年の主要インシデントを5つのトレンドに整理し、中小企業のIT管理者・経営者が今すぐ実行できる対策を優先度別にまとめました。
2025年セキュリティインシデントの全体像
まず数字で全体像を押さえましょう。
| 指標 | 数値 |
|---|---|
| 年間公表件数 | 559件(1日あたり約1.5件) |
| 攻撃カテゴリ1位 | 不正アクセス |
| 攻撃カテゴリ2位 | ランサムウェア |
| 被害業種上位 | 製造、サービス、金融 |
前年(2024年:622件)と比べるとペースはやや鈍化していますが、依然として高い水準が続いています。上半期だけで247件が公表され、下半期にかけてさらにペースが加速しました。
注目すべきは、ランサムウェア攻撃の約8割で侵入経路が特定できなかったという報告です。攻撃者の手口がますます巧妙化していることを如実に示しています。
トレンド①:ランサムウェア攻撃の深刻化
2025年もランサムウェアが最大の脅威であり続けました。被害は業種・規模を問わず発生し、事業停止や大規模な情報漏洩につながるケースが目立ちました。
主な被害事例:
- 人気テーマパーク運営企業がリモートアクセス機器の脆弱性を突かれ、最大約200万件の個人情報漏洩の可能性
- 大手保険ショップ運営企業が500万件以上の情報漏洩の可能性を公表、経営判断にも大きな影響
- 印刷会社、大学、医療機関など幅広い業種で被害が続発
- 保険事故調査会社への攻撃では、委託元の保険会社30社以上に二次被害が波及
主な侵入経路:
- VPN装置やリモートアクセス機器の脆弱性の悪用
- ネットワーク機器の脆弱性を突いた内部ネットワークへの侵入
- セキュリティソフトの無効化による検知回避
テレワークの普及で導入が進んだVPN機器の脆弱性が、引き続き主要な攻撃の入り口になっています。ファームウェアの更新を怠っている機器がないか、今すぐ確認してください。
トレンド②:サプライチェーンリスクの顕在化
「自社のセキュリティは万全」でも、取引先や委託先が攻撃を受ければ自社の情報が漏洩する——そんな「データ・サプライチェーン」のリスクが複数の大型事案で露呈しました。IPAの「情報セキュリティ10大脅威 2025」でも3年連続で2位にランクインしています。
主な事例:
- IIJ:メールソフト「Active! mail」のゼロデイ脆弱性を悪用された不正アクセス被害。IIJのサービスを利用していた多数の法人組織への二次被害の可能性が公表されました
- PR TIMES:90万件以上の情報漏洩。同社サービスを利用していた法人組織からも二次被害の可能性が公表されました
- ローレルバンクマシン(10月):ランサムウェア被害が委託先→さらにその委託元へと連鎖し、三次・四次被害にまで拡大した象徴的な事例です
これらの事例が示す教訓は明確です。自社の情報が「どこに」「誰の管理下に」あるのかを把握し、委託先のセキュリティも含めたリスク管理が不可欠だということです。
トレンド③:証券口座乗っ取り被害の爆発的拡大
2025年最大の社会的インパクトを持ったセキュリティ事案が、証券口座の乗っ取り被害です。
| 指標 | 数値(2025年1〜7月) |
|---|---|
| 不正アクセス件数 | 約12,758件 |
| 不正取引件数 | 約7,139件 |
| 不正売買総額 | 約6,200億円超 |
| 被害証券会社数 | 18社以上 |
3月以降に被害が爆発的に拡大し、4月のピーク時には単月で約2,930億円の不正売買が発生しました。
攻撃の手口は主に2つ:
- フィッシング詐欺:生成AIを活用した自然な日本語の偽メール・偽SMSで証券会社の偽サイトに誘導し、ID・パスワードを窃取
- インフォスティーラー(Lumma Stealer等):マルウェアでブラウザに保存された認証情報やCookieを窃取
乗っ取った口座では保有株式を勝手に売却し、その資金で流動性の低い中国株等を大量に買い付けて株価を操作するという手法が使われました。被害者の口座には売れない銘柄だけが残るため、発見が遅れるという巧妙さです。
金融庁と日本証券業協会はフィッシング耐性のある多要素認証(パスキー等)の必須化を推進。証券各社がパスキーや生体認証を順次導入した結果、被害は減少傾向に向かっています。
この事例は企業のIT管理者にとっても示唆に富んでいます。 従業員が個人の証券口座でフィッシング被害に遭うということは、同じ手口で業務用アカウントも狙われる可能性があるということです。
トレンド④:DDoS攻撃の活発化
2024年末から2025年初頭にかけて、JAL、NTTドコモ、日本気象協会など重要インフラを含む多数の組織がDDoS攻撃の被害を公表しました。IoTボットネットの活動との関連が推測されており、運輸・交通、金融、情報サービスなど幅広い業界が影響を受けました。
大手ネットカフェチェーンの事例では、DDoS攻撃と同時に会員情報700万件以上の漏洩が発生するなど、複合的な攻撃手法も確認されています。
トレンド⑤:新たな脅威——AI悪用と新型攻撃手法
2025年は攻撃者側のAI活用が本格化した年でもあります。
- ClickFix攻撃:ユーザー自身に危険なコマンドを実行させる新しい手法。前年比約4.7倍に急増
- 生成AIによるフィッシング高度化:自然な日本語で正規の通知と見分けがつかないレベルに
- 犯罪の分業化:フィッシング、偽名口座開設、マネーロンダリングなどが高度に分業化された組織的犯罪に
一方で防御側も前進しています。2025年5月には能動的サイバー防御新法が成立し、国としての対策体制も強化されました。
中小企業が取るべき対策【優先度別】
以上のトレンドを踏まえ、中小企業が実施すべき対策を優先度別に整理しました。
🔴 最優先:今すぐ確認・実施すべきこと
① 脆弱性管理の徹底
- VPN装置、ファイアウォール、リモートアクセス機器のファームウェアを最新版に更新
- 使用中のソフトウェア・サービスの脆弱性情報を定期的に確認
- サポート終了製品(EOL)の棚卸しとリプレース計画の策定
② 認証の強化
- すべてのクラウドサービスで多要素認証(MFA)を有効化
- 可能な限りパスキー(FIDO2)などフィッシング耐性の高い認証方式を採用
- パスワードの使い回し禁止、パスワードマネージャーの導入
- 従業員の個人利用(証券口座等)も含めたセキュリティ意識の向上
🟡 短期:四半期以内に実施すべきこと
③ バックアップとリカバリ計画
- 3-2-1ルール(3世代・2種類のメディア・1つはオフサイト)に基づくバックアップ運用の確認
- ランサムウェア被害を想定したBCP(事業継続計画)の策定・更新
- バックアップからの復元テストを定期的に実施
④ サプライチェーンリスク管理
- 取引先・委託先のセキュリティ状況を確認するチェックリストの整備
- 委託先との契約書にセキュリティ要件を明記
- 自社の情報がどの委託先に保管されているかの棚卸し
🔵 中期:組織的に取り組むべきこと
⑤ アタックサーフェス管理(ASM)
自社のデジタル資産を棚卸しし、インターネットに面している資産(Webサイト、VPN、メールサーバー等)のリスクを可視化しましょう。放置された「野良サイト」や忘れられたテスト環境が攻撃の足がかりになる事例が増えています。
⑥ 従業員教育の強化
生成AIによりフィッシングメールの品質が格段に向上した現在、「不審なメールに注意」だけでは不十分です。定期的なフィッシング訓練、不審時の報告フロー整備、インシデント対応訓練を実施しましょう。
⑦ 経営層のコミットメント
楽待株式会社の事例では、インシデント後に役員報酬の50%減額が発表されるなど、セキュリティが経営責任に直結する時代です。セキュリティを「IT部門の課題」ではなく「経営課題」として位置づけ、予算配分と意思決定に経営層が関与する体制を整えましょう。
Microsoft 365 / Google Workspace ユーザーが確認すべき設定
中小企業で広く利用されている2つのサービスについて、2025年のインシデントを踏まえて特に確認すべき設定をまとめます。
Microsoft 365:
- 全ユーザーでMicrosoft Entra ID(旧Azure AD)による多要素認証を必須化
- 条件付きアクセスポリシーによるリスクベースのアクセス制御
- Microsoft Defender for Office 365によるフィッシングメール対策の強化
- Intuneによるデバイス管理とコンプライアンスポリシーの適用
- 監査ログの有効化と定期的なレビュー
Google Workspace:
- 2段階認証(セキュリティキー推奨)の全ユーザー必須化
- コンテキストアウェアアクセスによるリスクベースのアクセス制御
- Google Vaultによるデータ保全と監査ログの有効化
- サードパーティアプリのアクセス権限の定期棚査
- DLP(データ損失防止)ポリシーの設定
まとめ
2025年のセキュリティインシデントから得られる最大の教訓は、**「業種・規模に関係なく、すべての組織がサイバー攻撃の対象になり得る」**ということです。
攻撃者は特定の業種を狙うよりも、侵入できる隙がある組織を無差別に攻撃します。中小企業においても、「自社は小さいから狙われない」という認識は危険です。
しかし裏を返せば、基本的な対策を着実に実施するだけで、攻撃者にとって「侵入しにくい組織」になれるということでもあります。
脆弱性管理、認証強化、バックアップ、サプライチェーンリスク管理。これらの基本を一つずつ確実に実行していくことが、被害を防ぐ最も効果的な方法です。
自社のセキュリティ対策の現状診断や改善策のご相談は、情シス365までお気軽にお問い合わせください。
参考リンク
- 2025年の国内セキュリティインシデントを振り返る|トレンドマイクロ
- 2025年上半期の国内セキュリティインシデントを振り返る|トレンドマイクロ
- 2025年第1四半期の国内セキュリティインシデントを振り返る|トレンドマイクロ
- 多要素認証必須化後も減っていない「証券口座乗っ取り」の現状|トレンドマイクロ
- セキュリティインシデント年間表 2025|デジタルアーツ
- インターネット取引サービスへの不正アクセス・不正取引による被害が急増しています|金融庁
- フィッシング詐欺等による証券口座への不正アクセス等による対応について|日本証券業協会
- 国内証券口座のっとりによる不正取引についてまとめてみた|piyolog
- 2025年上半期サイバーセキュリティレポート|ESET(キヤノンITソリューションズ)
まとめ・ご相談
セキュリティ対策の強化をご検討の方は、Security365(セキュリティ運用・SOCライト)をご覧ください。
貴社のIT課題について、まずは60分の無料相談でお気軽にご相談ください。