「2025セキュリティ10大ニュース」ランサムウェアなどの被害報道数と拮抗してきた防御側の話題、何があった？：社会に与えた影響の大きさなどで選定

日本ネットワークセキュリティ協会が「JNSA 2025セキュリティ十大ニュース」を発表した。選考委員会は、被害事案と政府などによる新たな取り組みに関するニュース数が拮抗してきた点に着目している。

» 2026年01月15日 08時00分公開

[＠IT]

この記事は会員限定です。会員登録（無料）すると全てご覧いただけます。

　特定非営利活動法人日本ネットワークセキュリティ協会（JNSA）は2025年12月、「JNSA 2025セキュリティ十大ニュース～攻守拮抗、デジタル社会に信頼構造の地殻変動は成るか～」を発表した。

　「セキュリティ十大ニュース」は、セキュリティ専門家の有志で構成される「セキュリティ十大ニュース選考委員会」が、社会に与えた影響の大きさやマスコミなどが取り上げた頻度などを基準に選定し、毎年12月に発表しているランキング。2001年から続く取り組みで、今回が25回目となる。

ランサムウェア、サプライチェーン全体に広がるサイバー被害

　JNSAは2025年の第1位のニュースに、ランサムウェア（身代金要求型マルウェア）攻撃による企業被害の拡大を挙げた。アサヒグループホールディングスやアスクルなどで発生した被害では、業務停止が長期化し、関連企業や一般消費者にも影響が及んだ。ビール出荷や歳暮ギフトへの影響に加え、物流機能の停止によって医療関連資材の配送が滞るなど、サプライチェーン全体への波及が顕在化した。

関連記事：アサヒとアスクルへのランサムウェア攻撃、考えざるを得なくなった“設計の限界”　LYZONが指摘：求められるセキュリティ総合力とは何か

　第2位には、サプライチェーン全体に広がるサイバー被害と賠償問題がランクインした。JNSAは委託先管理や評価制度の重要性を浮き彫りにする事案が相次いだとしている。

関連記事：被害額は平均で73万円、最大ではなんと1億円　IPAが中小企業のセキュリティを調査：約7割が「取引先にも影響」と回答

認証・AI・国家レベル対策など、多様なテーマが上位に

　第3位は、金融庁による証券口座乗っ取り被害急増への注意喚起と監督指針改正の動きがランクイン。デジタル化が進む証券取引において、長年の課題となっている認証方式の問題が改めて注目された。

関連記事：徳丸氏が「オンライン証券を巡る事件」のからくりについて講演

　第4位には、生成AI（人工知能）を悪用した不正アクセス事件で中高生が逮捕された事案が挙げられた。JNSAは攻撃側・防御側の双方がAIを活用する時代における新たなリスクが示されたとしている。

　第5位は、「能動的サイバー防御」関連法案の成立と、国家サイバー統括室の設置方針。欧米主要国並みのサイバーセキュリティ強化を目指す政策的な動きが評価対象になった。

関連記事：『孫子』の教えに基づくKELAグループの「能動的サイバー防御サイクル」とは：日本法人新社長に廣川裕司氏が就任 - ＠IT

IoTラベリング、重要インフラ障害、量子耐性暗号への移行

　第6位には、IoT製品のセキュリティラベリング制度「JC-STAR」の運用開始が入った。適切なセキュリティ対策を備えたIoT製品の普及促進が期待されている。

関連記事：政府機関や重要インフラでも使えるセキュリティの証し「JC-STAR★3適合」でどうなるのか？：レベル3要件へのパブリックコメントを募集 - ＠IT

　第7位は、インターネットイニシアティブ（IIJ）への不正アクセスに端を発する、日本取引所グループや地方銀行などへの影響事案が挙げられた。サービス提供側・利用側双方におけるセキュリティ維持の継続的な取り組みの重要性が示された。

　第8位には、東名高速や中央自動車道などで発生したETC障害が選ばれた。システム改修の不具合を契機に、一部レーン閉鎖や広域での混乱が発生し、社会インフラにおけるシステム障害リスクが浮き彫りになった。

　第9位は、FeliCaのセキュリティ脆弱（ぜいじゃく）性報道による利用者不安の拡大。脆弱性情報の伝え方や報道の在り方が議論の対象となった。

関連記事：脆弱性を速やかに公表しない輩は、わたくしが成敗いたしますわ！：こうしす！　こちら京姫鉄道広報部システム課＠IT支線（53）

　第10位には、政府が2035年までに耐量子計算機暗号（PQC）へ移行する方針を示したニュースが選ばれた。量子コンピュータを悪用した「ハーベスト攻撃」への備えとして位置付けられている。

関連記事：日本政府、2035年までに耐量子計算機暗号（PQC）に移行する方針　重要インフラ・民間事業者にも波及か：内閣官房国家サイバー統括室の中間とりまとめ

　この他、番外編として2025年11月18日に発生した大規模障害が「インターネットが壊れた日」として取り上げられ、デジタル社会における単一障害点（SPOF）問題が指摘されている。

JNSA 2025セキュリティ十大ニュース（提供：日本ネットワークセキュリティ協会）

　なお選考委員会は、被害事案と政府などによる新たなセキュリティ対策の取り組みに関するニュース数が拮抗（きっこう）してきた点に着目している。本ランキングの詳細な解説や各ニュースの位置付けは、JNSAの公開ページで紹介されている。

「認可の欠落」が4位に急浮上　「最も危険な脆弱性Top 25」MITREが公開
MITREはソフトウェアにおける危険な脆弱性タイプをまとめた「CWE Top 25 Most Dangerous Software Weaknesses」の2025年版を発表した。Webアプリケーション関連の脆弱性がTop 3を独占する結果となった。
Webアプリの10大リスク2025年版　3ランク上昇の「設定ミス」を抑えた1位は？
4年ぶりの「OWASP Top 10 2025」が公開された。できる限り「症状」ではなく「根本原因」に焦点を当てるように刷新したという。
日本のセキュリティ担当者8割が「燃え尽き症候群」　なぜか？
ソフォスは、アジア太平洋地域6カ国926人を対象にサイバーセキュリティの実態調査を実施した。「シャドーAI」が新たなリスクとして浮上している。