2025年のIT・セキュリティ業界を取り巻く環境の変化

警察庁の発表によると、2025年上半期はランサムウェア攻撃の被害件数が2022年下期と並んで過去最多となった。また、DDoS攻撃・情報窃取を目的とした攻撃・国家が関与する攻撃なども相次ぎ発生している。

また、下半期に入っても大手企業や個人を狙うサイバー攻撃は断続的に発生し、残念なことにセキュリティ業界の話題に事欠かない一年間となった。IT・セキュリティ業界の最前線に立っていた根岸は、2025年のセキュリティを取り巻く環境について以下のように振り返る。

ランサムウェア攻撃が増加する背景とは

まず、ランサムウェア攻撃が増加している背景について考察する。根岸によれば、昨今のランサムウェア攻撃には2つの大きな変化が起きており、その変化が件数増加の大きな要因だという。

サイバー攻撃の役割分担とRaaS（ラース）の確立

昨今のランサムウェア攻撃の特徴の一つとして、分業制が急速に広まっていることが挙げられる。ランサムウェア攻撃には主に以下3つの役割が形成されている。

1. ランサムウェアを開発・提供・販売する「RaaS（Ransomware as a Service）」
2. 標的企業の侵入経路の探索・確保・販売を担う「IAB（Initial Access Broker）」
3. ランサムウェア攻撃の実行犯である「アフェリエイト」

2020年前後に登場した「RaaS」や「IAB」は、ランサムウェア攻撃を仕掛けるための手段を販売・サポートする存在だ。ランサムウェアのノウハウを持っていない層にも技術提供することで、攻撃実行・マネタイズを担う「アフェリエイト」を増加させた。以上のような分業制の確立は、ランサムウェア攻撃の増加の大きな要因になっている。

中小企業に対するランサムウェア攻撃の増加

ランサムウェア攻撃の分業制の確立は、小規模なサイバー集団の増加や、中小企業への攻撃にも影響を与えた。小規模なサイバー集団はセキュリティが堅牢な大企業ではなく、セキュリティ対策が不十分な中小企業に狙いを定めたのである。

中小企業にとってセキュリティインシデントは今や対岸の火事ではなく、予算・リソースを割いてしっかりと対策するべき分野になっている。自社のセキュリティ環境を見直し、必要に応じてITベンダー・プロバイダが提供するソリューションやサービスを活用するのがおすすめだ。

また、根岸は「今後、IIJを含むセキュリティ業界全体で、中小企業のセキュリティ対策強化を支援する道を模索しなければならない」とサービスを提供する側の課題も語っている。

変化するランサムウェア攻撃への対策は変わらない

ランサムウェア攻撃の分業化など脅威の手法は常に変化し続けているが、根岸は「自分たちのやるべきこと、やれることはあまり変わっていない」と語る。

IT・セキュリティ業界は成熟しつつあり、次々と新たなセキュリティ対策手法がリリースされている。しかし、自社を守るために重要なのは昔から言われている“基本対策”だ。パスワード管理や脆弱性の管理などの基本対策を疎かにせず着実に進めていくべきである。流行りの新しいキーワードに踊らされるのではなく、自社を守るために基本対策を改めてしっかりと実施していこう。

AIにまつわる“効率化”の脅威

根岸は昨今のセキュリティトレンドである「AI技術を悪用したサイバー攻撃」について、AIによるサイバー攻撃の“効率化”に着目する。

2025年12月、大阪市の高校生が生成AIを悪用して攻撃プログラムを完成させ、インターネットカフェの運営会社にサイバー攻撃を仕掛け700万件以上の会員情報を窃取した事件が話題となった。

この事件を例にして、根岸は「現時点ではAIによって技術的なブレイクスルーがあるかと言えば微妙で、活用範囲もディープフェイクなどが主で限定的。しかし、AIによってサイバー攻撃は格段に効率化しており、今後AIを悪用したサイバー攻撃は更に拡大していくだろう」と予想する。

また、サイバー攻撃グループなどがAIを積極的に悪用する一方で、セキュリティベンダー側はAIの活用という点では遅れている。AIを使った攻撃に対応するためにも、防御する側もAIを適切に使っていかなければならない。

セキュリティプロフェッショナルが回顧する「2025年の記憶に残ったセキュリティインシデント」

当サイトの記事でも紹介している通り、2025年は様々なセキュリティインシデントが発生した。

ここからは数あるセキュリティインシデントの中でも、根岸が特に印象深かった以下の4つについて振り返る。

DDoS攻撃の頻発

2024年末のインシデントを契機に、年をまたいで2025年1月まで断続的に発生した一連のDDoS攻撃は、様々なメディアにも取り上げられた。代表的なものの一つは大手航空会社を襲ったDDoS攻撃で、年末年始に利用者が増える航空業界を標的にしたものとされる。

根岸曰く「DDoS攻撃は特定の時期に単体の事例が発生することが多いが、航空といったインフラ業界・政府機関・金融機関などに攻撃がおよそ一ヶ月間にも渡って断続的に起きたのは珍しい」とのことで、セキュリティ業界のみならずDDoS攻撃の脅威を再認識する機会になった。

証券会社をターゲットにした個人アカウント乗っ取り

2025年は証券会社をターゲットにした不正アクセス・アカウント乗っ取りが多発した。例えば、乗っ取った証券口座内の株式等を売却、特定の銘柄を大量に購入して株価を不正に釣り上げた上で、保有株を売却して利益を得るという手口である。

このアカウント乗っ取りは「一般消費者向けサービスにおいて頻発したため、一般社会へセキュリティ認証の重要性を示し、図らずも多要素認証・パスキー認証などの認知度普及に寄与した事例」だと根岸は回顧する。

プラットフォーム依存によるサードパーティ汚染

2025年は国内外問わずプラットフォーム依存の危険性が顕在化した年だった。その象徴がSalesforceのユーザを狙った大規模サイバー攻撃である。Salesforceを利用する世界的な大手企業を中心に多数の機密情報が窃取され、その深刻さから多くのメディアにも取り上げられた。

また、大手クラウドサービス・AWSで発生したシステム障害も、特定のプラットフォームに依存する危険性を示した代表例である。クラウドサービスは地理的制約を受けず、データの分散管理が可能だが、今回のように多くの大手事業者が基盤として利用している特定の基盤サービスに障害が起きたことで、世界中にインシデントが波及するという弊害も出ている。

現在、オンプレミス・クラウド問わず様々な場所にデータが分散管理され、運用がより一層複雑になっている。根岸は「自社の情報が一体どこに、どのように管理されているのか、プラットフォームやクラウドサービスに依存するのではなく、常日頃のIT資産の自主的な管理が大切」と語った。

一般消費者を巻き込む大規模サイバー攻撃

一般消費者を巻き込む大規模なサイバー攻撃も記憶に新しい。国内では大手飲料メーカー・A社や、大手通販会社・B社で発生したランサムウェア攻撃によるシステム停止などが代表的事例になる。どちらも商品の出荷が停止するなど流通網が大きな影響を受けたため、一般消費者にもサイバー攻撃の脅威を広く認知させる事例となった。

また、海外においても同様の事例は発生しており、例えばイギリスの大手自動車メーカーがサイバー攻撃を受けた事例では、一部報道によるとその被害によってイギリスの経済的損失が19億ポンド（約4千億円）にのぼり、国内GDPを実質0.2%押し下げる要因になるほどの影響を与えた。

根岸は「これらの事例は良くも悪くも、一般消費者にもランサムウェア攻撃・サプライチェーン攻撃が他人事ではないと思わせた」と振り返った。

3種類のサプライチェーン攻撃に共通する課題と対策

つづいて「サプライチェーン攻撃」について振り返る。IPA（独立行政法人 情報処理推進機構）が毎年発表している「情報セキュリティ10大脅威 2025」において、ランサムウェア攻撃に次いで第2位にランクインし続けている深刻な脅威だ。

根岸はこれまで登壇した講演会でもサプライチェーン攻撃を取り上げてきており、今回もサプライチェーン攻撃の全容について独自の視点で解説してもらう。

3種類のサプライチェーン攻撃とは

そもそもサプライチェーン攻撃は「標的企業よりもセキュリティの脆弱な関連子会社・業務委託先のネットワーク経由で不正侵入する」というのが、教科書的な説明になる。

しかし、根岸は「サプライチェーン攻撃には特徴の異なる3つの種類があり、理解を深めるためには文脈を正しく読み取り、適切に捉えるべき」と提言する。ここでは3種類のサプライチェーン攻撃について解説していく。

ビジネスサプライチェーン攻撃

ビジネスサプライチェーン攻撃とは「業務委託先から自社の情報が流出したり、取引先のランサムウェア感染や障害による業務停止などの影響を受ける」というもの。3つのサプライチェーン攻撃の中でも最も有名な種類である。

子会社・業務委託先・海外現地法人など、サプライチェーンの中でもセキュリティ対策が比較的弱い箇所が狙われるため、昨今多くの業界でサプライチェーンが複雑化していることで、攻撃の影響も拡大する傾向にある。自社でコントロールが完全に効かないないところからの侵入に対してどのように対策できるのかを、事業計画の観点からも改めて想定をしていくことが必要である。

サービスサプライチェーン攻撃

サービスサプライチェーン攻撃は「クラウドなどサービスプロバイダからの情報流出や障害による業務停止などの影響を受ける」というものだ。前述したSalesforce環境を標的としたサードパーティ製アプリケーションへの侵害などが代表的な事例だろう。

サービスサプライチェーン攻撃は「共有責任（シェアード・レスポンシビリティー）」を取り決めて、インシデント時のトラブルに備えることが大切だ。しかし、実際のインシデント時には責任分界点が曖昧なことが多く、共有責任の取り決めのみでは不十分といえる。改めて責任の所在の整理だけでなく、そもそものサービス依存からの脱却が重要である。

ソフトウェアサプライチェーン攻撃

ソフトウェアサプライチェーン攻撃は、「ソフトウェア開発元への侵害やオープンソースパッケージの乗っ取りなどによりマルウェアが混入し配布されたり、ソフトウェアライブラリの脆弱性による影響を受ける」というものである。国家間の政治・外交が背景に絡み、開発元への侵害事例では、感染端末から情報を収集した後に特定の標的のみに 2nd ペイロードのマルウェアが配布された標的型攻撃の例もある。

対策する側も官民一体で対策を講じることが必要だ。また、利用者側で防ぐことが難しいことから、日頃使用しているソフトウェアの管理、SBOM（Software Bill of Materials）を把握しつつ、日常的に情報収集を行って自分達へどのような影響があるかを把握することが重要だ。

サプライチェーン攻撃は影響範囲を把握しておくことが大切

3種類のサプライチェーン攻撃から逃れるためには、組織のサプライチェーン構造自体を把握して対策を講じるしかない。

根岸は「（前述したAWSの障害を反面教師にして）自社のどの情報をどこで管理しているのか、管理先のサービスに障害が発生した場合にどのような影響が起きるのか、その際には何ができるのか？を把握して欲しい」と語る。

2026年に注視しておくべきサイバー攻撃と注意点

ここまでは2025年に起きたITやセキュリティについて概況を振り返ってきた。つづいては2026年に注視すべきサイバー攻撃について考えてみる。昨今の業界を俯瞰して、3つのポイントに分けて整理する。

クリックフィックスなど汎用性の高い攻撃に要注意

まず、根岸によるとクリックフィックスの増加が懸念されるという。「クリックフィックス」とはソーシャルエンジニアリングの一つで、ユーザのPCブラウザなどに偽のエラー画面や偽CAPTCHA認証画面を表示し、ユーザの動作を誘導する手口だ。

例えばブラウザに「この問題を解決するには次のステップを実行してください」と表示させ、ユーザがステップを実行するとマルウェアに感染してしまう。クリックフィックスは2025年頃から徐々に目立ち始めており、2026年も引き続き繰り返される危険性がある。

根岸は「嘘のテキストで信じさせてユーザ自身に実行させるタイプは汎用性が高く、標的型攻撃やランサムウェア感染など幅広く利用されており、今後も注視していく必要がある」と言う。被害に遭わないためには、個人のセキュリティ意識を高めるよりほかない。

VPNの脆弱性による情報漏れは本当の原因を突き止めることが重要

近年では「ランサムウェア攻撃やサプライチェーン攻撃のほとんどの原因は“VPNの脆弱性”にある」と、脱VPNを促す論調が多い。しかし、数あるVPNの脆弱性が要因とされたセキュリティインシデントの中には、ほかに“真の原因”がある場合も存在する。

根岸によると「VPN機器から侵害された事例では、脆弱性を悪用されたものもあるが、認証情報が事前に漏えいし、それを利用して正規のアカウントが悪用された事例もある。しかし、認証情報の漏洩原因まで特定されていないことも多い」と振り返った。

セキュリティ対策の基本は、根本の原因を解消することである。安直にVPN周辺の対策に終始するのではなく、アカウントの管理方法なども含めて原因を突き止める必要がある。

BYOD・リモートワークによる個人端末から情報漏えい

コロナ禍以降、リモートワークの普及によって業務環境や働き方が多様化し、BYOD（Bring Your Own Device）の浸透もあって、ビジネスとプライベートの垣根が曖昧になっている。根岸はこのような環境の変化に伴う、社員の個人端末からの情報漏えいも危険だと考える。

ブラウザや端末の同期など、些細な動作でも企業の機密情報が流出しやすいのだ。根岸は「相次ぐセキュリティインシデントで各社のセキュリティポリシーは厳しくなっているが、厳しさに見合う利用者の利便性を保証しないと、BYOD環境やリモートワーク環境からの情報流出を防ぐのは難しい」という。

セキュリティ対策で重要なのは「対策のバランス」

一昔前は境界型防御が最も重要とされていたが、昨今はサイバー攻撃の高度化に伴って侵入前提の対策が重要だと認識されている。EDR（Endpoint Detection and Response）やMDRなどは、IT関連のメディアが最新対策としてこぞって紹介している最たる例だろう。

しかし、根岸は「昨今の深刻なセキュリティインシデントを鑑みると、その被害を最小限にするための権限管理やセグメンテーション対策などの基本的施策も非常に大切」と指摘する。最新技術を搭載した対策も必要だが、そればかりでは埋められない穴もある。侵入を防ぐ対策と侵入後の対策をバランス良く取り入れて、その時々の環境に合わせて適宜調整していくことが大切だ。

ベンダーに頼るところは頼って、基本的な対策は欠かさず実施する

本記事ではIIJのセキュリティプロフェッショナル・根岸へのインタビューを元に、2025年のセキュリティ業界の概況を振り返った。繰り返しになるが、年々過激化・高度化するサイバー攻撃に対して、脅威から自社を守るためにできることは以下の通り変わらない。

1. 権限管理やセグメンテーション、PW管理、各種バックアップなどの基本対策の継続的な実施
2. 各メディアやレポートなどからセキュリティ関連の情報収集、最新の脅威動向の把握

上記2つに加えて、根岸は「サービス提供側の私達IIJが提言するのはやや違和感があるが、脅威への対策をセキュリティベンダーに依存しすぎるのも危険。サービスやソリューションを上手に活用しつつ、自社のセキュリティ対策・意識も維持するように努めてほしい」と総括する。

国内外のセキュリティ業界は成熟しており、巷には高度なセキュリティソリューションが溢れている。しかし、サイバー脅威から自社を最大限に守るために大切なのは、提供されている技術を能動的に活用し、自社で適切にセキュリティ対策を実施することだ。

IIJは適切なサービス・技術を提供するだけでなく、その後の運用・保守のサポート体制も万全だ。貴社のIT担当や責任者の方と併走し、従来のベンダー依存とは一線を画すサービスを提供し続けることを約束する。