サイバー攻撃
教育・結婚サービスなどを狙うWeb攻撃が増加
~2025年7月の気になるセキュリティニュース~
【保存版】ランサムウェア感染前&感染直後に行いたい、32のアクションリスト
感染を防ぎたい!感染後の対処方法を知りたい!という方のために、
ランサムウェアへの対応方法を「チェックリスト形式」でまとめました。
2025年7月も、引き続きランサムウェア攻撃や不正アクセスも依然として発生しており、攻撃手法の多様化が進んでいます。7月は特に、教育・結婚相談サービスを標的としたWebサイト攻撃が増加しました。SQLインジェクション攻撃により愛知県内模試で約28万件、結婚相談サービスで最大91万件の個人情報漏洩の可能性が確認されています。
一方、政府は「国家サイバー統括室」を発足させ、能動的サイバー防御体制の強化に着手しました。
主なマルウェア・不正アクセスによるインシデント
■ランサムウェア攻撃
百貨店業:大規模顧客情報漏洩を伴うランサムウェア攻撃
2025年3月30日にある中堅百貨店グループがランサムウェア攻撃を受け、7月23日に続報が公表されました。約44万件の大量の個人情報が外部に流出した可能性が確認され、顧客421,355件(このうち約12万件はクレジットカード情報を含む)、取引先4,559件、従業員8,545件および扶養家族6,722件が影響を受けました。現時点で情報の不正利用による二次被害は確認されていません。[1]
小売業:ランサムウェアによるシステム障害
2025年6月26日に発生したある大手小売業のランサムウェア攻撃では、グループの複数サーバが暗号化され、ポイントサービス、オンラインショップ、スマートフォンアプリが利用不能となりました。店舗営業は継続されており、情報流出については継続調査中です。[2]
商社:海外拠点へのランサムウェア攻撃
ある中堅商社のグループ会社(香港法人)が2025年6月30日にランサムウェア攻撃を受け、システム接続のある中国、マレーシア、インドネシアの関連会社もネットワーク遮断を余儀なくされました。[3]
■不正アクセス
結婚相談業:業界初の大規模攻撃と二次被害拡大
2025年5月19日~7月1日の期間で結婚相談サービス企業のWebサイトへの不正アクセスが発生。確認済みの漏洩は52名分ですが、最大で910,795名分の個人情報(基本情報、連絡先、趣味・嗜好等)が流出した可能性があります。フィッシングメールも確認されており、二次被害への警戒が必要です。[4]
海洋電子機器メーカー:舶用機器事業部の個人情報の流出
2025年6月30日にある中堅海洋電子機器メーカーで不正アクセスが発覚し、7月14日に第2報が公表されました。取引先・顧客74名、グループ従業員1,493名の個人情報に加え、舶用機器事業部の特定顧客に関する業務情報が漏洩した可能性があります。[5]
教育研究機関:VPNへの不正アクセスとファイルサーバの初期化
2025年7月3日、ある独立行政法人の教育研究機関の情報基盤システムへVPN接続による不正アクセスが判明。ファイルサーバの初期化が実行されており、個人情報や機微情報への影響範囲を調査中です。教育機関の重要情報管理体制の脆弱性が露呈した事案です。[6]
■WebサイトへのSQLインジェクション攻撃
教育サービス業:愛知県内模試関連情報の大規模流出
2025年4月下旬にある教育サービス企業でSQLインジェクション攻撃が確認され、塾関係者約8,000件、および一部暗号化の措置を講じている模試受験者約28万2千件と保護者等約1万6千件の個人情報が流出した可能性があります。[7]
教育出版業:教育関連サービスへの標的型攻撃
2025年6月25日、ある中堅教育出版企業の学習サポートサイトがSQLインジェクション攻撃を受け、暗号化されていた氏名、生年月日、メールアドレス、パスワードの個人情報が流出した可能性があります。これを受けて、同社は利用者に対し、ログインパスワードを変更するよう案内を行っています。[8]
その他、政府・業界動向など
国家サイバー統括室の発足と能動的サイバー防御体制の強化
2025年7月1日、政府は内閣サイバーセキュリティセンター(NISC)を改組し、約240人体制の「国家サイバー統括室」を発足させました。能動的サイバー防御の司令塔として、通信監視や攻撃元の無害化を指揮し、官民連携や国際連携も強化します。能動的サイバー防御は2027年からの本格運用を目指しています。[9]
JPCERT/CC 第2四半期活動報告:インシデント急増と脆弱性対応状況
JPCERT/CCのまとめによると、2025年第2四半期のインシデント報告は1万4558件で前四半期比44%増加。特にサイト改ざんが約2.4倍に増え、フィッシングサイトは7358件(全体の88.1%)で39.7%増加しました。[10]
[1] 弊社システムに対するサイバー攻撃被害に伴う個人情報及びお取引先様に関する情報についてのお知らせ(2025/7/23) -株式会社トキハ-
[2] 当社グループにおける不正アクセスによるシステム障害に関するお知らせ(第1報)(2025/6/30) -はるやまホールディングス-
[3] 当社グループ会社における不正アクセスによるシステム障害に関するお知らせ(2025/7/1) -ミタチ産業株式会社-
[4] 不正アクセスによる個人情報漏えいの可能性に関するお詫びとお知らせ(2025/7/14) -株式会社トータルマリアージュサポート-
[5] 弊社サーバへの不正アクセスについて(第2報)(2025/7/14) -古野電気株式会社-
[6] 情報セキュリティインシデント(不正アクセス)について(2025/7/8) -独立行政法人 国立特別支援教育総合研究所-
[7] 不正アクセスによる情報流出の可能性に関するお詫びとお知らせ(2025/6/30) -学悠出版株式会社-
[8] 不正アクセスによる個人情報漏えいのおそれのある事案の発生に関するお詫びとお知らせ(2025/7/14) -株式会社新興出版社啓林館-
[9] 「国家サイバー統括室」が発足 能動的防御の司令塔、官民連携を促進(2025/7/1) -日本経済新聞-
[10] JPCERT/CC 四半期レポート2025年4月1日~2025年6月30日(2025/7/17) -一般社団法人 JPCERT コーディネーションセンター-
最後に
本記事は、2025年7月に報道されたセキュリティニュースをもとに、特に注目するセキュリティ情報を掲載しています。注目するセキュリティニュースをまとめて掲載することで、読者の皆さまがよりセキュリティに興味を持ち、日々の対策にご活用いただく一助となれば幸いです。
【保存版】ランサムウェア感染前&感染直後に行いたい、32のアクションリスト
感染を防ぎたい!感染後の対処方法を知りたい!という方のために、
ランサムウェアへの対応方法を「チェックリスト形式」でまとめました。
