デジタルアーツ、2025年1〜6月の国内セキュリティインシデント公表組織数調査：被害額が130億円規模の事例も

総数は過去最多の1027件に達し、不正アクセスの増加が顕著。

[＠IT]

　デジタルアーツは2025年9月9日、2025年上半期（1〜6月）に国内組織で発生したセキュリティインシデントの集計結果を公開した。同社が公開報告書や報道資料を基に独自に集計したところ、総数は1027件と過去最多を記録。前年同期比では約1.8倍に増加した。

セキュリティインシデントごとの公表組織数

セキュリティインシデントごとの公表組織数の推移（提供：デジタルアーツ）

　各インシデントの具体例、計上方法の詳細は下記の通り。

紛失・盗難	PCやUSBメモリといった記録媒体や紙文書の紛失や盗難など
不正アクセス	脆弱（ぜいじゃく）性を突かれるなどして侵入され、情報窃取やWebサイトの改ざん、スパムメールの踏み台にされたなど
誤操作、設定不備	FAXや書類の誤送付、システムの不具合や人為的な設定不備によって意図せず公開されてしまったなど（電子メールでの誤送信は含まない）
業務外利用・不正持出	機密情報の無断閲覧や、不正に持ち出した情報の外部への譲渡など
メール誤送信	電子メールで宛先を誤って送信してしまったなど
マルウェア感染	ウイルスやランサムウェア（身代金要求型マルウェア）への感染など

• 連鎖的影響の計上
  業務委託先がランサムウェア被害に遭った場合、その被害自体を1件とし、影響を受けた委託元企業からの情報漏えい報告もそれぞれ独立したインシデントとして計上（例：A社のランサムウェア被害1件＋委託元B社・C社・D社の情報漏えい報告3件＝合計4件）
• 事例の扱い
  2023年に社会保険・人事労務システム提供企業がランサムウェア被害に遭い、個人情報保護委員会への報告が3000件超あったが、本集計では公開報告書や報道で確認できたもののみを対象として「マルウェア感染」として計上
• 件数変動の要因
  新たに判明したインシデントの追加や、既存インシデントの続報反映によって件数が増減する場合がある（例：当初は障害発生のみと報告されていたが、後にランサムウェアによるセキュリティインシデントと判明したケース）

　内訳では、不正アクセスが504件と突出して多く、次いでマルウェア感染が243件と続いた。不正アクセスでは、1件の不正アクセスから連鎖的に広がる大規模なインシデントが報告されている。同社は、保険会社関連で44件、通信業者のメールセキュリティサービス関連で282件を確認しており、「特に通信業者関連の事例は外部サービスの脆弱性を突かれたもので、サプライチェーンリスクの深刻さを示すものだ」としている。

　マルウェア感染の増加要因となった事例として同社は、保険代理店グループで発生したランサムウェア被害34件を挙げている。卒業アルバム制作業務を担う2社で発生したランサムウェア被害では連鎖的影響の計上で合計146件の報告があり、被害が大きい事例となった。同社は「ランサムウェア攻撃による委託元組織への影響が顕著な事例」としている。

被害の規模

　被害の規模についても、軽視できない結果が明らかになったという。同社が2024年発生分を含め、対象企業の決算資料などを基に試算したところ、製造業で約130億円、メディア関連で約105億円の機会損失を含む被害額を確認した。機会損失を含めない場合でも、最大約10億円の被害が発生した事例があった。

　同社は被害額が営業損益の8〜9割を占めるケースもあり、業績に大きな影響を与えており、セキュリティ対策の強化は一層不可欠とし、今後サイバーリスクがさらに多様化し、あらゆる業種にとって経営課題として無視できない状況になると予測している。