【情報漏えい件数で見る】2025年セキュリティインシデントワースト10

2025年に起きたセキュリティインシデントについて、情報漏えい件数が多い順にご紹介します。ランクインしている事例は、全て多数の情報漏えいや悪用が疑われた深刻なインシデントばかりです。

※ランキングの情報漏えい件数については、企業の公式情報の第一報や大手メディア報道をベースに算出しています
※一部事例は下記記事でも取り上げたものですが、それぞれ下半期に入って新たな動きがあったため情報をアップデートしてお伝えします

順位	企業	情報漏えい件数 （漏えいした可能性も含む）	被害の種類
1位	複合カフェ運営A社	約730万件	DDoS攻撃
2位	保険ショップ大手B社	約510万件	ランサムウェア攻撃
3位	人気テーマパーク運営C社	約200万件	ランサムウェア
4位	婚活サービス運営元D社	約91万件	不正アクセス
5位	PRテック企業E社	約90万件	不正アクセス
6位	スーパー経営F社	約45万件	不正アクセス
7位	医療法人G病院	約30万件	サプライチェーン攻撃
8位	チケット予約サイト運営H社	約23万件	不正アクセス
9位	宅配関連サービス大手I社	約15万件	システム不備
10位	専門小売店チェーンJ社	約12万件	不正アクセス

※本ランキングは被害規模を可視化するものであり、各社の過失や責任の重さを断定するものではありません

複合カフェ運営A社の大量のユーザ情報漏えい

2025年1月、大手ネットカフェチェーンを運営するA社のサーバが、外部の攻撃者による不正アクセスを受けました。ネットワーク障害に加えて、会員情報700万件以上が漏えいした可能性があり、そのリスクの深刻さを鑑みると近年稀にみる規模のセキュリティインシデントです。

なお、一度に大量の不正アクセスを受ける「DDoS攻撃」の一例であるものの、サービスだけでなく情報窃取も行われている点はやや特殊な事例です。攻撃者は攻撃過程で偶発的に何かしらの脆弱性を発見し、付随的に情報を窃取した可能性があります。

ランサムウェア被害の保険ショップ大手B社が買収によるセキュリティ体制強化へ

2025年4月、保険代理店事業を展開し大手保険ショップを運営するB社が、ランサムウェア攻撃による500万件以上の情報漏えいの可能性を発表しました。B社が8月に発表した最終的なレポートによれば、個人情報を含む暗号化被害の発生及び、監視の継続とセキュリティ強化の実施が明らかになっています。

また、翌月にはB社をアメリカの投資ファンドがグループごと買収を行いました。B社を含む保険代理店業界は不祥事報道が続発しており、情報管理体制の見直しは急務です。保険業界全体の再編が進むタイミングでの買収は、B社のIT・セキュリティ強化ニーズに応えることで価値向上が図れるという考えがあるのかもしれません。

セキュリティインシデントが経営判断にまで影響を及ぼすことや、経営目線からガバナンスを徹底することの大切さが本事例から理解できます。B社を買収した投資ファンドも、まずは社内外関係者の意識改革から着手するでしょう。大手企業のセキュリティ意識については、下記記事にて具体的な実践事例を含めて解説していますので併せてご参照ください。

人気テーマパーク運営元C社、会員情報の大量漏えいでサービス再開に長期影響

2025年2月、東京都で人気テーマパークを運営するC社が、ランサムウェア攻撃によって最大200万件の個人情報などが漏えいした可能性があると発表しました。

C社は8月に最終的な報告レポートを公表しており、チケット購入機能などが利用できないなどのシステムの不具合の原因が、リモートアクセス機器の脆弱性を狙った不正アクセスだったと断定しています。現在システムは復旧していますが、インシデント発覚から復旧まで半年以上を要し、社内リソースの消費と社会的信用度の低下などインシデントの代償は甚大なものになっています。

婚活イベントサービス運営D社への不正アクセス

2025年7月、婚活イベントサービスを運営するD社は、Webサイトのプログラムに不正アクセスを受けたことで、およそ90万件以上の個人情報が漏えいした可能性（一部情報は漏えい確認済み）があると発表しました。また、再度の不正アクセスを防止するための施策として、該当のプログラムの改修や新しいセキュリティ対策を実施したとのことです。

PRテック企業E社にてインシデントを受けて二段階認証導入へ

2025年5月、PRサービスを展開するE社にて、最大90万件の情報漏えいの可能性があると報じられました。同社の公式発表によると社内サーバが狙われ、保有していた個人情報や発表前プレスリリース情報などが漏えいした恐れがあるとのこと。

同社は6月以降、順次セキュリティ調査・対策を実施しており、再発防止を目的にセキュリティの強化に意欲的に取り組んでおり詳細を公表しています。実施予定も含む主な施策は下記のようなものです。

1. 提供サービス管理画面にアクセス権限のある全アカウントのログインパスワード変更
2. 管理画面へのアクセス許可を社内からの接続とVPN接続のみに制限
3. WAFの設定見直し
4. アクセス制限の強化（IP制限、2段階認証、ログイン通知）

いずれも基本的で重要な施策ですが、大手企業でも未実施の場合も少なくありません。今回の事例を参考に、自社のセキュリティ対策の再確認をおすすめします。

スーパー経営F社、基幹業務データや顧客情報を含む大量漏えい

2025年8月、スーパーのフランチャイズビジネスを展開するF社のサーバにて、攻撃者による不正アクセス及びおよそ45万件の機密情報流出の可能性が明らかになりました。これらの情報には販売・在庫データや会員情報、従業員のデータなどが含まれています。F社は外部の専門機関による調査報告を11月に公表し、これによると不正アクセスによる情報閲覧の可能性は否定できないとしています。

地域医療を担う医療法人G病院へのランサムウェア攻撃

2025年2月、地域医療を担う北関東の医療法人G病院が、サーバへのランサムウェア攻撃及び情報窃取被害を公表しました。サーバに記録されていた個人情報およそ30万名分が流出した可能性があり、攻撃の影響により院内システムが使用できない状態に陥り、診察や健診業務の制限に追い込まれたとしています。

近年では医療機関・関連企業へのランサムウェア攻撃が断続的に発生しています。攻撃者目線で医療機関を見ると、

チケット予約サイト運営H社へのサーバ侵害でユーザ情報漏えい

2025年9月、チケット予約サイトを運営するH社は、サーバに不正アクセス及び会員情報の閲覧及び流出の可能性があると発表しました。流出の可能性のある情報は会員のカナ氏名・電話番号・メールアドレスなどを含み、メールアドレスに関してはおよそ23万件もの被害の可能性が示唆されています。

本事例のようなメールアドレスの流出は、利用者側にスパムメール・フィッシングメールなどの宛先として悪用されるリスクが生じます。被害を防ぐためには企業側の努力に加えて、個人単位でのセキュリティ意識の向上が必要でしょう。

システム不備が原因の宅配関連サービスI社の情報漏えい

2025年8月、宅配関連サービスを提供するI社が、自社Webサイトのシステムに不備があり、個人情報およそ15万件が閲覧可能な状態になっていたことを公表しました。2025年2月から7月の数か月にも及ぶ期間、一部配達機能を利用する際に、第三者が任意の問い合わせ番号に紐づけられた受取人情報が表示される状態になっていたとのことです。

本事例の特筆すべきところは、悪意のある攻撃による情報漏えいではなく、自社のITシステム環境管理の不備がセキュリティインシデントの原因になっていた点です。再発防止には、個人情報保護に関する教育と管理体制の構築が不可欠です。社内の情報セキュリティの現状を把握するために「セキュリティアセスメント」の実施も有効な対策になります。

アセスメントには目的や対象に応じていくつかの種類があり、自社に適切な調査を選択しなければなりません。下記記事ではセキュリティアセスメントの種類や違いを解説していますので、あわせてお読みください。

専門小売店チェーンJ社の提供アプリに対する不正アクセス

2025年1月、雑貨をメインにした小売チェーンを経営するJ社が、運営するアプリが不正アクセスを受けて、個人情報の流出につながったと発表しました。アプリのシステムに利用しているソフトウェアの脆弱性を突いたサイバー攻撃によるもので、流出した情報は合計12万件に上っています。再発防止策としてアプリシステムの脆弱性を改善し、不正アクセスを早期発見できる監視体制の強化を実施しています。

【社会的影響度でピックアップ】2025年のセキュリティインシデント5選

つづいて、2025年に起きたセキュリティインシデントの中で、社会的な影響度が重大だった5つをピックアップして紹介します。情報漏えいに留まらず社会・経済に様々な影響を及ぼした事例の数々を反面教師にして、2026年の自社のセキュリティ対策にご活用ください。

No.	被害企業	主な社会的影響	被害の種類
1	プラットフォームを利用する多数の企業	企業のプラットフォーム依存によるセキュリティ被害	サプライチェーン攻撃
2	クラウドサービス提供企業	大手クラウドサービスの障害と利用企業の業務停止・停滞	ランサムウェア攻撃
3	国内飲料メーカー及び全国の小売業・飲食業など	商品の流通停滞による全国的な波及	ランサムウェア攻撃
4	複数の大手小売業	通信販売業界へのサプライチェーン攻撃	サプライチェーン攻撃
5	大手金融子会社	金融業界への国際的な攻撃	不正アクセス

※本ランキングは被害規模を可視化するものであり、各社の過失や責任の重さを断定するものではありません

数多のプラットフォーム利用企業を巻き込んだサードパーティー汚染

2025年10月、アメリカの大手CRM（顧客関係管理）サービスを利用する複数企業の顧客データが、サイバー攻撃集団によって窃取されたと報じられました。日本企業含む世界各国の大手企業の顧客データが流出したとされ、被害の甚大さは2025年に起きたセキュリティインシデントの中でもトップクラスです。

本事例からは「特定のプラットフォームに依存することの危険性」を認識された方も多い事でしょう。今回、攻撃者はサービス提供元のシステムに侵入したのではなく、顧客組織の設定・運用体制に対して攻撃を仕掛けています。つまり世界的なCRMプラットフォームを中心に形成している、広大なサードパーティーが汚染された事例なのです。

現在、ビジネス効率化のニーズに応える、様々なプラットフォームサービスが開発・提供されています。しかし、これらのサービスに依存するのではなく、下記のようにデータ管理・運用の品質を今一度見直さなければなりません。

特に管理するデータの範囲は予め決めておくことで、自社のIT資産の棚卸しやセキュリティアセスメントにも役立ちます。

大手クラウドサービスにおけるセキュリティ起因の大規模障害

2025年10月、世界最大級のクラウドサービスにて大規模障害が発生しました。サーバ・ストレージ・データベースなど現代のインターネットを支える同社のサービスで発生した障害の影響は大きく、オンラインサイトなど複数の提供サービスで接続障害・遅延が発生し、世界各国の利用者に影響を及ぼしました。障害報告は世界全体で800万件以上に上り、2025年のセキュリティインシデントの象徴的な事例となっています。

前述したプラットフォームサービスへの依存と同様に、ある程度サービスを“信頼”した上で、全面的な依存を脱却し、インシデント時の自社のフォロー体制を確立しておく事が大切です。

一般社会を巻き込む国内飲料メーカーへのサイバー攻撃

2025年9月、国内最大手の飲料メーカーがサイバー攻撃を受け、システム障害・情報漏えいなど大規模なセキュリティインシデントに至りました。影響は日本国内で管理しているシステムに限られるものの、商品の受注・出荷が大幅に停滞したほか、190万件超の個人情報が漏えいの可能性があります。

攻撃を受けた飲料メーカーを取り巻くサプライチェーンは大きく、一部業務を委託している業者や取引先となる飲食店・小売店などを含め全国的に影響を及ぼしました。手掛けている商品が一般市場に出回らず“品薄”になることもあり、競合の飲料メーカーにも影響がおよび、一般消費者にも強く印象を残した事例です。

これまでの大規模なサイバー攻撃は一部業界内で話題となるものの、業界の外での影響は限定的でした。しかし、今回の事例は社会全体で話題になり一般消費者にまでサイバー攻撃の恐ろしさとセキュリティ意識の大切さを自覚させ得る稀有な例です。

大手小売業へのサプライチェーン攻撃

2025年10月、オフィス用品・日用品などを販売する大手小売会社が、外部からの不正アクセスによってランサムウェア攻撃を受けました。同社が主力としていた通信販売事業（EC事業）への打撃となり、受注・出荷業務を全面停止しました。また、最大74万件にも及ぶ個人情報漏えいの可能性も生じており、社会全体に影響を与えました。

また、小売業は大規模なサプライチェーンを形成している場合もあり、本事例でも同社に物流業務を委託している企業で商品の受注・出荷が大幅に停滞したほか、。ECサイトの利用者の氏名・住所などの流出の被害を受けました。小売業のサプライチェーンが狙われた典型であり、各企業間でアクセス権限の適切な制御・管理の必要性を自覚させるものでした。

大手金融子会社にて約31億円の暗号資産が不正流出

2025年10月、大手金融関連業の子会社は、同社が自己資産として保有する暗号資産へのサイバー攻撃と不正流出を発表しました。大規模な顧客情報の流出はないものの、外部のブロックチェーン研究者は今回の資産流出が約31億円（約2,100万ドル）に達すると指摘しています。

また、流出した暗号資産が複数のトランザクションを経て匿名化サービスに送金されたと見られ、その手口から北朝鮮関連のハッカー集団による犯行の可能性があるとされています。同様の手法による被害は今回だけでなく世界的に報告されており、暗号資産を扱った企業ひいては金融業界に大きな脅威となっています。

2025年は国家間のサイバー戦略及び脅威を巡る話題も多く、今回の事例は国際的な視点から見ても注視していくべきものとなっています。

2025年に起きたセキュリティインシデントの特徴

ここまで2025年に起きたセキュリティインシデントについて、合計15の事例を交えて紹介してきました。つづいて、事例を踏まえた昨今のセキュリティインシデントの特徴を解説します。

各企業のクラウドサービス・プラットフォーム依存

前述した通り、2025年はクラウドサービスやプラットフォームの利用企業を巻き込むセキュリティインシデントが発生しました。各企業のサービス依存及び、自社のIT資産の不適切な管理・運用が浮き彫りになっています。

世界的なサービス・システムのセキュリティは高いものの、常に安全というわけではありません。特定のサービスをある程度信頼した上で、自社が「いつ、どのIT資産を、どのような場所に、どうやって管理しているのか」と、常に把握できている状態が理想的でしょう。

サイバー攻撃のターゲットとなる業界・業種の多様化

攻撃者はこれまで特定の業界・業種に狙いを定めて、同時多発的に攻撃を繰り返してきました。例えば、近年では以下のような事例が頻発しています。

攻撃者は特定の業界の構造を把握し、その弱みにつけ入ります。そして2025年は、従来の製造業や医療機関などに加えて、2つの業界への新たな攻撃が目立ちました。

航空業界への攻撃

2025年は航空業界への攻撃が目立ちました。国内の大手航空会社が年始時期にDDoS攻撃を受け、海外の各国のインフラを支える主要航空会社もサイバー攻撃の被害に遭っており、重要なサービスが不能になっています。直近のインシデントでは、2025年12月末、韓国の大手航空会社がERP（統合基幹システム）に保存された個人情報が不正に取得されました。航空業界が狙われる理由としては主に3つが考えられるでしょう。

1. 顧客データなど膨大な個人情報を抱えており標的対象にしやすい
2. 航空機製造・予約システム・地上支援システムなど多様なベンダーによるサプライチェーンを形成しており、攻撃者にとっての侵入経路が多い
3. 重要な社会インフラの役割を担っており、攻撃者の要求に応じざるをえない

以上のように、航空業界は攻撃者にとって好都合な環境が揃っています。航空会社自体のセキュリティ体制を高めるのは当然ですが、周辺機器・機材の製造を担う関連企業や予約システムを構築しているITベンダーなども、自主的にセキュリティ体制を整備する必要があるでしょう。

教育業界への攻撃

2025年は教育機関・関連企業に対しても断続的に攻撃が繰り返されました。下記記事でも解説している通り、特に大学機関への攻撃が目立っており、複数のキャンパスを持った有名大学から地元に根差した小規模大学まで、多様な大学が標的になっています。

教育機関が攻撃者から狙われやすい理由としては下記の通りです。

1. 膨大な個人情報を抱えておりランサムウェアにつなげやすい
2. 学生や外部講師などにガバナンス・セキュリティポリシーを効かせにくい
3. 学校側にセキュリティ対策に割くリソースが少なく、脆弱なシステムを恒常的に使用している

教育業界が上記の環境をすぐに変えることは難しく、2026年以降も引き続き攻撃者から標的にされる可能性が高いでしょう。セキュリティ対策は現状把握から始め、基本的な項目をできることから積み重ねる事が重要です。

2026年に危惧されるサイバー攻撃とIT・セキュリティ業界の展望

本記事では2025年に起きたセキュリティインシデントについて紹介しました。取り上げた事例から主に学べることは以下の通りです。

これらを踏まえて2026年以降のセキュリティ対策を固めていきましょう。また、2025年のセキュリティ業界の動向や2026年に実施するべきセキュリティ対策について、より詳しく理解するためにこちらの記事も是非ご覧ください。