2025年 日本のセキュリティインシデントまとめ - アサヒ・アスクルのランサムから証券口座乗っ取りまで
はじめに
2025年の日本は、ランサムウェアの「災害級」化とサプライチェーン経由の大規模漏洩、そして証券口座乗っ取りの急増が重なった一年でした。本記事では、2025年(暦年)に発生・公表された主要インシデントを種別ごとに整理します。翌年の動向は2026年版を参照してください。
NOTE
本記事は公表内容・報道に基づくまとめです。被害規模は「漏洩の可能性がある最大件数」を含み、確定値でない場合があります。侵入経路など未公表・調査中の点は断定を避け、最新は各出典でご確認ください。
全体像 - 主なインシデント一覧
| 時期 | インシデント | 種別 | 被害規模(公表値) |
|---|---|---|---|
| 1月 | 快活CLUB(快活フロンティア) | 不正アクセス | 最大729万件超 |
| 3月〜 | 証券口座乗っ取り(業界横断) | フィッシング/不正取引 | 不正売買 約7,408億円 |
| 4-5月 | PR TIMES | 不正アクセス | 最大約90万件+未公開PR |
| 4月 | 損保ジャパン | 不正アクセス | 最大約1,748万件 |
| 7月 | 審調社(保険業界) | ランサムウェア | 約10万件(要配慮情報含む) |
| 8月 | ハウステンボス | 不正アクセス/暗号化 | 最大約154.6万件 |
| 9月 | アサヒグループHD | ランサムウェア | 最大約191万件・事業停止 |
| 9-10月 | ローレルバンクマシン経由 | サプライチェーン | 金融機関多数へ波及 |
| 10月 | アスクル | ランサムウェア | 約74万件・物流停止 |
| 10月 | 岩見沢市立総合病院 | SNS人的事故 | 患者20名分 |
【ランサムウェア - 事業停止を招いた大型攻撃】
アサヒグループHD(9月公表)
ビール大手のアサヒグループHDがランサムウェア被害を公表。受注・出荷システムが停止し、工場・販売現場に広範な影響が及びました。個人情報は最大約191万件の漏洩可能性。物流の全面再開は翌2026年4月までずれ込み、2026年6月には売上を年間計画比で約600億円下回る見込みと公表されています(SQAT、ScanNetSecurity)。JNSA の2025年10大ニュースでも1位に選ばれた、「災害級」の事案です。
アスクル(10月公表)
オフィス通販大手のアスクルがランサムウェアで物流システムが全面停止。法人EC「ASKUL」・消費者向け「LOHACO」の出荷が長期停止し、無印良品・LOFTなど委託先の出荷まで巻き込むサプライチェーン障害に発展しました。個人情報は約74万件の漏洩可能性(日経新聞、トレンドマイクロ)。
ハウステンボス / 審調社
テーマパークのハウステンボスは8月の不正アクセスでサーバーが一部暗号化され、最大約154.6万人分の漏洩可能性(Security NEXT)。保険事故調査の審調社はランサム被害で約10万件(要配慮情報含む)が漏洩し、委託元の保険会社31社へ二次被害が波及しました(報道ベース)。
WARNING
警察庁によれば、2025年のランサムウェア侵入経路はVPN機器が約6割超、二重恐喝型(窃取+暗号化)が約9割。VPNのパッチ適用遅延が引き続き最大の入口です。
【サプライチェーン・委託先経由の波及】
ローレルバンクマシン(Jijilla)経由 - 金融機関多数へ
クラウドサービス「Jijilla」の脆弱性を突いたローレルバンクマシンへの不正アクセスが、委託の連鎖を通じてみずほ証券・野村証券・NRI・広島銀行など多数の金融機関の顧客情報流出に波及しました(日経クロステック)。「自社が固くても委託先から落ちる」を象徴する事案です。
【不正アクセス・大規模漏洩】
損保ジャパン(4月)
内部Webシステム経由とみられる不正アクセスで、最大約1,748万件(顧客関連約904万件+特定不能約844万件)の漏洩可能性。6月には金融庁が報告徴求命令を発出しました(損保ジャパン 公式)。
快活CLUB / PR TIMES
快活CLUB(快活フロンティア)は1月の不正アクセスで会員729万件超が漏洩可能性。攻撃者(高校生)がChatGPTを悪用して攻撃ツールを改良していたとして11月に逮捕され、生成AI悪用の象徴例になりました(Security NEXT)。PR TIMESは管理画面への不正アクセスで個人最大約90万件に加え、発表前のプレスリリース1,682件まで閲覧可能な状態でした(PR TIMES 公式)。
【金融 - 証券口座乗っ取りの急増】
2025年3月から、フィッシングやインフォスティーラーで証券会社の認証情報を盗み、口座を乗っ取って不正取引する被害が急増。通年の不正売買額は約7,408億円規模に達し、金融庁が注意喚起・監督指針改正に動きました(Impress Watch、金融庁)。
【人的事故】
岩見沢市立総合病院 SNS投稿(10月)
委託業者の職員が、受付モニターに患者20名分(氏名・主治医名など)が表示された画面を私物スマホでSNS(BeReal)に投稿。市民の通報で発覚しました(岩見沢市立総合病院 公式)。技術的攻撃ではない人的事故も、2025年から目立ち始めています(この流れは2026年版で本格化)。
2025年の統計(警察庁)
警察庁が2026年3月10日に公表した「令和7年(2025年)におけるサイバー空間をめぐる脅威の情勢」より(数値は公表値。一部ソース間で差があるため概数表記)。
| 指標 | 2025年実績 |
|---|---|
| ランサムウェア被害報告 | 226件(高水準) |
| フィッシング報告 | 245万4,297件(前年比約+43%・過去最多) |
| ネットバンキング不正送金 被害額 | 約103億9,700万円 |
| 証券口座 不正取引 被害額 | 約7,408億円 |
| サイバー犯罪検挙 | 1万5,108件(過去最多) |
出典: 警察庁 プレスリリース、統計PDF
2025年のトレンドと教訓
- ランサムウェアの「災害級」化: アサヒ・アスクルなど大企業の事業停止に直結
- 委託先・サプライチェーンが弱点: 審調社・ローレルバンクマシン経由で大手の顧客情報が流出
- VPN機器の脆弱性悪用: 侵入経路の約6割。パッチ適用の遅れが主因
- 証券口座乗っ取り: フィッシング+インフォスティーラーで急増
- 生成AIの悪用が萌芽(快活CLUB)、SNS人的事故も出始め
対策の要点は、MFAの徹底・VPNなど境界機器のパッチ・委託先のセキュリティ評価・要配慮データの最小化です。
まとめ
- 2025年は ランサムウェアの大型化(アサヒ・アスクル・ハウステンボス)とサプライチェーン波及(審調社・ローレルバンクマシン)が主役
- 損保ジャパン1,748万件・快活CLUB729万件など大規模漏洩、証券口座乗っ取り約7,400億円
- 警察庁統計でもフィッシング・不正送金が過去最悪水準
- 続く2026年はGitHub経由・医療機関・新入社員SNS漏洩が顕在化 → 2026年版へ
技術側だけ・人側だけでは防げません。自社のチェック項目を本記事の事例に照らして再点検しておくことを強くお勧めします。
関連記事
参考リンク
- 快活CLUB:Security NEXT、公式PDF
- PR TIMES:公式、Impress Watch
- 損保ジャパン:公式
- 証券口座乗っ取り:Impress Watch、金融庁
- ハウステンボス:Security NEXT
- アサヒGHD:SQAT、ScanNetSecurity(業績影響)
- アスクル:日経新聞、トレンドマイクロ
- ローレルバンクマシン:日経クロステック
- 岩見沢市立総合病院:公式
- 警察庁2025サイバー情勢:プレス、PDF
