JNSA 2025年セキュリティ十大ニュース
特定非営利活動法人日本ネットワークセキュリティ協会(JNSA)は、「JNSA 2025セキュリティ十大ニュース~攻守拮抗、デジタル社会に信頼構造の地殻変動は成るか~」を公表した。2025年の出来事から、ランサム攻撃や証券口座乗っ取り、ETC障害などの被害ニュース4件と、能動的サイバー防御法制やIoTセキュリティラベリング、耐量子計算機暗号(PQC)など新たな取り組みのニュース4件、さらにAIとFeliCa脆弱性という「攻守両面」を象徴する2件を選び、攻撃と防御が拮抗しつつ信頼構造の大きな変化が始まりつつある一年として総括している。
第1位:ランサム攻撃は“災害級”の脅威に
第1位は「相次ぐ企業へのサイバー攻撃、いまや“災害級”と指摘される脅威~アサヒGHD、アスクル等のランサム障害、影響は市民にも~」(9月29日)である。
アサヒグループホールディングスは、9月29日にランサムウェアによるサイバー攻撃を受け、大規模なシステム障害を公表した。受注・出荷システムや物流機能が停止し、全国の工場や販売現場で業務が混乱、商品の供給にも遅れが生じた。ビールの出荷停止は歳暮ギフトにも影響を及ぼし、さらに調査の結果、約191万件の顧客・従業員等の個人情報が流出した可能性も明らかになっている。
10月19日にはアスクルでもランサムウェアによるシステム障害が発生し、オンライン注文や出荷業務が一時停止した。企業や個人事業主への供給停滞が広がり、アスクルの物流を利用する無印良品やロフトなどにも影響が波及、医療関連資材の配送遅延にもつながった。この事案でも個人情報がダークウェブで公開されていることが確認されている。
JNSAは、これらのインシデントが一企業にとどまらずサプライチェーン、業界、社会全体に波及し、自然災害に近い「災害級」の被害をもたらしたと指摘する。DXが市民生活に浸透した結果として、サイバー攻撃が生活基盤に直結するリスクとなった現実を突きつけるニュースであるとしている。
第2位:サプライチェーン被害と賠償問題の顕在化
第2位は「サプライチェーンに波及するサイバー被害、賠償問題に発展するケースも~被害の連鎖、賠償問題から考える委託先管理の重要性と評価制度の意義~」(11月28日)である。
2025年は、サイバー被害が時間差で「賠償」という形で表に出た一年だったと整理している。前橋市とNTT東日本の9,500万円の和解、エムケイシステムを巡る3億円の集団訴訟、大阪急性期・総合医療センターでの10億円の和解、関通による委託元への10億円の賠償負担など、過去の攻撃が企業間の法的責任として噴出した事例が列挙されている。
契約に基づく責任分担や賠償額の制限を見直す必要性がある一方、個別契約だけでは限界があり、法的安定性を確保する制度設計の検討が必要な段階に来ていると指摘する。こうした背景のもと、経済産業省が4月14日に公表した「サプライチェーン強化に向けたセキュリティ対策評価制度」の中間取りまとめは、委託先管理の課題に対する一歩前進として位置付けられている。各社バラバラだったチェックリストから、共通の評価軸が示されることは、特に中小企業にとって大きな意義があるとまとめている。
第3位:証券口座乗っ取りと“認証”問題
第3位は「金融庁、証券口座乗っ取り被害急増で注意喚起、監督指針改正へ~デジタル時代の証券犯罪と20年越しの“認証”問題~」(4月3日)である。
証券口座乗っ取りによる不正取引額は、11月までの累計で7,100億円超に達している。手口は、他人の証券口座を乗っ取り、株価をつり上げてから別口座で売り抜ける「ハック、パンプ・アンド・ダンプ」と呼ばれる古典的な証券犯罪を、ネット経由で実行するものとされている。
根本原因として、証券会社を装ったフィッシング詐欺や、インフォスティーラー型マルウェアによるID・パスワード窃取が挙げられている。銀行業界では2010年頃から多要素認証(MFA)が広がり、偽造キャッシュカード問題を契機とした預金者保護法により補償枠組みが整ってきたが、証券業界はMFA導入が遅れ、同法の対象外であったため補償の法的根拠も乏しかった点が指摘されている。
こうした状況を受け、金融庁と日本証券業協会は10月に監督指針とガイドラインを改正し、MFAを必須とした。ただしメールやSMSのワンタイムパスワードはリアルタイムフィッシングへの耐性が低く、FIDO2/パスキー認証や、eIDAS 2.0のようなトラストサービスの検討が必要であるとし、この問題をインターネット上のサービスセキュリティ全体への教訓として位置付けている。
第4位:生成AIが生む「攻撃もAI、防御もAI」
第4位は「生成AI悪用し不正アクセスの中高生3人逮捕、12月にも~圧倒的なAIパワーの光と影 攻撃もAI、防御もAI~」(2月27日)である。
2月には、自作プログラムで楽天モバイルにアクセスして不正な利益を得たとして中高生3人が逮捕され、12月には快活CLUBへの不正アクセスで高校生が逮捕された。いずれの事案でも、攻撃プログラムの作成やエラーメッセージ対応の改善にチャットGPTを利用していたとされる。
AIは通常のプログラム開発でも初学者の支援に有効だが、その力がセキュリティの「影」として悪用された形であり、AIの負の側面が浮き彫りになったとする。一方で、ESETによるAI活用型マルウェアの発見例が紹介されるとともに、AIによる異常検知や疑似攻撃を通じた防御側での活用も進んでいるとし、「攻撃もAI、防御もAI」という構図の中で、正しい目的のためにAIを使うことの重要性を強調している。
第5位:能動的サイバー防御法成立とNCO設置
第5位は「『能動的サイバー防御』関連法案が成立、国家サイバー統括室の設置へ~欧米主要国並みのサイバーセキュリティ抜本強化を期待~」(5月16日)である。
サイバー対処能力強化法および同整備法が可決・成立し、サイバーセキュリティ戦略本部は内閣総理大臣を本部長、全ての国務大臣を本部員とする体制に改組された。7月には内閣サイバーセキュリティセンター(NISC)が発展的に改組され、国家サイバー統括室(NCO)が設置されている。
ポイントとして、官民連携、通信情報の利用、アクセス無害化措置などが挙げられる。ランサム攻撃による物流停止や、選挙への外国勢力の介入指摘、海外ハッカーによるゼロデイ攻撃などを背景に、DXが進む社会を守る基盤として能動的サイバー防御体制を整備する意義が語られている。一方で、適切な運営への不安もある中、「国民生活や経済活動の基盤」と「国家及び国民の安全」を守る土台となることへの期待が示されている。
第6位:IoTセキュリティラベル「JC-STAR」運用開始
第6位は「IoT製品に対するセキュリティラベリング制度(JC-STAR)の運用を開始~適切なセキュリティ対策を備えたIoT製品の普及に期待~」(3月25日)である。
JC-STARは、インターネット接続可能なカメラやセンサーなどのIoT製品を対象に、セキュリティ機能を共通の物差しで評価し、★1~★4のラベルで可視化する制度である。★1は最低限の共通要件、★2は製品類型ごとの追加要件で、いずれもベンダーによる自己宣言方式である。★3と★4は第三者評価に基づくラベルであり、政府機関や重要インフラ事業者などでの利用が想定されている。
12月16日時点でレベル1適合製品は135件登録されており、レベル2申請は2026年以降、レベル3の要件はパブリックコメントを終えた段階とされる。IoT機器を狙う脅威が高まる中、購入者・調達者がラベルを参照して必要な水準の製品を選べるようにすることで、IoT機器単体だけでなくシステム全体のセキュリティ向上につなげる狙いが示されている。
第7位:IIJ不正アクセスと「絶対安全神話」の終焉
第7位は「IIJ不正アクセス、日本取引所グループや地銀など各所に影響~セキュリティ維持には持久力と自救力と~」(4月16日)である。
IIJセキュアMXサービスへの不正アクセスにより、最大約400万件超の漏洩可能性が発表され、日本取引所グループや複数の地方銀行にも影響が及んだ。高い技術力を持つ事業者でも破られた事実は、「絶対安全神話の完全な終焉」を示すものとされている。
事業者側には、「侵入されることを前提」に、早期検知と多重防御、継続的な体制見直しを行い、被害の極小化を社会的責任として位置付ける必要があるとする。IIJは振る舞い検知の強化、WAFの多層化、社長直轄プロジェクトの発足などを再発防止策として打ち出している。利用者側には、ベンダー任せにせず、サービス選定時の「データ保護」と「インシデント対応の透明性」を重視し、パスワード使い回し回避やMFA徹底など自己防衛を行うことが求められるとまとめている。
第8位:高速道路ETC障害がもたらした混乱
第8位は「東名高速や中央道などでETC障害 7都県、一部レーン閉鎖~システム改修の不具合が、大きな社会混乱をもたらす~」(4月6日)である。
NEXCO中日本管内でETCシステム障害が発生し、1都7県17路線106か所の料金所でETCレーンが利用できなくなり、復旧まで38時間を要した。2km以上の渋滞が10か所以上で発生するなど、多数の利用者に影響が出た。原因はシステム改修時のデータ破損により、正常なETCカードが「通行不可」と誤判定されたことである。
広域障害を想定した統一マニュアルがなく料金所ごとの対応が分かれたこと、情報提供が支社判断に任されていたことが混乱を拡大させたとされる。バグは避けられない前提のもと、大規模システム障害をBCPでどう位置付けるか、交通の流れを止めないという基本方針を周知徹底することの重要性を指摘している。
第9位:FeliCa脆弱性報道と情報開示のあり方
第9位は「FeliCaのセキュリティ脆弱性報道で利用者に不安広がる~脆弱性情報の伝え方や報道の在り方は正しかったのか~」(8月28日)である。
共同通信の報道をきっかけに、FeliCaの脆弱性に関するニュースが広がり、生活インフラを支える技術に関する不安が急速に拡大した。ソニーやカード発行各社がリスクと安全性についてコメントを発表し、経済産業省も、公表前の脆弱性情報を関係者内で正確に共有し、過度な不安を避ける情報発信の必要性を示した。
CVD(協調型脆弱性情報開示)の枠組みが国際的に浸透しているにもかかわらず、事前報道が起きたことを踏まえ、日本でもガイドラインに沿った調整・公表プロセスの意義を改めて理解し、「不安をどう抑えるか」を軸にした情報公開と説明責任が不可欠であるとまとめている。
第10位:PQC移行方針と「ハーベスト攻撃」
第10位は「政府方針、2035年までに耐量子計算機暗号(PQC)に移行~量子コンピューターを悪用する『ハーベスト攻撃』に備えよ~」(11月20日)である。
国家サイバー統括室は、政府機関等におけるPQCへの移行方針を中間とりまとめとして公表した。量子コンピューターにより既存の公開鍵暗号の安全性が低下することを見据え、PQCへの切り替えで重要情報を守る取り組みである。金融業界は既に検討を開始しており、今後は政府方針に引きずられる形で他の重要インフラやサプライチェーンにも波及していくと見られている。
国家を背景とする攻撃者が「解読できていない暗号化情報」を蓄積し、量子コンピューターの登場後に解読する「ハーベスト攻撃」への備えとして、攻撃者が量子コンピューターを手にする前にPQCへの移行を進める必要があると説明している。民間企業にとっては、リスクが顕在化する前から取り組むことが難しい中で、PQCシフトはセキュリティ強化だけでなく「生き残りをかけたコンプライアンス問題」と捉えるべきだと結んでいる。
番外編:インターネットが「壊れた日」と単一障害点
番外編として「2025年11月18日はインターネットが壊れた日~世界的に露呈した“デジタル社会の単一障害点(SPOF)”問題~」(11月18日)が挙げられている。
2025年は、AWS障害やCloudflare障害など、単一のデジタルインフラ事業者の内部トラブルが世界中のサービス停止・不安定化につながる事案が相次いだ。クラウド基盤やCDN、認証サービスなどが少数事業者に集中する中で、「見えない依存関係の連鎖」が単一障害点(SPOF)となり得る構造が露呈した年であったと総括している。
「攻守拮抗」と信頼構造の地殻変動
大木 榮二郎 委員長は、ランサム攻撃や証券口座乗っ取り、IIJ不正アクセス、ETC障害などの被害ニュースと、サプライチェーン評価制度、能動的サイバー防御、JC-STAR、PQCといった取り組みニュースが拮抗していることに注目する。デジタル技術の進展に伴い、社会を支える信頼の構図そのものが変化しつつあり、既存の仕組みの破壊と新たな仕組みの構築・普及を伴う「地殻変動」の先駆けが今年のニュースであってほしいと結んでいる。
出典:日本ネットワークセキュリティ協会(JNSA)JNSAセキュリティ十大ニュース
