企業や官公庁向け情報セキュリティ製品メーカー「デジタルアーツ」社が、2023年から2025年までの3年間に国内で発生したセキュリティインシデントに関する集計レポートを公開。
同レポートによると、2025年に国内で確認されたセキュリティインシデントの総数は1782件に達し、同社の集計開始以降で最多となったという。
前年の1344件から大きく増加しており、サイバー攻撃の被害が社会全体に広がっている実態が示されている。
内訳では不正アクセスが782件と最も多く、全体の約4割を占めた。
特に2025年上半期は、取引先や業務委託先を起点とするサプライチェーン攻撃が目立ち、外部サービスの脆弱性を突いた侵入や、マルウェア感染をきっかけとした被害が相次いだ。
下半期に入ると、委託元企業からの報告件数は減少したものの、酒類事業やオフィス用品通販を行う企業でランサムウェア被害が発生。
業務停止や情報流出、機会損失につながる影響が確認された。
業界別では、保険業界でサプライチェーンを起点とした情報流出の公表が相次でおり、保険会社では不正アクセスにより顧客情報を含む約1740万件の情報流出の可能性が示される事例が確認されたという。
また、保険代理店や保険事故調査会社でもランサムウェア被害により、委託元を含む情報流出が公表された。
学校や教育機関への影響も拡大している。
2025年は関連インシデントが過去最多となり、特に卒業アルバム制作を担う委託先企業でのランサムウェア被害が増加要因となった。
制作会社のクラウド環境や制作サーバーが侵害され、児童生徒の画像や氏名が外部から閲覧された可能性が判明した事例も報告された。
委託先の設定不備や認証管理の甘さが被害拡大につながったケースとされる。
レポートでは、「インフォスティーラー」と呼ばれる情報窃取型マルウェアによって盗まれた認証情報が、不正アクセスやランサムウェア侵入の起点として悪用されている点も指摘された。
インフォスティーラーとは、IDやパスワードなどを密かに外部へ送信するマルウェアの一種である。
デジタルアーツは「被害を防ぐためにはWebやメールの入口対策に加え、委託先を含めた一体的なセキュリティ管理が重要」としている。