ビールが消えた“アサヒのランサムウェア”だけじゃない――国内外30件のサイバー攻撃を総覧:2025年のインシデントを総括し、2026年を展望
2025年、アサヒグループホールディングスへのランサムウェア攻撃など、企業や社会インフラを直撃するサイバー攻撃が相次いだ。国内外で多発したランサムウェアや不正アクセスの事例を振り返りながら、2025年に見えた攻撃トレンドを整理し、2026年の脅威を展望する。
この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。
2025年9月、アサヒグループホールディングス(アサヒGHD)へのランサムウェア(身代金要求型マルウェア)攻撃で、「スーパードライ」が居酒屋から消えた。サイバー攻撃が引き起こしたのは、システム障害だけではなく、私たちの身近な日常生活への影響だった。2025年、企業などの組織を狙うサイバー攻撃は広く及んでおり、その損害は深刻だ。1年を振り返るとともに、2026年を展望する。
「手作業が最大のBCP」となったアサヒGHDへのランサムウェア攻撃
2025年9月に起こったアサヒGHDへのランサムウェア攻撃では、EOS(電子発注システム)など基幹システムが約2カ月間にわたって停止した。完全復旧は年内では難しく、2026年にまでずれ込む見込みだ。
同社はシステムが利用できない間、電話やファクスで連絡を行い、PCと「Excel」による手作業で乗り切ったという。DX(デジタルトランスフォーメーション)戦略を推進してきた同社だが、2025年11月27日の会見で勝木敦志社長は、「昭和の時代に戻って」従業員が頑張ったことで、「今回の最大のBCP(事業継続計画)が機能した」と振り返った。
国内で相次ぐランサムウェア
ランサムウェアの恐ろしさを改めて浮き彫りにした事案だったが、そのランサムウェア被害は国内で急増している。
警察庁の「2025年上半期におけるサイバー空間をめぐる脅威の情勢等について」(2025年9月公開)によると、ランサムウェア被害は上半期だけで116件に達した。2022年下期と並ぶ過去最多のペースで、2日に1件以上起こっていることになる。
ランサムウェアだけでなく、不正アクセスや情報流出など、2025年は、大手企業が相次いでサイバー攻撃を受けた年だった。
2025年の主要なサイバー攻撃事案(国内)
まず、国内で起きた主要なサイバー攻撃の一覧は次の通り。
| 発生月 | 組織名 | 攻撃種別 | 概要 | 被害・影響 |
|---|---|---|---|---|
| 1月 | 快活CLUB(AOKI HD) | 不正アクセス/DDoS(Distributed Denial of Service)複合攻撃 | DDoS+サーバ不正アクセスで729万人分情報漏えい | 会員情報、履歴など |
| 1月 | サンリオエンターテイメント | ランサムウェア | リモートアクセス機器の脆弱(ぜいじゃく)性を悪用された。顧客情報流出は調査の結果否定 | オンライン予約やチケット購入サービスの停止 |
| 2月 | NTTコミュニケーションズ | 不正アクセス | 法人契約情報1万8000万社分が流出、オーダー情報流通システム侵害 | 法人顧客情報・構成情報 |
| 3月 | 日鉄ソリューションズ(NSSOL) | 不正アクセス(ゼロデイ攻撃) | VPN(Virtual Private Network)機器などのゼロデイ脆弱性悪用で顧客・従業員情報漏えい | 顧客・従業員情報漏えい |
| 4月 | 近鉄エクスプレス | ランサムウェア | 基幹システム停止で物流網に遅延 | サービス停止 |
| 4月 | インターネットイニシアティブ(IIJ) | 不正アクセス(ゼロデイ攻撃) | Webメールシステムの脆弱性悪用で、407万アカウント超に影響 | メールアドレスなど |
| 4月 | 損害保険ジャパン | 不正アクセス | Webシステムへの不正アクセス、約178万件のデータに漏えいの可能性 | 顧客個人情報、証券番号など |
| 6月 | 楽待 | 不正アクセス | Webサーバの脆弱性を悪用してバックドア設置、顧客情報が漏えい | 投資関連個人情報・資料 |
| 7月 | 丸菱ホールディングス | ランサムウェア | 業務停止、個人・社内情報の流出を報告したが、後に取り消し | システム障害 |
| 7月 | 駿河屋(エーツー) | 不正アクセス | 第三者による不正アクセスで個人情報が漏えい | 氏名・住所・クレジットカード情報など |
| 8月 | 日本プラスト | 不正アクセス | 顧客や関係者の個人情報が漏えいした可能性 | 顧客個人情報 |
| 8月 | ハウステンボス | ランサムウェア | サーバ内のファイルの一部が暗号化、個人情報100万件以上漏えいの可能性 | 顧客・従業員個人情報 |
| 9月 | アサヒGHD | ランサムウェア | 物流停止、決算発表延期、顧客情報流出の疑い | 物流・財務システム |
| 10月 | アスクル | ランサムウェア | 物流システムが暗号化されて出荷業務が全面停止、顧客情報流出 | 顧客氏名・住所・電話番号等 |
| 11月 | 日本経済新聞社 | 不正アクセス | 私物PC経由で業務用Slackに侵入、約1万7000人分の個人情報流出の可能性 | 社員・取引先情報 |
| 12月 | TOKAIコミュニケーションズ | 不正アクセス(ゼロデイ攻撃) | メールサービス用のサーバへの不正アクセス | 顧客情報 |
「複合攻撃」「ゼロデイ攻撃」、そして後半には大型攻撃が相次ぐ
ランサムウェア以外の攻撃にも、幾つか特徴的なものがあった。
1月の快活CLUBの事案は、サーバへの不正アクセスとDDoS攻撃が並行して行われた。同社によると、不正アクセスを検知した2日後、DDoS攻撃によるネットワーク障害が発生したという。アクセスから目をそらすための「陽動作戦」の典型的なパターンだ。
3月の日鉄ソリューションズの事例は、「ゼロデイ脆弱性」の悪用によるものだった。ゼロデイ攻撃は、開発元が修正パッチを提供するまでの間に存在する「防御不可能な期間」を狙う。ユーザーでは限られた対応しかできないことが多い。
全体としては、8月から9月にかけて被害の大きなものが相次いだ。ハウステンボスでは100万件以上の個人情報が漏えいした可能性があり、アサヒGHDの物流停止もこのときだ。攻撃者の活動が活発化して、「夏から秋にかけての攻撃ラッシュ」の様相だった。
この時期、海外でも大型事案が相次ぎ、英国のJaguar Land Rover、Harrods、欧州の空港システムなどが被害に遭っている。
2025年の主要なサイバー攻撃事案(海外)
海外で起きた主要なサイバー攻撃は次の通り。
| 発生月 | 地域 | 組織名/製品名 | 攻撃種別 | 概要 | 被害・影響 |
|---|---|---|---|---|---|
| 1月 | 米国 | SimonMed Imaging | ランサムウェア | 医療画像診断機関への侵入と患者データの窃取、100万ドルを要求 | 医療情報 |
| 2月 | UAE | Bybit | 暗号資産窃盗 | 15億ドル相当の暗号資産窃盗、北朝鮮Lazarus関与指摘 | 暗号資産 |
| 3月 | 米国 | Yale New Haven Health | ランサムウェア | 2025年の米国最大の医療データ侵害事件、身代金1800万ドル支払い | 医療情報 |
| 4月 | 英国 | Marks & Spencer(M&S) | ランサムウェア | 小売大手で約1カ月半のオンライン販売停止。決済障害 | 3億ポンド(600億円)の利益損失や株価下落 |
| 6月 | 豪州 | Qantas Airways(カンタス航空) | サードパーティー侵害 | コールセンター経由とAPI脆弱性の悪用で侵入 | 顧客個人情報 |
| 7月 | グローバル | Microsoft SharePoint | ゼロデイ攻撃 | 中国系APT(Advanced Persistent Threat:持続的脅威)によるゼロデイ悪用。400組織以上に侵害 | 米国エネルギー省を含む政府機関など。ランサムウェア展開も |
| 9月 | 英国 | Harrods | サプライチェーン攻撃 | 委託Eコマース企業経由で数十万人分の顧客情報流出 | 顧客個人情報 |
| 9月 | 米国 | Discord | サードパーティー侵害 | 外部委託先から7万件の本人確認書類が流出 | パスポートの画像など |
| 9月 | 英国 | Jaguar Land Rover | ランサムウェア | 生産・販売業務の停止、英国全体で約19億ポンド(約4000億円)の経済損失 | サイバー攻撃による英国史上最大の損失 |
| 9月 | 欧州 | Collins Aerospace | ランサムウェア | MUSE(空港運営基盤)の障害で、ヒースロー、ブリュッセル、ベルリン空港のシステム中断 | チェックインなどの停止、手動対応による数百便の遅延 |
| 10月 | 米国 | 700Credit | サードパーティー侵害 | パートナー企業のAPIの脆弱性を突いて攻撃。自動車ディーラー向け与信サービスで全米ディーラーに影響 | 社会保障番号・住所・生年月日等 |
| 10月 | ベトナム | Vietnam Airlines(ベトナム航空) | サードパーティー侵害 | 外部パートナーのプラットフォーム経由で730万件の顧客データ流出 | 旅行情報、顧客情報 |
| 10月 | グローバル | Oracle E-Business Suite(EBS) | ゼロデイ攻撃 | Oracle EBSの脆弱性を突いた企業情報窃取 | 顧客情報 |
| 12月 | グローバル | Cisco Systems | ゼロデイ攻撃 | 中国系標的型攻撃グループがゼロデイ脆弱性を用いてネットワーク機器を攻撃 | メール・VPN機器などの境界デバイス侵害 |
※注:報道や、シンクタンク「CSIS」(米戦略国際問題研究所)が公表・更新している「Significant Cyber Incidents List」などを参照にした。
2025年を通じて国内・海外を比較すると、標的となった企業は日本では製造業、物流業が多く、海外は金融、テクノロジー、医療が目立つ。
2025年の攻撃トレンドを読み解く
国内外のサイバー攻撃事案を時系列で見ていくと、幾つかのトレンドが見えてくる。
サプライチェーン、サードパーティー攻撃の拡大
一つは年後半に「サプライチェーン型攻撃/サードパーティー侵害型攻撃」が拡大していることだ。Harrods、Discord、Vietnam Airlinesなどがその例だ。
サードパーティー侵害は、標的企業を直接攻撃するのではなく、その委託先や、利用している共通プラットフォームを足場にして侵入する手法だ。広義のサプライチェーン攻撃に分類される。サプライチェーン攻撃と同様、「間接的な経路」や依存関係を悪用して最終的な標的に達するという特徴がある。
6月のQantas Airwaysの事案では、自社の基幹システムではなく委託先のコールセンターから侵入された。9月のHarrodsは、委託したEコマース企業経由で数十万人分の顧客情報が流出した。同じく9月のCollins Aerospaceの事案は、同社の航空旅客手続きプラットフォーム「vMUSE」が攻撃を受けた結果、ヒースロー、ブリュッセル、ベルリンなど世界の空港でチェックインシステムが停止。数百便が遅延する事態となった。
なお、サプライチェーン攻撃では、海外では「ソフトウェア・サプライチェーン攻撃」が多いのに対し、日本では「ビジネス・サプライチェーン攻撃」が多い印象だ。欧米で、オープンソースソフトやサードパーティーAPIの脆弱性を突く攻撃が主流なのに対し、日本では、系列企業や下請企業のネットワークの脆弱性を突くという傾向が見られる。日本独特の企業系列構造が影響しているのだろう。
いくら自社のセキュリティを強化しても、取引先の脆弱性が「裏口」となってしまう。「取引先のセキュリティは、自社のセキュリティ」という時代になったのだ。
ゼロデイ攻撃の深刻化
もう一つが、ゼロデイ攻撃が深刻化する兆しを見せていることだ。国内では、日鉄ソリューションズ(2月)、海外ではOracle EBS(E-Business Suite)(10月)などの事例があったが、特に年末になって、極めて深刻な事例が起こった。
12月、ネットワーク機器大手のCisco Systemsが同社のメール・Web管理製品で使用されているOS「Cisco AsyncOS」に深刻な脆弱性があり、既に攻撃が展開されていると発表した。
Cisco AsyncOSは、企業などの内部ネットワークと外部ネットワークの境界(エッジ)に設置される「境界デバイス(エッジデバイス)」に搭載されているOSだ。発表のあった脆弱性(CVE-2025-20393)は、CVSS(共通脆弱性評価システム危険度)が最大の「10.0」で、リモートから管理者権限を奪取可能にしてしまうものだ。
Cisco Systemsの脅威インテリジェンス部門Cisco Talosは、この脆弱性を悪用してシステムに「バックドア」を仕掛ける活動が、少なくとも2025年11月下旬から継続していると報告している。また実行したのは中国関連の高度なAPT攻撃者と推定している。
Cisco AsyncOSの脆弱性を悪用した攻撃は、日本でも既に発生しており、電気通信事業者のTOKAIコミュニケーションズが不正アクセスを受けたことが確認されている。
2025年の総括と2026年の展望 AIが攻撃の「例外」から「標準」に
Google Cloudが11月5日に発表した「Cybersecurity Forecast 2026」(2026年サイバーセキュリティ予測レポート)では、2025年を「サイバー犯罪が、より巧妙かつ破壊的になった年」と位置付けている。
レポートは、サイバー犯罪のエコシステムが成熟し、活動が拡大していると指摘。例えば2025年第1四半期、データ漏えいサイト(DLS)に掲載された被害者数は2302件に達し、2020年の追跡開始以来、四半期最多だったことを報告している。
その上で、ランサムウェア、データ盗難、二重恐喝(ランサムウェアによるデータ暗号化と、データ公開を組み合わせての恐喝)などのサイバー犯罪が、2026年も引き続き最も経済的に破壊力を持った脅威になるだろうとしている。
また、2026年にサイバーセキュリティの世界を大きく変えるとみられるのがAI(人工知能)の台頭だ。レポートによると、2025年は、ソーシャルエンジニアリング、情報操作、マルウェア開発など、AIを利用した手法の具体的な証拠と斬新なユースケースが多数確認された年だった。
続く2026年は、攻撃者のAI活用が、「例外」から「標準」に移行する年だという。AIエージェントを採用して攻撃のライフサイクル全体を自動化し、その速度、規模、効果とも大幅に向上させるだろうとみる。
具体的には、AIに”隠し命令”を送り込んで、セキュリティを回避する行動を起こさせる「プロンプトインジェクション攻撃」や、ソーシャルエンジニアリングの分野で、AIで実在の人物のリアルな声を生成する「ボイスフィッシング(vishing)攻撃」などが増加すると予想する。
急速に進化するサイバー犯罪に対して企業は難しいかじ取りを求められる。Google Cloudのレポートは「AIイノベーションを推進しながら、同時に監査可能なセキュリティを維持する」というバランスの取れた態度が必要だとしている。
セキュリティ事案では、いざという時に手作業で切り抜けるというアナログな対応がうまくいくこともある。だが、過去に例のない未知の脅威が襲ってくる中、広い視野で最新の動向に目配りして、最も適した対応を探り続けることが企業には求められるだろう。
関連記事
2025年、最多のランサムウェア侵入経路は?
Hornetsecurityが2025年版年次調査を公開。世界のCISOの61%が「AIがランサムウェアリスクを直接的に高めた」と認識しているという。
年末年始のセキュリティをIPAが注意喚起 昨年はDDoS攻撃が多発
IPAは「2025年度 年末年始における情報セキュリティに関する注意喚起」を発表した。管理者不在の「空白期間」に備えて対象者別の対策を提示している。
ランサムウェア、失敗対応に学ぶ「4つの教訓」
数々のランサムウェアグループが攻撃を激化する中、インシデント対応で失敗して経営的な打撃を被る事例が後を絶たない。セキュリティベンダーが提供する“事後”対応サービスの契約方法に、ある変化が表れている。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.
アイティメディアからのお知らせ
注目のテーマ
ITmediaはアイティメディア株式会社の登録商標です。