サイバー攻撃
企業・教育機関を襲った“広がる標的、深まる脅威”
2025年5月・6月の気になるセキュリティニュース
脆弱性診断について詳しくご紹介
「LANSCOPE プロフェッショナルサービス」は、最新の攻撃手法と最適な対応策を探求するセキュリティプロフェッショナルチームがサービスを提供しています。
情シス1,000人に聞いた!
「クラウドサービスのセキュリティ対策」実態調査
情シス1,000人に「自社のクラウドサービスのセキュリティ対策」
についてお聞きしました。
クラウドを運用中・導入予定の情シス様は、必見のデータです!
2025年5月と6月も、企業や教育機関を中心に深刻なサイバー攻撃が多発しました。特にランサムウェアによる業務停止や、クラウドサービスに対する攻撃が目立ちました。本記事では、5月と6月に報道された主なインシデントと政府・業界動向をまとめ、皆さまのセキュリティ対策に役立つ情報を提供します。
主なマルウェア・不正アクセスによるインシデント
ランサムウェア攻撃
包装関連の製造業:ランサムウェアにより受注システムが一時停止
包装製造業の企業がランサムウェア攻撃を受け、オンライン受注システムに障害が発生。一部サーバーが暗号化される被害を受けたが、オンライン以外での受注やホームページ、メールシステムは通常通り稼働し、生産活動は継続されています[1]。
電力関連サービス企業:AWSクラウド環境に対するランサム攻撃
電力関連サービス企業が使用していたAWSクラウドのストレージ領域が削除型ランサムウェア攻撃を受け、45件のS3バケットが削除され、バックアップデータも含めて重要データが消失しました。海外の複数のIPアドレスからIAMユーザーのアクセスキーが不正使用された攻撃で、クラウド環境における適切なセキュリティ設定、管理の重要性を改めて示すものです[2]。
女子大学:ランサムウェアによる複数システムの障害と個人情報漏洩
東北地方の女子大学がランサムウェア攻撃を受け、教務システムサーバー、共有フォルダサーバー、ユーザー認証サーバー、IPアドレス割当てサーバー、ウィルス管理サーバーなど複数のサーバーが感染。ファイルの拡張子や設定内容が書き換えられ、ネットワーク遮断措置を実施しました。さらに、学生9名の氏名、学籍番号、住所、電話番号等の個人情報が漏洩しました[3]。
不正アクセス・情報漏洩
物流・流通業:不正アクセスによるシステム障害と復旧対応
大手物流・流通企業にて、外部からの不正アクセスによりサーバーが侵害されました。被害発覚後、全IT環境の除染やPCのスキャン、パスワード変更などの緊急対応を実施し、業務を復旧。現在も外部専門家と連携し、侵入経路や被害範囲の調査、再発防止策の強化を進めています[4]。
通信会社:委託先での個人情報流出と虚偽報告
大手通信会社の業務委託先において、大規模な個人情報の流出が疑われる事案が発覚しました。現在、流出件数は調査中ですが、約14万件に上る可能性があると見られています。また、同委託先は過去のセキュリティ監査に対して虚偽の報告を行っていた疑いがあることも判明しております[5]。
旅行業界:Webサイト改ざんによる不正アクセス
旅行業界の企業のWebサイトが不正アクセスにより改ざんされ、本来とは異なるページが表示される被害が発生しました。同社は改ざんを受けたサーバーの使用中止、セキュリティを強化したサーバーの再構築、該当コンテンツをセキュリティの高いWebサイトへの移設等を実施し、Webサイトの公開を再開しました[6]。
設定ミス・設定不備
大手小売企業:クラウドの設定ミスで個人情報が外部閲覧
大手小売企業が利用するクラウドサービスで、Googleグループ57件が誤って公開設定となり、個人情報が外部から閲覧可能な状態になっていました。この設定ミスにより情報が漏洩した可能性について調査が進められています[7]。
エネルギー関連企業:クラウドファイル権限の設定不備
エネルギー関連企業でクラウドファイルの権限設定に不備があり、URLを指定すれば誰でもアクセスできる状態になっていました。原因は、社内でのデータ取扱いルールの徹底不足とされ、今後はクラウド環境のアクセス制限を継続的に調査・管理
する仕組みを構築し、再発防止を図る方針です[8]。
その他、政府・業界動向など
サイバー人材育成と能動的サイバー防御法の法制化
政府は2030年までに「情報処理安全確保支援士」の取得者を現在の約2万4,000人から5万人へ倍増する方針を打ち出しました。現在11万人が不足していると指摘されており、2026年度からは資格更新要件を緩和し、企業実務に携わっていれば実践講習を免除することで負担軽減を図ります。2026年度以降、企業のサイバー攻撃対策に関する評価制度を導入し、国が補助金を支給する際の要件に加える方針です[9]。
また、「能動的サイバー防御法」が2025年5月16日の参院本会議で成立し、2027年までの本格運用を目指しています。この法律により、政府が平時から通信情報を監視し、電気・ガス・鉄道・金融などの基幹インフラに対する攻撃の予兆があれば、攻撃元サーバーに侵入して無害化措置を講じることが可能となります[10]。
中小企業のセキュリティ実態調査
IPA(独立行政法人情報処理推進機構)が公表した「2024年度 中小企業における情報セキュリティ対策に関する実態調査」によると、全国の中小企業4,191社を対象とした調査で、OSやウイルス対策ソフトの最新化を実施している企業は約7割に達していることが判明しました。取引先から情報セキュリティ対策の要請を受けた企業は1割強で、そのうちセキュリティ体制を整備している企業の約6割が取引につながったと回答しています。一方で、対策実施の課題としては「対策費用の用意」(51.3%)が最も多く、コストや人材不足が依然として大きな課題となっています[11]。
情報セキュリティ10大脅威 2025年[個人編] 解説書の公開
情報処理推進機構(IPA)が「情報セキュリティ10大脅威 2025年[個人編] 解説書を公開しました。個人が直面するセキュリティリスクとその対策について詳しく解説されています[12]。
[1]ランサムウェアによるシステム障害発生のお知らせ(2025/5/8) -トーモク株式会社-
[2]クラウドストレージに対するランサム攻撃に関するプレスリリース(2025/5/16) -エネクラウド株式会社-
[3]ランサムウェア感染によるネットワーク遮断措置について(2025/5/16) -宮城学院女子大学-
[3]ランサムウェアによる情報の漏洩について(2025/5/20) -宮城学院女子大学-
[3]これまでの経緯(2025/5/21) -宮城学院女子大学-
[4]サイバー攻撃による不正アクセスについて(2025/5/19) -NRS-
[4]弊社サーバーへの不正アクセスに関するお知らせ(第三報)(2025/5/26) -NRS-
[5]委託先で個人情報流出か、セキュリティ監査に虚偽報告(2025/6/11) -ソフトバンク-
[6]弊社Webサイト改ざんに関するお詫びと一部再開のお知らせ(2025/5/21) -アルパインツアーサービス-
[7]Googleグループ57件が公開設定、個人情報が外部閲覧状態に(2025/6/18) -ダイソー
[8]クラウドのファイル権限に設定ミス、URL指定でアクセス可能(2025/6/16) -コスモ石油マーケ-
[9]サイバー人材を5万人に倍増へ 政府が育成方針(2025/5/14) -読売新聞-
[10]能動的サイバー防御法が成立(2025/5/16) -毎日新聞-
[11]中小企業における情報セキュリティ対策の実態調査報告書(2025/5/27) -IPA(独立行政法人情報処理推進機構)
最後に
本記事は、2025年5月、6月に報道されたセキュリティニュースをもとに、特に注目するセキュリティ情報を掲載しています。
注目するセキュリティニュースをまとめて掲載することで、読者の皆さまがよりセキュリティに興味を持ち、日々の対策にご活用いただく一助となれば幸いです。
脆弱性診断について詳しくご紹介
「LANSCOPE プロフェッショナルサービス」は、最新の攻撃手法と最適な対応策を探求するセキュリティプロフェッショナルチームがサービスを提供しています。
情シス1,000人に聞いた!
「クラウドサービスのセキュリティ対策」実態調査
情シス1,000人に「自社のクラウドサービスのセキュリティ対策」
についてお聞きしました。
クラウドを運用中・導入予定の情シス様は、必見のデータです!
