2025年主要セキュリティインシデント回顧録:2026年の防衛指針を読み解く
早いもので、2026年が幕を開けて10日が過ぎました。 昨年2025年は、日本の重要インフラや大手企業のサプライチェーンがかつてないほど揺さぶられた一年でした。改めて主要なインシデントを振り返り、私たちが2026年に取り組むべき防衛指針を整理します。
1. ランサムウェアの脅威:アサヒグループHDに学ぶ「対策の死角」
2025年、最も社会的なインパクトを与えたのはアサヒグループホールディングスの事案です。IT専門誌のみならず、一般紙でも「身代金要求型ウイルス」の恐ろしさが連日報じられました。
被害の概要と実態
- 発生日: 2025年9月29日
- 影響範囲: 受発注システムの停止、主要工場の生産一時停止。
- ビジネスへの打撃: 「スーパードライ」や「マルエフ」等の供給が滞り、電話やFAXによるアナログ対応を余儀なくされました。10月〜11月の売上は約2割減という深刻な結果を招いています。
専門家の視点:なぜ対策済みでも防げなかったのか
同社は米国NIST(国立標準技術研究所)の「サイバーセキュリティフレームワーク(CSF)」を導入していましたが、結果として攻撃を許しました。
- 境界防御の限界: VPNという旧来のソリューションが残存しており、そこが侵入の起点となった可能性が指摘されています。
- 部分的なゼロトラスト: EDR(エンドポイント検知・対応)等の運用が一部に留まり、組織全体での「ゼロトラストモデル」への移行が道半ばであったことが露呈しました。
- ガバナンスの課題: 経営層の関与不足という自戒の念も表明されており、技術的対策だけでなく、経営課題としてのセキュリティ認識が問われています。
2. サプライチェーンの連鎖停止:アスクルの長期化する教訓
物流・通販大手アスクルで10月19日に発生したインシデントは、サプライチェーンの脆弱性を浮き彫りにしました。
潜伏期間と「二重脅迫」の深刻化
- 長期潜伏: 攻撃者の侵入は6月時点で始まっており、数ヶ月間検知できなかったことが被害を拡大させました。
- 情報の窃取(窃取): 端末の暗号化前に機微情報を盗み出す「二重脅迫」により、約74万軒の顧客情報が流出したと発表されています。
- 対策の遅れ: 24時間365日の監視体制(SOC)やEDRの導入が未完了であったことが、初動の遅れに繋がったと推察されます。
また、1月にはサンリオグループでも同様の被害が発生し、電子チケット販売が停止しました。これらの事例から、一社の停止が経済全体に波及する「サプライチェーン・リスク」が現実のものとなっています。
3. 金融犯罪のハイブリッド化:証券口座の一斉乗っ取り
「身に覚えのない株取引」という、資産を直接狙った攻撃も相次ぎました。楽天証券をはじめとする約20社の証券会社が被害に遭い、金融庁が注意喚起を行う事態となりました。
攻撃の巧妙な手口
- フィッシングと偽サイト: 精巧な偽サイトで認証情報を窃取。
- インフォスティーラー: マルウェアを用いてブラウザ等に保存された情報を抜き出す。
- ハイブリッド犯罪: 不正ログイン後に株を買い支え、価格を不正に吊り上げるという「サイバー攻撃×証券犯罪」の合わせ技が確認されました。
突きつけられた課題
被害件数1万5,000件超、被害額7,000億円突破という数字は、証券業界の認証強度の脆弱さを物語っています。多要素認証(MFA)の導入義務化など、10月の指針改正によりようやく対策の底上げが始まりました。
4. 新たな脅威:生成AIの悪用による攻撃の高度化
11月、快活フロンティアへの不正アクセス容疑で高校生が逮捕された事件は、サイバー犯罪の新たなフェーズを感じさせました。
- AIによるスクリプト作成: 攻撃者がChatGPT等の生成AIを悪用し、セキュリティ対策を回避するコードを作成。
- 犯罪の民主化: 高度な知識がなくても、AIを補助として使うことでプロ級の攻撃が可能になる「サイバー犯罪の低年齢化・一般化」が加速しています。
- Security for AI / Security by AI: AIをどう守り、どう防御に活かすかが2026年の最重要テーマとなります。
まとめ:2026年、自組織が取るべきアクション
2025年の事例を振り返ると、最先端の攻撃がある一方で、「既知の脆弱性の放置」「VPNへの過信」「多要素認証の未導入」といった、基本の徹底で防げた可能性のある被害が目立ちます。
過去のインシデントを「他山の石」とするのではなく、自組織の鏡として照らし合わせ、実効性のある対策を講じていきましょう。
