デジタルアーツは12月16日、2025年に発生した主なセキュリティインシデントを独自に選定し、月別に整理したセキュリティレポート「セキュリティインシデント年間表 2025」を公開した。レポートでは、2025年1月から11月までに公表された国内外のインシデントの中から、同社リサーチャーが特に注目した事案を月ごとに整理している。その概要は以下のとおり。
1月:バイオテック企業がBEC(ビジネスメール詐欺)被害 生々しい攻撃手法が明らかに
2月:テーマパーク運営会社がランサムウェア被害 最大約200万件の情報漏えい可能性
3月:証券会社で不正取引が多発
4月:法人向けメールセキュリティサービスに不正アクセス メールアカウント約31万件情報漏えい
5月:プレスリリース配信サービスに不正アクセス 発表前情報の漏えい可能性
6月:保険会社が不正アクセス受け約1748万件の情報漏えい可能性
7月:保険事故調査会社がランサムウェア被害 委託元30社以上に影響
8月:CRMサービス上のデータ窃取と恐喝が流行
9月:酒類事業を展開する事業がランサムウェア被害 EDRも検知できず
10月:オフィス用品通販を手掛ける企業がランサムウェア被害
11月:新聞社が利用するチャットツールに不正ログイン マルウエア観戦で認証情報が流出
レポートでは、これらのインシデントを踏まえ、2025年のセキュリティトレンドを次の3つの観点から整理している。
1.システムの「わずかな隙」を突かれる現実
ゼロデイ脆弱性や設定不備、古いリモートアクセス設定など、システム上の小さな隙が侵入の起点となる事案が目立った。EDRなど高度な検知製品を導入していても、運用・設計の死角を突かれると攻撃を防ぎきれないことが明らかになっている。
2.「人」を起点とした攻撃の拡大
ビジネスメール詐欺やフィッシング、偽のITサポートからの電話など、人の信頼や油断を狙う攻撃が高度化した。システムだけでなく「人」を起点としたリスクが、より身近な脅威となっている。
3.サプライチェーン全体に波及するリスク
保険業界や物流関連など、委託先・取引先企業での被害が原因となり、多数の企業や生活インフラにまで影響が及ぶ事案が相次いだ。自社の対策だけでは不十分であり、サプライチェーン全体を見据えたリスク管理の必要性が一層高まっている。
関連リンク