デジタル技術の進展とともに、企業活動におけるデータの重要性が高まる一方で、サイバー攻撃による企業被害は年々深刻化しています。2025年に入ってからも、大手企業や重要インフラ事業者が相次いでサイバー攻撃の標的となり、業務停止や大規模な情報漏洩が発生する事態が続いています。警察庁の統計によれば、サイバー犯罪の検挙件数は10年連続で増加しており、その手口は年を追うごとに巧妙化・高度化しています。ランサムウェア攻撃やサプライチェーン攻撃、フィッシング詐欺、DDoS攻撃、そしてゼロデイ脆弱性を狙った攻撃など、多様化する脅威に対して、企業は包括的なセキュリティ対策を求められています。こうした状況を受けて、政府もサイバーセキュリティ戦略の見直しや産業振興策の策定など、国を挙げた取り組みを強化しています。本記事では、2025年におけるサイバー攻撃による企業被害の実態と最新の傾向を詳しく分析し、政府が推進する対策政策の内容、そして企業が実施すべき具体的なセキュリティ対策について、実際の被害事例を交えながら包括的に解説していきます。
2025年におけるサイバー攻撃の全体像と企業被害の実態
サイバー攻撃の増加傾向と被害規模
2025年に入ってからも、サイバー攻撃は断続的に企業や組織を襲い続けており、その被害規模は前年を上回る勢いで拡大しています。警察庁が公表したデータによれば、2024年度のサイバー犯罪検挙件数は13164件に達し、これは10年連続での増加を記録しています。さらに注目すべきは、2025年上半期(1月から6月)に公表されたセキュリティインシデントが247件に上り、1日あたり約1.4件という高い頻度でインシデントが発表されている点です。この数字は公表されたものに限られており、企業が公表を控えたケースや、そもそも攻撃に気づいていないケースも含めれば、実際の被害件数はさらに膨大なものと推測されています。
サイバー攻撃による被害は、単なる金銭的損失にとどまらず、企業の信頼性低下、顧客離れ、法的責任の発生、そして場合によっては事業継続そのものが困難になるという深刻な事態を招いています。特に重要インフラを担う企業が攻撃を受けた場合、その影響は社会全体に波及し、国民生活や経済活動に甚大な影響を及ぼす可能性があります。
2025年に発生した重大なサイバー攻撃事例
2025年には、いくつかの大規模なサイバー攻撃事例が報告されており、企業や社会に深刻な影響を与えました。リリース配信サイト大手のPR TIMESでは、90万件を超える個人情報が漏洩した可能性があると報じられ、利用企業や個人ユーザーに大きな不安を与えました。また、電気通信大手のインターネットイニシアティブでは、400万件を超える個人情報や機密情報が漏洩した可能性があるとされ、通信インフラを担う企業のセキュリティ体制に対する懸念が高まりました。
特に深刻だったのが、2025年4月23日未明に発生した近鉄エクスプレスに対するサイバー攻撃です。ランサムウェアによる攻撃と第三者からの不正アクセスにより、同社の基幹システムが突如として機能を停止し、全国規模の貨物輸送がストップするという事態に陥りました。物流は現代社会の血管とも言える重要なインフラであり、その停止は製造業、小売業、医療機関など、あらゆる産業に連鎖的な影響を及ぼしました。この事例は、基幹システムへの攻撃が単なる一企業の問題ではなく、社会インフラ全体を脅かす重大なリスクであることを明確に示しています。
業種別に見るサイバー攻撃の傾向
2025年のセキュリティインシデントを業種別に分析すると、製造業が最も多くのインシデントを報告しており、次いでサービス業、金融業の順となっています。製造業が狙われる理由は、設計図面や製造技術、研究開発データなどの知的財産が豊富に存在し、これらの情報が競合他社や外国の攻撃者にとって高い価値を持つためです。特に自動車産業や精密機器産業では、長年蓄積してきた技術ノウハウがデジタルデータとして保管されており、これらが窃取されれば企業の競争力を大きく損なう可能性があります。
サービス業、特に医療機関や教育機関、ホテル業などは、大量の個人情報を保有しています。氏名、住所、電話番号、クレジットカード情報、健康情報など、センシティブな個人データが集積されているため、攻撃者にとって魅力的な標的となっています。金融業は、直接的な金銭の窃取が可能であることに加え、金融取引情報や顧客の資産情報など、極めて機密性の高い情報を扱っているため、常に高度なサイバー攻撃の脅威にさらされています。
攻撃手法の多様化と高度化
2025年のサイバー攻撃の特徴は、その手法の多様化と高度化にあります。従来から被害が増加していたランサムウェア攻撃とサプライチェーン攻撃に加えて、AI(人工知能)を活用した攻撃が目立つようになってきました。AIを利用することで、攻撃者はより説得力のあるフィッシングメールを大量に生成したり、セキュリティ防御システムの挙動を学習して回避する手法を開発したりすることが可能になっています。
ランサムウェアは、企業のデータを暗号化して身代金を要求する攻撃手法ですが、近年では暗号化だけでなく、データを窃取して公開すると脅迫する二重恐喝の手法が主流となっています。これにより、たとえバックアップからデータを復旧できたとしても、機密情報の公開を避けるために身代金の支払いを余儀なくされるケースが増えています。
サプライチェーン攻撃は、セキュリティ対策が比較的弱い取引先や関連企業を経由して、本来の標的企業に侵入する手法で、大企業が構築した強固なセキュリティ防御を迂回できるため、防御が非常に困難とされています。企業は自社のセキュリティだけでなく、取引先やサプライヤーのセキュリティレベルも考慮しなければならない時代になっています。
政府が推進するサイバー攻撃対策政策
サイバーセキュリティ戦略本部による包括的な取り組み
サイバー攻撃の深刻化を受けて、政府は包括的な対策強化に乗り出しています。内閣に設置されているサイバーセキュリティ戦略本部は、国全体のサイバーセキュリティ政策を統括する中核的な組織であり、2025年においても積極的な政策展開を行っています。2024年11月に有識者会議がとりまとめた提言を踏まえ、2025年2月には現行制度下において喫緊に取り組むべき事項についての検討を開始しました。
新たなサイバーセキュリティ戦略については、2025年内を目途に策定が進められており、最新の脅威に対応した包括的な対策が盛り込まれる予定です。この戦略では、重要インフラの防護強化、国際連携の推進、サイバーセキュリティ人材の育成、民間企業への支援強化など、多角的なアプローチが検討されています。特に、電力、通信、金融、医療、交通などの重要インフラについては、より厳格なセキュリティ基準の導入と監督体制の強化が図られる方向です。
情報セキュリティ10大脅威2025と企業への警鐘
独立行政法人情報処理推進機構(IPA)が毎年発表している情報セキュリティ10大脅威は、企業や組織がセキュリティ対策の優先順位を決める際の重要な指標となっています。2025年版は、2024年に発生した社会的に影響が大きかったと考えられる情報セキュリティにおける事案から、IPAが脅威候補を選出し、情報セキュリティ分野の研究者や企業の実務担当者など約200名のメンバーからなる10大脅威選考会が審議・投票を行って決定されました。
この10大脅威では、ランサムウェア被害が3年連続で1位となっており、その脅威の深刻さが改めて確認されました。また、サプライチェーン攻撃は7年連続でランクインし、2023年から2025年にかけては3年連続で2位に位置しています。さらに注目すべきは、DDoS攻撃が5年ぶりに8位にランクインした点です。2024年末から2025年初頭にかけて発生した大規模なDDoS攻撃が、この順位変動に影響を与えたと考えられています。
企業はこの10大脅威を参考にしながら、自社の業種や規模、保有する情報資産の特性に応じて、優先的に対策すべき脅威を特定し、限られたリソースを効果的に配分することが求められています。
サイバーセキュリティ産業振興戦略による技術開発支援
2025年3月に経済産業省が策定したサイバーセキュリティ産業振興戦略は、我が国から有望なサイバーセキュリティ製品・サービスが次々に創出されるための包括的な政策パッケージです。企業のセキュリティ対策の必要性とニーズは飛躍的に高まっており、今後さらに増大することが予想されていますが、日本国内のセキュリティ産業は海外企業に比べて競争力が十分ではないという課題を抱えています。
この戦略では、高度かつ未知の攻撃にも対処可能な攻撃の早期発見技術や、AIを活用したシステムの脆弱性の検知・評価技術など、防御力向上に資する技術の開発と社会実装に向けて、約300億円・5年間という大規模な予算が計上されています。この予算は、国内のセキュリティ企業やスタートアップ企業の技術開発支援、大学や研究機関との共同研究の推進、新たなセキュリティソリューションの実証実験などに充てられる予定です。
産業振興戦略の狙いは、単に防御力を高めるだけでなく、サイバーセキュリティを新たな産業として育成し、雇用創出や経済成長にも貢献させることにあります。日本企業が開発した高度なセキュリティ製品やサービスが国内外で広く採用されることで、国際競争力の強化にもつながると期待されています。
サプライチェーン対策評価制度の整備
経済産業省は、サプライチェーンのセキュリティ強化を重要課題と位置づけ、サプライチェーン強化に向けたセキュリティ対策評価制度の整備を進めています。2025年4月には中間取りまとめが公表され、2026年度の本格運用開始が予定されています。
この評価制度は、企業のセキュリティ対策レベルを客観的に評価し、取引先選定の際の判断材料とすることを目的としています。制度の導入により、企業は自社だけでなく、取引先のセキュリティ対策状況も把握しやすくなり、サプライチェーン全体のセキュリティレベル向上が期待されています。
評価制度では、企業規模や業種に応じた評価基準が設定され、中小企業でも実施可能な基本的対策から、大企業に求められる高度なセキュリティ対策まで、段階的な評価が行われる予定です。これにより、中小企業の過度な負担を避けつつ、サプライチェーン全体のセキュリティ底上げを図ることが可能となります。また、評価結果に応じて認証マークを付与する仕組みも検討されており、セキュリティ対策に積極的な企業が市場で評価されるインセンティブ設計も重視されています。
ランサムウェア攻撃の脅威と対策
ランサムウェア被害の深刻な現状
ランサムウェアは、独立行政法人情報処理推進機構(IPA)が公表する情報セキュリティ10大脅威の組織編において、3年連続で1位という不名誉な記録を続けており、その脅威は年々深刻化の一途をたどっています。業種や組織規模を問わず被害が発生しており、大企業から中小企業、さらには医療機関や教育機関、地方自治体に至るまで、あらゆる組織が標的となっています。
ランサムウェアの攻撃手法も進化しており、従来の単純なデータ暗号化に加えて、機密情報を事前に窃取し、身代金を支払わなければその情報を公開すると脅迫する二重恐喝の手法が主流となっています。さらに近年では、被害企業の取引先や顧客にも直接連絡を取り、圧力をかける三重恐喝という手法も登場しており、攻撃者の手口はますます悪質化しています。
2025年に発生した主なランサムウェア被害事例
2025年には、国内で複数の深刻なランサムウェア被害が報告されています。2025年4月には、大手総合印刷企業の海外グループ会社がランサムウェア攻撃を受け、一部サーバーが暗号化される事件が発生しました。この攻撃により、印刷業務が一時停止し、納期を控えた顧客への納品に遅延が生じ、多大な損害が発生しました。印刷業界は、出版物やカタログ、パンフレットなど、期日厳守が求められる業務が多く、システム停止による影響は特に深刻です。
2025年3月には、大分県で複数のスーパーマーケットを展開する企業がランサムウェア攻撃を受け、全店舗が臨時休業を余儀なくされるという事態が発生しました。POSシステムや在庫管理システムが使用不能となり、商品の販売ができなくなったためです。地域住民の日常生活に直結するスーパーマーケットの休業は、特に高齢者や車を持たない住民にとって深刻な問題となり、社会的な影響も大きなものとなりました。
2025年1月には、テーマパーク運営をしているグループ会社がランサムウェア被害を受け、最大約200万件の個人情報が漏洩した可能性があることが判明しました。顧客の氏名、住所、電話番号、メールアドレス、さらには入場履歴などのプライバシー情報が攻撃者の手に渡った可能性があり、二次被害としてフィッシング詐欺や不正アクセスに悪用される懸念が高まっています。同社は顧客への謝罪と注意喚起を行うとともに、個人情報保護委員会への報告と再発防止策の策定に追われることとなりました。
ランサムウェアの主な感染経路と侵入手法
ランサムウェアの感染経路として最も多いのは、VPN機器からの侵入とリモートデスクトップからのアクセスです。新型コロナウイルス感染症の流行以降、テレワークが急速に普及し、VPNやリモートデスクトップの利用が増加しました。しかし、これらの技術は適切に設定・管理されていない場合、攻撃者にとって格好の侵入経路となります。特に、古いバージョンのVPN機器に存在する脆弱性や、弱いパスワードで保護されたリモートデスクトップは、攻撃者に容易に突破されてしまいます。
その他の主な感染経路としては、フィッシングメールやマルウェア付きの添付ファイルが挙げられます。巧妙に作られたフィッシングメールは、受信者が業務関連のメールと誤認して開封しやすく、添付ファイルを実行したり、記載されたリンクをクリックしたりすることでマルウェアに感染します。また、不正なウェブサイトへの誘導、ソフトウェアの脆弱性を悪用した攻撃、USBメモリなどの外部記憶媒体を介した感染、サプライチェーンを経由した攻撃なども重要な感染経路となっています。
攻撃者は常に新しい手法を開発しており、一つの対策だけでは防ぎきれない状況となっています。そのため、多層防御(ディフェンス・イン・デプス)の考え方に基づき、複数のセキュリティ対策を組み合わせることが重要です。
企業が実施すべきランサムウェア対策
ランサムウェア対策として、企業はまずアンチウイルスソフトウェアやEDR(エンドポイント検知・対応)、ネットワーク監視システムなどのセキュリティツールを導入し、異常な挙動を早期に検知できる体制を整える必要があります。特にEDRは、従来のアンチウイルスソフトでは検知できない未知のマルウェアや高度な攻撃に対しても、行動パターンの分析により脅威を検知できるため、ランサムウェア対策として極めて有効です。
オペレーティングシステムやソフトウェアの定期的な更新も重要な対策です。攻撃者は既知の脆弱性を悪用してシステムに侵入することが多いため、セキュリティパッチを迅速に適用することで、多くの攻撃を未然に防ぐことができます。特にVPN機器やリモートデスクトップソフトウェアなど、外部からアクセス可能なシステムについては、最優先でアップデートを実施すべきです。
従業員へのセキュリティ教育の徹底も欠かせません。不審なメールやファイルへの注意喚起、フィッシング詐欺の見分け方、安全なパスワードの設定方法など、基本的なセキュリティ知識を全従業員が持つことで、ヒューマンエラーによる感染を大幅に減らすことができます。定期的な訓練やテストを実施し、従業員のセキュリティ意識を常に高い水準に保つことが重要です。
何より重要なのが、重要データの定期的なバックアップと隔離保管です。ランサムウェアに感染してデータが暗号化されても、適切にバックアップが取られていれば、身代金を支払うことなくデータを復旧できます。ただし、バックアップデータがネットワークに接続された状態で保管されていると、ランサムウェアによって同時に暗号化される可能性があるため、オフライン保管やイミュータブル(書き換え不可能)ストレージの利用が推奨されています。バックアップは複数世代を保管し、定期的に復旧テストを実施して、実際に復元できることを確認しておくことも重要です。
さらに、インシデント対応計画の策定と訓練も必要不可欠です。万が一ランサムウェアに感染した場合、迅速かつ適切に対応することで被害を最小限に抑えることができます。感染が発覚した際の初動対応、関係者への連絡体制、システムの隔離手順、復旧プロセスなどを事前に定めておき、定期的な訓練を通じて実効性を高めておくことが重要です。
サプライチェーン攻撃への対応策
サプライチェーン攻撃が増加する背景
サプライチェーン攻撃は、独立行政法人情報処理推進機構(IPA)の情報セキュリティ10大脅威2025において7年連続でランクインし、2023年から2025年にかけては3年連続で2位に位置しています。この攻撃手法は、標的企業への直接攻撃ではなく、その企業と取引関係にあるサプライヤーや業務委託先、関連企業を侵害し、そこを踏み台にして真の標的へと攻撃を仕掛ける巧妙な手法です。
サプライチェーン攻撃が特に危険な理由は、セキュリティ対策が比較的脆弱な中小企業や関連会社を経由することで、強固なセキュリティ体制を構築している大企業でも被害を受ける可能性があるためです。大企業は自社のセキュリティには十分な投資を行い、最新の技術や専門人材を配置していますが、取引先や子会社、特に海外拠点のセキュリティレベルまでは管理が行き届かないケースが多く、そこが攻撃の突破口となっています。
2025年上半期のサプライチェーン攻撃被害状況
2025年上半期に国内の上場企業が公表した被害報告では、サプライチェーン攻撃による被害が顕著に表れています。子会社経由での被害が14件報告されており、そのうち12件は海外の子会社経由でした。この統計は、グローバル化が進む現代において、海外拠点のセキュリティ管理が極めて重要な課題となっていることを明確に示しています。
海外子会社は、本社から物理的に離れているため、セキュリティ管理の目が行き届きにくく、また現地の法規制や文化の違いから、統一的なセキュリティポリシーの適用が困難な場合があります。さらに、言語の壁や時差などのコミュニケーション上の問題も、迅速なインシデント対応を妨げる要因となっています。特に、買収や合併によって短期間で企業グループに加わった子会社は、本社のセキュリティ基準への適合が十分でないまま運用されているケースも多く、脆弱性が生じやすい状況にあります。
国内外で発生したサプライチェーン攻撃の主な事例
国際的には、2020年に発生したソーラーウインズ社のインシデントが、サプライチェーン攻撃の深刻さを世界に知らしめました。同社のネットワーク管理ソフトウェアに悪意のあるコードが仕込まれ、そのソフトウェアをアップデートした数万の組織が影響を受けました。この事件では、米国政府機関や大手企業も被害を受け、国家安全保障上の重大な懸念となりました。攻撃者は数ヶ月にわたって検知されることなく活動を続け、機密情報を窃取していたことが後に判明しています。
また、米国で発生したMOVEitのインシデントでは、ファイル転送ソフトウェアの脆弱性が悪用され、多数の企業や組織のデータが窃取されました。MOVEitは企業間でファイルを安全に転送するために広く使用されているソフトウェアであり、その脆弱性が悪用されたことで、数百の企業が影響を受け、数千万人分の個人情報が漏洩する事態となりました。
日本でも、自動車業界を中心にサプライチェーン攻撃の脅威が継続しており、部品メーカーや物流企業を狙った攻撃が報告されています。自動車産業は多層的なサプライチェーンを持ち、数千から数万の部品メーカーが関わっているため、すべての取引先のセキュリティレベルを管理することは極めて困難です。攻撃者はこの複雑な構造を利用し、比較的セキュリティが弱い下位層の企業を侵害することで、最終的には自動車メーカー本体への侵入を狙います。
サプライチェーン攻撃への効果的な対策
サプライチェーン攻撃への対策としては、まず自社のサプライチェーン全体を可視化し、どの取引先がどのような情報やシステムにアクセスできるかを正確に把握することが重要です。多くの企業は、直接取引のある一次サプライヤーは把握していても、二次、三次のサプライヤーまでは管理できていないのが現状です。サプライチェーンマップを作成し、リスクが高い取引先を特定することが対策の第一歩となります。
その上で、取引先のセキュリティレベルを定期的に評価し、必要に応じて改善を求める仕組みを構築する必要があります。具体的には、取引先との契約にセキュリティ要件を明記すること、定期的なセキュリティ監査の実施、インシデント発生時の報告体制の確立、セキュリティ教育の共同実施などが挙げられます。また、重要な取引先に対しては、セキュリティ対策の技術的・財政的支援を行うことも効果的です。中小企業の中には、セキュリティの重要性は理解していても、コストや専門人材の不足から十分な対策を講じられないケースも多く、取引先として支援することで、サプライチェーン全体のセキュリティレベル向上につながります。
技術的な対策としては、ゼロトラストセキュリティの考え方を採用し、たとえ取引先からのアクセスであっても、常に認証と認可を厳格に行うことが推奨されています。従来の境界防御の考え方では、社内ネットワークや取引先からのアクセスは信頼できるものとして扱われがちでしたが、ゼロトラストでは「信頼しない、常に検証する」という原則に基づき、すべてのアクセスを疑い、厳格に管理します。
また、ネットワークのセグメント化により、万が一侵入された場合でも被害の拡大を防ぐことができます。重要な情報やシステムを別のネットワークセグメントに分離し、アクセス制御を厳格に行うことで、攻撃者が内部ネットワークを自由に移動することを防ぎます。さらに、異常なネットワーク通信を検知するためのIDS/IPS(侵入検知・防止システム)やSIEM(セキュリティ情報イベント管理)の導入も有効です。
フィッシング詐欺とビジネスメール詐欺の脅威
フィッシング詐欺の急増と手口の巧妙化
フィッシング詐欺は年々増加の一途をたどっており、2024年のフィッシング報告件数は過去最多の1718036件となり、2023年と比較して約1.44倍に増加しました。2024年12月には報告件数が23万件を超え、月ベースでも過去最多件数を記録しました。2025年1月のフィッシング報告件数は136169件となり、2024年12月と比較すると約41.4%減少しましたが、依然として非常に高い水準で推移しています。
フィッシング詐欺の主なターゲットとして、Amazon、PayPay、三井住友カード、えきねっと、佐川急便、JAバンクなどの有名企業やサービスをかたるフィッシングが全体の約53.4%を占めています。これらの企業は利用者が多く、ブランドへの信頼性が高いため、攻撃者がなりすましやすい対象となっています。利用者は普段からこれらのサービスを利用しているため、不審なメールであっても本物と誤認しやすく、攻撃の成功率が高くなります。
フィッシング詐欺の手口は巧妙化しており、本物と見分けがつかないほど精巧に作られた偽サイトや、緊急性を煽る内容のメールにより、利用者を騙して個人情報やクレジットカード情報、ログイン認証情報などを窃取します。近年では、正規のサービスからの通知を装ったSMS(ショートメッセージサービス)を利用したスミッシングと呼ばれる手法も増加しています。SMSはメールよりも信頼性が高いと感じる利用者が多く、また短い文章で緊急性を伝えやすいため、フィッシング攻撃の新たな手段として急速に普及しています。
2025年に発生した最新のフィッシング事例
2025年1月には、Riyaという旅行会社のハッキングされたアカウントを使用した大規模なフィッシング攻撃が発生しました。この攻撃は1週間で7300社以上の企業と4万人以上の個人に影響を与え、正規のアカウントから送信されたメールであったため、多くの受信者が詐欺メールと気づかずに開封してしまいました。通常、フィッシングメールはメールアドレスのドメインやメールサーバーの情報から判別できることが多いですが、正規のアカウントから送信された場合、技術的な判別が極めて困難となります。
また、「フィッシングにご注意」というタイトルのメール自体がフィッシング詐欺であるという事例も報告されており、セキュリティ意識の高い利用者でも騙される可能性が高まっています。攻撃者はユーザーのセキュリティ意識を逆手に取り、セキュリティ警告を装ったメールで油断させる手法を用いています。このような高度な心理的操作を伴う攻撃は、技術的な対策だけでは防ぎきれず、利用者の慎重な判断が求められます。
ビジネスメール詐欺(BEC)の深刻な被害
ビジネスメール詐欺(BEC:Business Email Compromise)は、企業の経営層や財務担当者などになりすまして、取引先や従業員に偽の送金指示を行う詐欺手法です。米連邦捜査局(FBI)のインターネット犯罪苦情センター(IC3)によると、2023年には約4050億円の被害が発生したと報告されており、企業にとって極めて深刻な脅威となっています。
ビジネスメール詐欺の手口は非常に巧妙で、事前に標的企業の取引関係や業務フロー、担当者の情報などを入念に調査した上で実行されます。攻撃者は、SNSや企業ウェブサイト、リンクトインなどから情報を収集し、組織内の人間関係や業務の流れを詳細に把握します。その上で、経営者や取引先の担当者になりすまし、緊急性の高い案件や機密性の高い取引を装って、通常とは異なる口座への送金を指示します。
独立行政法人情報処理推進機構(IPA)には、国内企業からのビジネスメール詐欺の被害事例が多数報告されています。事例の中には、海外の取引先とのやり取りを装い、数千万円から数億円規模の被害が発生したケースもあります。一度送金してしまうと資金の回収は極めて困難であり、企業の財務に重大な影響を与えるだけでなく、経営責任や内部統制の問題として、企業の信頼性にも大きな傷を残します。
ビジネスメール詐欺の主なパターンと対策
ビジネスメール詐欺には主に5つのパターンがあります。第一に、経営者や幹部になりすまして従業員に送金を指示するパターン。第二に、取引先になりすまして振込先口座の変更を依頼するパターン。第三に、不動産取引や企業買収などの大型取引に関わる担当者や弁護士になりすますパターン。第四に、人事部門や経理部門を装って従業員の個人情報や給与情報を詐取するパターン。第五に、経営者のメールアカウントを乗っ取り、そこから取引先や従業員に詐欺メールを送信するパターンです。
これらのパターンに共通するのは、組織内の権限関係や取引の信頼関係を悪用し、受信者が疑問を持ちにくい状況を作り出すことです。また、時差や緊急性を理由に、通常の確認プロセスを省略させようとする手口も頻繁に用いられます。
ビジネスメール詐欺への対策としては、送金や口座変更の依頼があった場合、必ず既知の連絡先(メールではなく電話など)で事実確認を行うことが最も重要です。メールだけでのやり取りで送金を実行することは絶対に避け、電話や対面での確認を徹底することで、多くの詐欺を防ぐことができます。
また、経営層や取引先を名乗るメールであっても、通常とは異なる依頼には慎重に対応すること、送金権限を複数人でチェックする体制を構築することなども有効です。特に、大きな金額の送金や新規の送金先への支払いについては、複数の承認者による確認を必須とするダブルチェック体制を整えることが推奨されます。
技術的な対策としては、DMARC、DKIM、SPFなどのメール認証技術の導入により、なりすましメールの検知精度を向上させることができます。これらの技術は、送信元のドメインが正当なものであるかを検証し、偽装されたメールアドレスからの送信を検知する仕組みです。また、従業員へのセキュリティ教育を定期的に実施し、最新の詐欺手法や対処方法についての理解を深めることも重要です。特に、実際のフィッシングメールやビジネスメール詐欺を模した訓練メールを送信し、従業員の反応を評価する取り組みも効果的とされています。
DDoS攻撃と標的型攻撃への備え
2024年末から2025年初頭の大規模DDoS攻撃
2024年12月26日以降、国内の複数の企業がDDoS攻撃による被害を報告し、昼夜を問わず繰り返し攻撃が発生しました。被害を受けた企業には、日本航空、三菱UFJ銀行、りそな銀行、みずほ銀行などの重要インフラ企業が含まれており、一部のシステム復旧には数時間を要し、多くの人々の生活に影響を及ぼしました。
DDoS攻撃とは、Distributed Denial of Service(分散型サービス拒否攻撃)の略で、複数のコンピュータから標的となるサーバーやネットワークに対して大量のアクセスやデータを送信し、正常なサービス提供を妨害する手法です。攻撃者は、マルウェアに感染させた多数のコンピュータやIoT機器をボットネットとして制御し、一斉に攻撃を仕掛けます。
2024年末から2025年初頭にかけての攻撃は、ネットワーク帯域幅を消費させるタイプとシステムリソースを消費させるタイプを組み合わせたハイブリッドDDoS攻撃と考えられており、国内企業への最大規模のDDoS攻撃となりました。この攻撃の深刻さから、DDoS攻撃は情報セキュリティ10大脅威2025において5年ぶりに8位にランクインしました。
DDoS攻撃の影響と攻撃の目的
DDoS攻撃による被害は、単にウェブサイトやサービスが利用できなくなるだけでなく、企業の信頼性低下、機会損失、復旧コストの増大など、多岐にわたります。金融機関がDDoS攻撃を受けた場合、顧客がオンラインバンキングを利用できなくなり、取引の遅延や顧客の不安を招きます。航空会社の場合は、予約システムやチェックインシステムが停止し、運航に支障をきたす可能性があります。電子商取引サイトが攻撃を受ければ、販売機会の損失だけでなく、顧客の他サイトへの流出という長期的な影響も懸念されます。
DDoS攻撃の目的は様々です。競合企業による業務妨害、政治的・思想的な主張を示すためのハクティビズム、身代金の要求、より高度な攻撃を隠蔽するための陽動作戦など、攻撃者の意図は多様化しています。近年では、DDoS攻撃を予告して身代金を要求する手口も増加しており、企業にとって深刻な脅威となっています。
DDoS攻撃への効果的な対策
DDoS攻撃への対策としては、WAF(ウェブアプリケーションファイアウォール)やIDS/IPS(侵入検知システム・侵入防止システム)などのDDoS対策システムの実装が有効です。これらのシステムは、異常なトラフィックパターンを検知し、攻撃トラフィックをフィルタリングすることで、正規のアクセスのみを通過させます。
また、CDN(コンテンツデリバリーネットワーク)やDDoS対策サービスの利用も効果的です。例えば、Akamaiのようなサービスプロバイダーは、世界中に配置された36万台以上のエッジサーバーを使用して攻撃者のトラフィックを検知し、負荷を効果的に分散させることで、標的システムへの攻撃を軽減します。CloudflareやAWS Shield、Azure DDoS Protectionなど、各種クラウドプロバイダーもDDoS対策サービスを提供しており、これらを活用することで、自社でインフラを構築するよりも低コストで高度な防御が可能となります。
さらに、帯域幅の拡張やサーバーの冗長化、トラフィック監視体制の強化、インシデント対応計画の策定なども重要な対策です。DDoS攻撃は完全に防ぐことが困難な場合もあるため、攻撃を受けた際の影響を最小限に抑え、迅速に復旧できる体制を整えることが重要となります。
標的型攻撃の脅威と特徴
標的型攻撃は、特定の組織を狙って機密情報を窃取したり、業務を妨害したりすることを目的とした攻撃です。不特定多数を狙う一般的なサイバー攻撃とは異なり、標的型攻撃は特定の企業や組織に焦点を絞り、その組織の弱点を徹底的に調査した上で実行されます。
標的型攻撃の主な手法として、標的型メールが挙げられます。攻撃者は、標的組織の従業員に対して、業務に関連するような件名や内容のメールを送信し、悪意のある添付ファイルやリンクを開かせることで、マルウェアに感染させます。これらのメールは、取引先や関係者を装っており、受信者が疑問を持ちにくいよう巧妙に作成されています。実在する取引先の担当者名を使用したり、実際の商談内容に言及したりすることで、信憑性を高める工夫がなされています。
標的型攻撃は、APT(Advanced Persistent Threat:高度で持続的な脅威)とも呼ばれ、長期間にわたって組織内に潜伏し、徐々に権限を拡大しながら重要な情報を窃取します。一度侵入を許すと、攻撃者は内部ネットワークを移動し、機密情報にアクセスできるシステムを探索し、最終的な目的を達成するまで活動を継続します。この潜伏期間は数ヶ月から数年に及ぶこともあり、その間に大量の機密情報が窃取される可能性があります。
標的型攻撃への対策
標的型攻撃への対策として、従業員へのセキュリティ意識教育が不可欠です。特に、不審なメールの見分け方や、添付ファイルやリンクを開く前の確認方法について、定期的な教育を実施することが重要です。また、標的型メールを模した訓練を実施し、従業員の対応能力を向上させることも効果的です。訓練で添付ファイルを開いてしまった従業員には、個別のフィードバックを行い、どのような点に注意すべきだったかを具体的に指導することで、実際の攻撃に対する対応力を高めることができます。
技術的な対策としては、EDR(エンドポイント検知・対応)の導入により、PCなどのエンドポイントを監視し、異常な挙動を早期に検知することが推奨されています。EDRは、従来のアンチウイルスソフトでは検知できない高度な攻撃に対しても、行動分析により不審な活動を特定できます。例えば、通常使用しないプログラムが実行された、大量のファイルにアクセスした、外部サーバーへの不審な通信が発生したなど、異常なパターンを検知して警告を発します。
また、ネットワークのセグメント化により、万が一侵入された場合でも被害の拡大を防ぐことができます。重要な情報やシステムを別のネットワークセグメントに分離し、アクセス制御を厳格に行うことで、攻撃者が内部ネットワークを自由に移動することを防ぎます。最小権限の原則に基づいてアクセス権を管理し、各従業員には業務上必要最小限の権限のみを付与することも重要です。
さらに、ログの収集と分析を強化し、SIEM(セキュリティ情報イベント管理)システムを導入することで、不審な活動をリアルタイムで検知し、迅速な対応が可能となります。定期的な脆弱性診断やペネトレーションテストにより、組織のセキュリティ上の弱点を事前に特定し、改善することも重要な対策です。
ゼロデイ攻撃とシステム脆弱性への対処
ゼロデイ攻撃の深刻化と防御の困難性
ゼロデイ攻撃とは、ソフトウェアやシステムの脆弱性が発見され、開発者が修正パッチを提供する前に、その脆弱性を悪用して行われる攻撃のことです。ゼロデイという名称は、開発者が脆弱性に対処する時間がゼロ日、つまり全くない状態で攻撃が行われることに由来しています。独立行政法人情報処理推進機構(IPA)が発表した情報セキュリティ10大脅威2025では、システムの脆弱性を突いた攻撃が3位にランクインしており、その深刻さが浮き彫りになっています。
ゼロデイ攻撃の特徴は、防御が極めて困難であることです。通常のサイバー攻撃は既知の脆弱性を悪用するため、セキュリティパッチを適用することで防ぐことができますが、ゼロデイ攻撃はまだ公開されていない、または修正されていない脆弱性を悪用するため、従来のセキュリティ対策では対応できません。
2025年に報告された主なゼロデイ脆弱性
2025年に報告されているゼロデイ脆弱性では、脅威アクターは発表直後に脆弱性を武器化する速度を高めており、特に重要なシステムやソフトウェアに対してゼロデイ攻撃が実行され、被害の範囲と複雑さが拡大しています。攻撃者は、脆弱性の情報が公開されると、わずか数時間から数日以内に攻撃コードを開発し、実際の攻撃を開始する能力を持っています。
2025年に発見された主なゼロデイ脆弱性として、Google ChromeのCVE-2025-10585があります。これはV8エンジンの型混同を突いた脆弱性で、悪意のあるウェブサイトを訪問するだけで、攻撃者が任意のコードを実行できる可能性があります。Chromeは世界中で最も使用されているウェブブラウザの一つであり、この脆弱性の影響範囲は極めて広範です。
また、SAP NetWeaverのCVE-2025-31324は、CVSSスコア10.0とされる深刻な脆弱性で、認証を必要とせずファイルアップロードにより完全なシステム侵害が可能となります。SAP NetWeaverは多くの企業の基幹業務システムで使用されており、この脆弱性が悪用された場合、企業の重要な業務データや財務情報が窃取される可能性があります。
Windows環境では2025年5月に複数のゼロデイ脆弱性が同時に修正されました。これらの脆弱性は、既に攻撃者によって悪用されていたことが確認されており、多くの企業が被害を受けた可能性があります。Windowsは企業の業務環境で広く使用されているため、これらの脆弱性の影響は深刻です。
VPNやネットワーク機器の脆弱性も深刻な問題となっています。テレワークの普及によりVPNの利用が急増しており、ゼロデイ攻撃の格好の標的となっています。Cisco ASAやFirepowerなどのネットワーク機器の脆弱性(CVE-2025-20333およびCVE-2025-20362)がゼロデイサイバー攻撃への悪用を確認されており、早期対処が推奨されています。
ファイル圧縮ソフトウェアの7-Zipの脆弱性(CVE-2025-0411)もゼロデイ攻撃に悪用されていることが報告されています。7-Zipは広く使用されているソフトウェアであり、多くのユーザーが影響を受ける可能性があります。
ゼロデイ攻撃への対策
ゼロデイ攻撃への対策は、修正パッチが存在しないという性質上、従来のパッチ適用による対策とは異なるアプローチが必要です。第一に、オペレーティングシステムやアプリケーションを常に最新の状態に保つことが重要です。ゼロデイ脆弱性が発見され公表された後は、開発者が迅速に修正パッチを提供するため、そのパッチを可能な限り早く適用することで、攻撃のリスクを最小限に抑えることができます。
第二に、未知のマルウェアも検知できる高度なアンチウイルスソフトウェアを導入することが推奨されます。従来のシグネチャベースのアンチウイルスソフトでは、既知のマルウェアしか検知できませんが、最近の高度なセキュリティソリューションは、振る舞い検知や機械学習を用いて、未知のマルウェアや異常な動作を検知することができます。
第三に、ネットワークセキュリティ製品の導入が有効です。ファイアウォール、侵入検知システム(IDS)、侵入防止システム(IPS)などを適切に設定することで、異常なネットワークトラフィックや不審な通信を検知し、ゼロデイ攻撃の兆候を早期に発見できます。
第四に、EDR(エンドポイント検知・対応)を導入することで、ゼロデイ攻撃を未然に防ぐことも可能です。EDRは、エンドポイント上での異常な動作をリアルタイムで監視し、攻撃の兆候を検知した際には自動的に対処を行います。これにより、ゼロデイ攻撃による被害を最小限に抑えることができます。
企業におけるセキュリティ体制の強化
セキュリティポリシーの策定と定期的な見直し
企業は、ゼロデイ攻撃を含む様々なサイバー攻撃から組織を守るため、包括的なセキュリティ体制を構築する必要があります。まず、セキュリティポリシーの策定と定期的な見直しが重要です。組織全体でセキュリティに対する意識を高め、明確なガイドラインに基づいて行動することで、人的なミスによるセキュリティインシデントを減らすことができます。
セキュリティポリシーには、パスワード管理の方針、デバイスの使用ルール、データの取り扱い基準、インシデント発生時の報告手順などを明記し、全従業員に周知徹底する必要があります。また、業務環境やサイバー攻撃の手法は常に変化しているため、少なくとも年に一度はポリシーの見直しを行い、最新の脅威に対応できる内容に更新することが重要です。
インシデント対応体制の整備
次に、インシデント対応体制の整備が不可欠です。CSIRT(Computer Security Incident Response Team)のような専門チームを設置し、セキュリティインシデントが発生した際に迅速かつ適切に対応できる体制を整えることが重要です。CSIRTは、インシデントの検知、分析、封じ込め、復旧、そして再発防止策の策定までを一貫して担当します。
インシデント対応計画を策定し、定期的な訓練を実施することで、実際のインシデント発生時に混乱を最小限に抑えることができます。訓練では、様々なシナリオを想定し、各担当者の役割と手順を確認することが重要です。また、インシデント発生時の連絡体制や、外部の専門家や当局との連携方法についても事前に定めておく必要があります。
脆弱性管理プロセスの確立
また、脆弱性管理プロセスの確立も重要です。組織内で使用しているすべてのソフトウェアやシステムの脆弱性情報を継続的に収集し、リスク評価を行い、優先順位をつけて対策を実施することが必要です。脆弱性スキャンツールを使用して定期的にシステムをスキャンし、新たな脆弱性を早期に発見することも効果的です。
脆弱性管理では、発見された脆弱性を重要度や影響範囲に応じて分類し、対応の優先順位を決定します。特に、CVSS(共通脆弱性評価システム)スコアが高い脆弱性や、インターネットに公開されているシステムの脆弱性は、最優先で対応する必要があります。
サプライチェーンのセキュリティ管理
さらに、サプライチェーンのセキュリティも考慮する必要があります。自社だけでなく、取引先や委託先のセキュリティレベルも確認し、サプライチェーン全体でセキュリティを強化することが重要です。これにより、取引先を経由した攻撃のリスクを軽減できます。取引先選定の際にセキュリティレベルを評価項目に含めることや、契約書にセキュリティ要件を明記すること、定期的な監査を実施することなどが有効です。
継続的なセキュリティ対策の見直しと強化
2025年は、サイバー攻撃がますます高度化・多様化する中で、企業は継続的にセキュリティ対策を見直し、強化していく必要があります。政府の支援策や業界のベストプラクティスを活用しながら、組織全体でセキュリティ意識を高め、技術的・組織的な対策を総合的に実施することが、サイバー攻撃から企業を守る鍵となります。
セキュリティは一度対策を講じれば終わりというものではなく、攻撃者の手法が進化し続ける限り、防御側も継続的に進化していく必要があります。定期的な見直しと改善のサイクルを確立し、常に最新の脅威に対応できる体制を維持することが、企業の持続的な発展と社会的信頼の維持に不可欠です。
