サイバー攻撃
委託先におけるインシデントが増加
~2025年9月の気になるセキュリティニュース~
Written by WizLANSCOPE編集部
【保存版】ランサムウェア感染前&感染直後に行いたい、32のアクションリスト
感染を防ぎたい!感染後の対処方法を知りたい!という方のために、
ランサムウェアへの対応方法を「チェックリスト形式」でまとめました。
2025年9月は、ランサムウェア攻撃や不正アクセスなど、さまざまなセキュリティインシデントが報告されました。特に委託先におけるインシデントが増加傾向にあります。また、8月に引き続きECサイトを狙った不正アクセスも多く発生しています。本記事では、9月に報道された主なインシデントや政府・業界の動向を整理し、今後のセキュリティ対策に役立つ情報を提供します。
主なマルウェア・不正アクセスによるインシデント
■ランサムウェア攻撃
大手飲料製造業グループ:サイバー攻撃によるシステム障害
2025年9月29日、大手飲料製造業グループがサイバー攻撃の影響を受け、システム障害が発生しました。9月29日時点で個人情報や顧客データの外部流出は確認されていませんが、国内グループ各社の受注・出荷業務やコールセンター業務が停止しています。復旧に向けた調査および対応が進められていますが、現時点で復旧のめどは立っていません。[1]
電子部品製造業:ランサムウェア攻撃による情報流出の可能性
2025年4月、電子部品製造企業がランサムウェア攻撃を受け、サーバーから取引先や従業員など約2,850名分の個人情報が流出しました。さらに、最大で約35,650名分の情報が漏洩した可能性もあります。流出情報には、氏名、住所、電話番号などが含まれています。企業は関係者に通知を行うとともに、個人情報委員会や警察に報告しました。また、ネットワークの隔離や監視の強化など、再発防止策を実施しています。[2]
工具・切削工具製造業(海外子会社):ランサムウェア攻撃によるサーバー暗号化
2025年9月21日、工具・切削工具製造業グループの海外子会社がランサムウェア攻撃を受けました。翌22日には、サーバー上のファイルが暗号化されていることが判明しています。。影響を受けたサーバーは直ちにネットワークから隔離され、外部専門家と連携して原因調査・復旧作業が進められています。現時点では情報の流出は確認されていませんが、引き続き調査が行われています。[3]
■ECサイトへの不正アクセス
宿泊業:予約管理システムへの不正アクセスによる顧客情報漏洩の可能性
2025年9月4日以降、「予約確認」を装ったメッセージが顧客に複数送信されたことをきっかけに、不正アクセスが判明しました。漏洩対象は、予約済みまたは今後宿泊予定の約3,000名の顧客で、氏名、住所、性別、国籍、電話番号、メールアドレスなどの個人情報が登録されていた可能性があります。クレジットカード情報の漏洩は確認されていません。企業側はログインパスワードを即座に変更し、詳細調査を継続しています。[4]
小売業: ECサイトへの不正アクセスによる個人情報流出の可能性
2025年9月17日、あるECサイトを運営する企業で、第三者による不正アクセスが判明しました。個人情報の一部が流出した可能性があり、現在クレジットカード決済機能は一時的に停止されています。現時点では流出の詳細は判明しておらず、外部専門機関による調査が進められています。顧客に対しては、身に覚えのないカード利用履歴がないか確認するよう呼びかけています。[5]
小売業: 不正プログラム侵入による個人情報漏洩の可能性
2025年8月12日、ある小売業のECサイトに不正プログラムが埋め込まれていることが検出されました。調査の結果、氏名、住所、電話番号、メールアドレス、注文内容などの情報が漏洩した可能性があり、クレジットカード情報も含まれる恐れがあると判断されています。サイトは同日中に停止・改修され、関係機関への報告も完了しています。現在、監視体制の強化などの対応を進めています。[6]
■委託先におけるインシデント
公益社団法人:委託業者の設定ミスによる個人情報漏洩の可能性
2025年8月上旬、公益社団法人が運営する資格取得者向けeラーニングシステムにおいて、委託業者の設定不備により個人情報がインターネット上で閲覧可能な状態になっていたことが判明しました。対象となった情報は、氏名、メールアドレス、受講ID、受講用パスワードなどで、公開状態は2023年5月から約2年間続いていました。直近のアクセスログでは不正利用の痕跡は確認されていませんが、情報が流出した可能性は否定できません。現在、当該システムは修正済みで、他の委託業者にも情報管理の確認とリスク共有を行なっています。[7]
医療関連機器製造業:業務委託先における不正アクセスと情報漏洩の可能性
2025年8月24日、医療関連機器を製造する企業が請求書情報のシステム登録業務を委託していた業務委託先のネットワークで、不正アクセスが確認されました。この不正アクセスは、業務委託先がファイアウォールの更新時に設定を誤ったことが原因と考えられています。現在、情報流出の有無と、漏洩した可能性のある情報の特定が進められています。[8]
健康・美容機器メーカー:物流委託先へのランサムウェア攻撃に伴う個人情報流出の可能性
2024年9月13日、ある健康・美容メーカーがECサイトの発送業務を委託していた物流会社のサーバーがランサムウェア攻撃を受け、システム障害が発生しました。この攻撃により、2024年3月から9月に当該ECサイトで商品を購入した顧客の氏名、住所、電話番号などの個人情報が流出した可能性があります。企業側は、個人情報保護委員会への報告や顧客への通知を行うとともに、業務委託先の選定基準と定期監査、セキュリティ対策の見直しを発表しています。[9]
その他、政府・業界動向など
IPAが情報セキュリティ白書2025を公開
IPA(情報処理推進機構)「情報セキュリティ白書2025」を公開し、2024年度のサイバーセキュリティ情勢をまとめています。本白書の中では国内外のサイバー攻撃の状況や生成AIをはじめとする最近のサイバー空間をめぐる攻撃などについて動向や対策などがまとめられています。[10]
IPAが2025年度情報システム等の脆弱性情報の取扱いに関する研究会を開催
IPAでは、「情報システム等の脆弱性情報の取扱いに関する研究会」において脆弱性関連情報の取り扱いに関する検討を行っています。2025年度の研究会では製品開発者(PSIRT組織)における脆弱性対応、製品利用者(CSIRT組織)における脆弱性対応を支援するために製品開発者、製品利用者のそれぞれに向けてガイドラインの策定をする方針を決定しました。また、ガイド作成のために文献調査やアンケート調査、ヒアリング調査を実施する予定です。[11]
[1] サイバー攻撃によるシステム障害発生について(2025/09/29) ‐アサヒグループホールディングス株式会社‐
[2] (開示事項の経過)当社サーバーに対する不正アクセスに関するお知らせ(第2報)(2025/09/26)-日本セラミック株式会社-
[3]海外子会社におけるランサムウェア感染について(2025/09/25)-天龍製鋸株式会社-
[4] お客様情報への不正アクセスに関するお詫びとお知らせ(2025/09/08)‐株式会社KTSオペレーション‐
[5] 不正アクセスによるシステム侵害発生のお詫びとお知らせ(2025/09/17)‐株式会社山元紙包装社‐
[6]第三者不正アクセスによる個人情報漏えいに関するお詫びとお知らせ。(2025/09/25)‐田中屋本店‐
[7]個人情報漏えいの報告とお詫び(2025/09/05)‐公益社団法人プレストレストコンクリート工学会‐
[8]業務委託先における不正アクセス被害および情報漏洩の可能性について(2025/09/09)‐株式会社日本シューター‐
[9]【お詫びとご報告】個人情報の流出の可能性に関するお知らせ(第2報)(2025/09/12)‐株式会社アテックス・ホールディングス‐
[10]情報セキュリティ白書2025 PDF版公開(2025/08/29)‐独立行政法人情報処理推進機構‐
[11] 2025年度情報システム等の脆弱性情報の取扱いに関する研究会(2025/09/30)‐独立行政法人情報処理推進機構‐
最後に
本記事は、2025年9月に報道されたセキュリティニュースをもとに、特に注目すべきセキュリティ情報を掲載しています。セキュリティニュースをまとめて掲載することで、読者の皆さまがよりセキュリティに興味を持ち、日々の対策にご活用いただく一助となれば幸いです。
【保存版】ランサムウェア感染前&感染直後に行いたい、32のアクションリスト
感染を防ぎたい!感染後の対処方法を知りたい!という方のために、
ランサムウェアへの対応方法を「チェックリスト形式」でまとめました。
