みんなのセキュリティ

サイバー攻撃はなぜ起きる?最新事例から学ぶ企業の必須対策とは

作成者: みんなのセキュリティ編集部|Mar 6, 2026 8:21:17 AM

2024年のサイバー犯罪検挙は13,164件、10年連続増加中1)。他人事ではありません。なぜ攻撃は止まらないのか?2025年の最新被害事例が示す脅威とは?本記事では、攻撃の本質から具体的な対策まで、初心者でも実践できる情報を網羅的に解説します。

※出典:「令和7年版警察白書」(警察庁)

この記事でわかること

  • サイバー攻撃がなぜなくならないのか、その根本的な理由と攻撃者の目的
  • 2025年の最新被害事例と、企業を狙う巧妙な攻撃手口の種類
  • 明日から実践できる、企業の規模や予算に応じた具体的なセキュリティ対策

この記事を監修した人

増井敏克

増井技術士事務所 代表

技術士(情報工学部門)、テクニカルエンジニア(ネットワーク、情報セキュリティ)、その他情報処理技術者試験にも多数合格。また、ビジネス数学検定1級に合格し、公益財団法人日本数学検定協会認定トレーナーとしても活動。「ビジネス」×「数学」×「IT」を組み合わせ、コンピュータを「正しく」「効率よく」使うためのスキルアップ支援や、各種ソフトウェアの開発を行っている。著書に『IT用語図鑑』『図解まるわかり セキュリティのしくみ』『どうしてこうなった?セキュリティの笑えないミスとその対策51』『「技術書」の読書術』『実務で役立つ ログの教科書』など。

サイバー攻撃はなぜなくならない?儲かるビジネスと化した攻撃

「サイバー攻撃はなぜなくならないのか?」その答えは、攻撃者にとってサイバー攻撃が極めて『儲かる』ビジネスになっているからです。攻撃は高度に組織化・産業化され、明確な目的を持って実行されています。

攻撃の目的と攻撃者の正体

攻撃者の目的は、身代金などを狙う①金銭の窃取、競合他社の技術情報などを狙う②機密情報の窃取、政治的主張を掲げる③ハクティビズムなどに大別されます。これらを実行するのは、利益を最大化する犯罪組織、国家の支援を受ける攻撃者グループ、そして正規の権限を悪用する内部不正者です。

監修:増井さん

近年は「RaaS(Ransomware as a Service)」に代表されるように、攻撃手法がサービスとして提供されていることから、専門知識がない者でも容易に攻撃を仕掛けられるようになりました。彼らはROI(投資対効果)を計算し、対策が手薄な企業を意図的に狙う傾向が強まっています。

【2025年最新】国内のサイバー攻撃被害事例

2025年に日本国内で公表された被害事例をご紹介します。これらは明日にでも自社に起こりうる現実の脅威です。

2025年 国内の主要サイバー攻撃被害事例

被害企業・組織 攻撃手口 被害内容
アサヒグループHD ランサムウェア 最大191万件の個人情報漏えいの可能性、受注・出荷業務の停止
アスクル ランサムウェア 約74万件の個人情報流出、受注・出荷業務の全面停止、無印良品・ロフトなどの取引先へ波及
保険見直し本舗 ランサムウェア 最大約510万件の契約者情報漏えいの恐れ
近鉄エクスプレス ランサムウェア 基幹システムの障害、大規模な物流の遅延・停止
宇都宮セントラルクリニック ランサムウェア 最大約30万件の患者情報漏えいの可能性、電子カルテが利用不可に
快活CLUB DDoS攻撃 ネットワーク障害、会員アプリの機能制限

これらの事例からわかるように、攻撃者は業種や組織の大小を問わず、あらゆる組織を標的にしています。特にランサムウェアによる被害は、事業の根幹を揺るがす業務停止や大規模な情報漏えいに直結しており、その脅威は計り知れません。

監修:増井さん

最近では、被害に遭った企業がその情報を積極的に公表するようになりました。こういった事例は教訓の宝庫であり、これらの被害に共通する状況やトレンドに注目し、それを自社に置き換えて考えることが重要です。さらに、被害に遭うことを想定し、被害を最小限に抑えるための対策を実施しなければなりません。

知らないと危険!巧妙化するサイバー攻撃の主な種類

あなたの会社は、どんな攻撃手口で狙われる可能性があるかご存じですか?攻撃者は目的に応じて巧妙に手口を使い分け、セキュリティの穴を突いてきます。ここでは、企業が特に警戒すべき代表的な攻撃手法と、その対策のポイントを解説します。

企業を狙う主なサイバー攻撃の種類と特徴

攻撃の種類 概要と手口 対策のポイント
ランサムウェア データを暗号化し身代金を要求。近年はデータを窃取し「公開する」と脅す二重脅迫が主流。 定期的なバックアップ、不審メール注意、OS・ソフトの最新化。
標的型攻撃 巧妙な偽装メールでマルウェアに感染させる。 従業員教育、多要素認証、不審メールの報告体制。
サプライチェーン攻撃 対策が脆弱な取引先を踏み台に、本命のターゲット企業へ侵入する。 取引先を含めたセキュリティレベルの向上、アクセス管理の徹底。
DDoS攻撃 大量の処理負荷をかけ、Webサイトやサービスを停止に追い込む。 DDoS攻撃対策サービスの導入、トラフィック監視。

近年は、データを暗号化せず窃取したものを公開すると脅すノーウェアランサムや、生成AIを悪用した巧妙なフィッシングメールなども登場しており、複数の防御策を組み合わせた「多層防御」が不可欠です。

企業が今すぐ実施すべき情報漏えい対策【3ステップ】

巧妙化する攻撃には、「侵入させない」「拡大させない」「持ち出させない」という「多層防御」の考え方が重要です。

▼3ステップで実現する情報漏えい対策の概念図

ステップ1:入口対策(侵入を防ぐ)

脅威が社内ネットワークに侵入することを防ぐ対策です。

  • ファイアウォール/WAF: 不正な通信を遮断。
  • ウイルス対策ソフト: 導入と定義ファイルの常時更新。振る舞い検知やEDRの導入。
  • 脆弱性対策: OSやソフトウェアのセキュリティパッチを速やかに適用。
  • 従業員教育: 不審メールの見分け方やパスワード管理など、定期的な教育と訓練を実施。

ステップ2:内部対策(被害の拡大を防ぐ)

万が一侵入された場合に、被害が内部で拡大するのを防ぐ対策です。

  • アクセス権限の最小化: 業務上必要最小限の権限のみ付与。
  • ログの監視と分析: 不審な挙動を早期に検知する体制を整備。
  • ネットワークの分離: 部署や役割ごとにネットワークを分割し、被害の拡散を防止。

ステップ3:出口対策(情報の持ち出しを防ぐ)

攻撃者が機密情報を外部に持ち出すことを防ぐ最後の砦です。

  • データの暗号化: 万が一データが窃取されても、中身を読み取られないようにする。
  • DLPツールの導入: 機密情報を含む通信を自動的に検知・ブロック。
    DLPツールとは?
    DLP(DATA LOSS PREVENTION)は、日本語で「情報漏えい対策」を意味します。メールやUSBメモリ、クラウドへのアップロードなどを監視し、「クレジットカード番号」や「顧客リスト」といった機密情報が含まれていたら、自動で送信をブロックしたり、本人に警告したりする「情報の門番」のようなツールです。うっかりミスによる情報漏えいや、悪意ある持ち出しを防ぐために非常に有効です。
  • 通信の監視: 外部の不審なサーバーとの通信を監視・遮断。

監修:増井さん

対策しても効果がよくわからない、という声をよく聞きます。対策を実施したときには、その効果を測定するようにしてください。例えば、入口対策ではパッチ適用率や脆弱性残件数、内部対策では特権アカウントの把握率、不審なログの件数推移、出口対策では暗号化対象データ比率やDLPの誤検知率など、自社に合った項目で数値として把握するとよいでしょう。

中小企業こそ要注意!限られたリソースでの対策の始め方

「うちは大企業ではないから狙われない」これは最も危険な誤解です。

実際には、セキュリティ対策に十分な予算や人材を割けない中小企業こそ、攻撃者にとって格好のターゲットになります。「予算がない」「何から始めればいいかわからない」という声をよく耳にしますが、高額な投資や専門知識がなくても、今日から始められる対策があります。

ここでは、コストパフォーマンスが高く、初心者でも実践できる対策を優先順位順にご紹介します。

1. OS・ソフトウェアの最新化【コスト:無料】

最も基本的かつ重要な対策です。WindowsやOfficeの自動更新を有効にし、常に最新の状態を保つだけで、多くの攻撃を防げます。Adobe Acrobat ReaderやZoomなど、使用している全てのソフトも同様に自動更新を設定しましょう。

2. ウイルス対策ソフトの導入【コスト:1台月額500円~】

全ての業務用PCに、法人向けの有償ソフトを導入してください。トレンドマイクロ、ESET、マカフィーなどが代表的です。無料ソフトと比べ、複数台のPCの一括管理機能やサポート体制が充実しており、ビジネスのリスク管理として必要不可欠な投資です。

3. パスワード管理と多要素認証(MFA)【コスト:無料~】

パスワードは12文字以上、英数字と記号を組み合わせ、使い回しは厳禁です。パスワード管理ツール(1Password、Bitwardenなど)を活用し、複雑なパスワードを自動生成・保管する方法が考えられます。メールやクラウドストレージなど重要なデータを扱うシステムには、スマホでの認証コード入力を求めるなどの多要素認証(MFA)やパスキーの設定を検討してください。

4. 重要データのバックアップ【コスト:月額数千円~】

ランサムウェア対策の最後の切り札です。「3-2-1ルール」(3つのコピーを、2種類の媒体で、1つは遠隔地に保管)を意識し、定期的にバックアップを取得しましょう。Google WorkspaceやMicrosoft 365などのクラウドサービスを活用すれば、自動バックアップも可能です。ただし、リアルタイムのバックアップだけでは、元データが暗号化されたときにバックアップも暗号化されてしまうため、パソコンから取り外して保管することも必要です。年に1回は、実際に復旧できるかテストすることも重要です。

5. 公的支援制度の活用【コスト:無料】

IPAの「SECURITY ACTION」は、中小企業が無料で参加できる自己宣言制度です。「情報セキュリティ5か条」という明確な行動指針が得られ、ロゴマークを名刺やWebサイトに掲載できます。IT導入補助金で加点される場合もあるため、まずは登録から始めてみましょう。

これら5つの対策を順番に実施するだけで、セキュリティレベルは格段に向上します。完璧を目指す必要はありません。まずは優先度1から、できることを一つずつ始めてみてください。

監修:増井さん

セキュリティは体制を一度整えただけで終わりではありません。脅威は常に変化するため、世の中のトレンドに合わせて対策を更新するとともに、従業員の訓練、対策効果の評価を続ける必要があります。

専門家に聞く!サイバー攻撃対策FAQ

Q1. 予算が限られていますが、何から手をつければ良いですか?

A. OSの最新化、複雑なパスワード設定、定期的なバックアップなど、コストをかけずに実施できる対策から始めましょう。

Q2. 無料のセキュリティソフトでも大丈夫ですか?

A. 企業の重要な情報を守るためには、複数台のPCの一括管理機能やサポート体制が充実している法人向けの有償ソフトの導入が望ましいでしょう。万が一の際の迅速なサポートは、ビジネスのリスク管理という観点から重要な投資といえます。

Q3. 社員のセキュリティ意識を高めるにはどうすれば良いですか?

A. 「ルールを作って終わり」にしないことが重要です。実際に国内で起きた被害事例を定期的に共有して当事者意識を持たせる、不審なメールを見分けるための「標的型攻撃メール訓練」を四半期ごとに実施する、不審なメールや事象を報告しやすい窓口を設ける、経営層が率先してセキュリティの重要性を発信するなど、複数の施策を組み合わせることが効果的です。研修と訓練、報告体制の整備を継続的に行うことで、組織全体のセキュリティ文化が醸成されます。

Q4. もし被害に遭ってしまったら、どうすれば良いですか?

A. まずは感染が疑われるPCをネットワークから隔離し、システム管理者や経営層に報告。その後、IPAの相談窓口などの専門機関に速やかに連絡しましょう。個人情報が漏えいした場合は個人情報保護委員会への届出や本人通知が必要になるケースがあるため、法務部門や弁護士と連携して対応してください。

監修:増井さん

社員が報告しやすい雰囲気を作ることも重要です。「報告すると怒られる」「知識がないことが知られて恥ずかしい」などと考えて隠そうとすると、発覚が遅れたり、被害が拡大したりする可能性が高まるため、小さなことから気軽に報告できる環境を作りましょう。

まとめ:自社を守るセキュリティ対策で未来に備えよう

サイバー攻撃は、企業の存続を脅かす身近な経営リスクです。本記事で解説した「多層防御」の考え方を基本に、脅威を正しく理解し、自社の状況に合わせてできることから対策を進めることが重要です。この記事をきっかけに自社のセキュリティ体制を見直し、未来のビジネスを守る第一歩を踏み出しましょう。

ユービーセキュアでは、専門家が貴社のセキュリティ診断や対策、内製化について無料でご相談を承っております。お気軽にお問い合わせください。

詳細はこちら

 
完全な記事を表示