失敗しないための脆弱性診断実施のコツ

セキュアな開発・サービス提供に必須！はじめての脆弱性診断に関する、正しい進め方ガイド

資料をダウンロードする

2025年8月は、ランサムウェア攻撃や不正アクセス、退職者による情報持ち出しなど、さまざまなセキュリティインシデントが報告されました。特に、ECサイトを狙った不正アクセスが増加傾向にあり、日本通信販売協会は、クレジットカード情報などを窃取する「ウェブスキミング」攻撃への注意を呼びかけています。
本記事では、8月に報道された主なインシデントや政府・業界の動向を整理し、今後のセキュリティ対策に役立つ情報を提供します。

主なマルウェア・不正アクセスによるインシデント

■ランサムウェア攻撃

食品卸売グループ：ランサムウェア攻撃によるシステム障害

2025年7月26日、食品卸売グループがランサムウェア攻撃を受け、複数の業務システムが侵害され一部が停止しました。同日中にネットワークから遮断し、外部専門機関と連携して調査を進めるとともに、個人情報保護委員会や警察への報告も実施しました。当初は情報漏洩の可能性がありましたが、追加調査の結果、現時点では外部への情報漏洩の痕跡は確認されていないと発表しています。しかし、引き続き関係者にはフィッシングメールや不審連絡への注意するよう呼びかけています。現在、主要システムの復旧は完了しており、セキュリティ監視体制や教育の強化、即応体制の見直しなど再発防止策を進めています。^[1]

公的機関：研修運営の委託先におけるランサムウェア被害

2025年7月27日、研修を委託している外部講師の所属団体がランサムウェア攻撃を受けました。この攻撃により受講生および講師の個人情報（氏名）が含まれる名簿が漏洩した可能性があることが判明しました。
漏洩の可能性がある情報は、過去5回分の研修実施要領に記載された受講生421名と講師17名の氏名とされています。^[2]

大手スーパー運営会社の連結子会社：ファイルサーバーへのランサムウェア攻撃によるシステム障害の可能性

2025年8月14日、大手スーパー運営会社の連結子会社のファイルサーバーがランサムウェアによって暗号化される被害が確認されました。現時点では情報流出は確認されていませんが、継続して調査中です。また、グループ内の他の会社への影響は現在のところ確認されておらず、被害は当該連結子会社に限定されています。^[3]

■ECサイトへの不正アクセス

小売業： ECサイトの改ざん・不正アクセスによる情報流出の可能性

2025年7月23日、小売業のECサイトで不正アクセスが検知され、8月4日にシステム改ざんが確認されました。この改ざんにより、氏名、住所、電話番号などの顧客情報に加え、クレジットカード番号やセキュリティコードなどのカード情報が漏洩した可能性があります。8月8日からクレジットカード決済を一時停止し、監督機関や警察へ報告するとともに、外部調査機関によるフォレンジック調査を実施しています。また、利用者には代替決済手段を提供し、不審な請求がないか確認するよう呼びかけています。^[4]

一般財団法人 ：ECサイトへの不正アクセスによる情報漏洩の可能性

2025年8月4日、特産品を扱うECサイトが第三者による不正アクセスを受け、顧客の個人情報およびクレジットカード情報が漏洩した可能性があることが判明しました。漏洩の対象は、2021年3月28日から2024年5月17日の間に同サイトを利用した顧客で、個人情報は約6,920件、クレジットカード情報は約2,972件に及びます。^[5]

文具・事務機器メーカー： ECサイトのレイアウト崩れが侵害の兆候に

2025年8月5日、文具・事務機器メーカーの環境配慮型商品のECサイトで「レイアウト崩れ」が発生しました。外部委託先による初期対応が行われましたが、夏季休業明けの8月18日に同様の事象が再発しました。再度調査を実施したところ、第三者による不正アクセスの痕跡が確認され、情報漏洩の可能性があることが判明しました。^[6]

■その他のインシデント

大手サービス企業：元従業員の情報持ち出しで旅行事業の個人情報漏洩

大手サービス企業で2024年3月末に退職した元従業員が、在職中に社内資料を不正に持ち出していたことが、2025年8月1日に公表されました。外部からの情報提供により調査が開始され、6月に社内調査で事実が確認されました。漏洩した情報には、顧客である宿泊施設255施設に関する担当者481名分の個人情報と、自社旅行事業に関わる従業員55名の氏名および所属情報が含まれています。再発防止策として、業務情報の一元管理体制を整備し、従業員教育やモニタリングの強化を進める方針です。^[7]

自動車メーカー：保証管理システムの設定ミスによる顧客情報流出の可能性

2025年7月19日から7月25日までの約1週間、自動車メーカーが運用する保証管理システムで、メンテナンス作業中の設定不備により、本来アクセス制限されるべき顧客データの一部が外部から閲覧可能な状態になっていたことが公表されました。約15,200名の顧客の氏名、住所、電話番号、メールアドレス、車台番号、自動車登録番号等の情報が漏洩した可能性があります。^[8]

リース業関連：MDMサーバへの不正アクセスによる従業者情報の流出

2025年5月31日、モバイルデバイス管理（MDM）サーバーへ不正アクセスが行われたことを検知しました。同社は速やかに脆弱性の修正を行い、外部調査会社による影響調査を実施しました。その結果、2013年から2025年までに在籍していた従業者および業務委託先の関係者、計1,166件の氏名・会社メールアドレス・会社PC用Windowsパスワードのハッシュ値が流出していたことが判明しました。^[9]

その他、政府・業界動向など

IPAが営業秘密漏洩の現状と対策に関する報告書を公開

IPA（情報処理推進機構）の「企業における営業秘密管理に関する実態調査2024」報告書によると、過去５年以内に営業秘密の漏洩事例を認識している企業の割合は 35.5%であり、2020年度調査と比較して約7倍に増加しています。この調査は、企業における営業秘密の漏洩の発生状況、漏洩対策の実態を明らかにし、営業秘密漏洩を防ぐために有用な情報を提供することを目的としています。^[10]

日本通信販売協会がECサイトでの「ウェブスキミング」に注意喚起

日本通信販売協会（JADMA）が、ECサイトに潜む「ウェブスキミング」と呼ばれる攻撃手法について会員に注意喚起を行いました。「ウェブスキミング」は、システムの脆弱性を突いてウェブページに悪意あるスクリプトを埋め込み、利用者が入力した個人情報（例：クレジットカード情報）を第三者に送信させる手口です。たとえカード情報をサイト側で保持していなくても、入力時に即座に漏洩するリスクがあります。^[11]

IPAが企業の自立的な脆弱性診断体制構築を支援するガイドを公開

近年、サイバー攻撃の高度化や脆弱性の増加により、外部委託だけでは診断対応が困難となり、内製化への関心が高まっています。IPA（情報処理推進機構）が公開した「脆弱性診断内製化ガイド」は技術検証や調査を基に基本概念や導入ステップ、組織連携を体系的に整理し、企業が自社体制に即した診断運用を具体的にイメージできるように構成されています。内製化は目的ではなくセキュリティ向上の手段であり、課題を正しく把握し、最適な体制構築を支援することを目的としています。^[12]

最後に

本記事は、2025年８月に報道されたセキュリティニュースをもとに、特に注目するセキュリティ情報を掲載しています。注目するセキュリティニュースをまとめて掲載することで、読者の皆さまがよりセキュリティに興味を持ち、日々の対策にご活用いただく一助となれば幸いです。

失敗しないための脆弱性診断実施のコツ

セキュアな開発・サービス提供に必須！はじめての脆弱性診断に関する、正しい進め方ガイド

資料をダウンロードする