デジタルアーツ株式会社は12月17日、「セキュリティインシデント年間表 2025」を発表した。
同レポートは、2025年1月から11月までに公表された国内外のインシデントの中から、同社リサーチャーが特に注目した事案を月ごとに整理したもの。
同社のリサーチャーが選定したトピックは下記の通り。なお、インシデント当事者企業個社名は編集部が付記した。
1 月:株式会社モダリス 子会社がBEC被害、生々しい攻撃手法が明らかに
2 月:株式会社サンリオエンターテイメントがランサムウェア被害、最大約200万件の情報漏えい可能性
3 月:証券会社で不正取引が多発
4 月:法人向けメールセキュリティサービス「IIJセキュアMXサービス」に不正アクセス、メールアカウント約31万件情報漏えい
5 月:プレスリリース配信サービス「PR TIMES」に不正アクセス、発表前情報の漏えい可能性
6 月:損害保険ジャパン株式会社が不正アクセス受け約1,748万件の情報漏えい可能性
7 月:保険事故調査会社 株式会社審調社がランサムウェア被害、委託元30社以上に影響
8 月:CRMサービス上のデータ窃取と恐喝が流行
9 月:酒類事業を展開するアサヒグループホールディングスがランサムウェア被害、EDRも検知できず
10 月:オフィス用品通販を手掛けるアスクル株式会社がランサムウェア被害
11 月:日本経済新聞社が利用するチャットツール「Slack」に不正ログイン、マルウェア感染で認証情報が流出
同レポートでは、これらのインシデントを踏まえ、2025年のセキュリティトレンドを下記3つの観点から整理している。
(1)システムの「わずかな隙」を突かれる現実
ゼロデイ脆弱性や設定不備、古いリモートアクセス設定など、システム上の小さな隙が侵入の起点となる事案が目立ち、EDRなど高度な検知製品を導入していても、運用・設計の死角を突かれると攻撃を防ぎきれないことが明らかになった。
(2)「人」を起点とした攻撃の拡大
ビジネスメール詐欺やフィッシング、偽のITサポートからの電話など、人の信頼や油断を狙う攻撃が高度化し、システムだけでなく「人」を起点としたリスクが、より身近な脅威となっている。
(3)サプライチェーン全体に波及するリスク
保険業界や物流関連など、委託先・取引先企業での被害が原因となり、多数の企業や生活インフラにまで影響が及ぶ事案が相次ぎ、自社の対策だけでは不十分で、サプライチェーン全体を見据えたリスク管理の必要性が一層高まっている。
