【他人事ではない】2025年8月のサイバー攻撃被害事例まとめ|情シス担当者が今すぐやるべきこと
8月は夏休みシーズンですが、サイバー攻撃者にはお盆休みも関係ないようです。2025年8月も、国内外で多くの企業や団体がサイバー攻撃による被害を公表しました。
「うちは大丈夫」なんて思っていませんか?その油断が命取りになります。
今回は、2025年8月に公表された主なサイバー攻撃の被害事例をまとめるとともに、私たち企業の情シス・セキュリティ担当者が何を学び、どう行動すべきか、私の視点から解説します。
私は、東証プライム上場企業で情報システム部のセキュリティ担当として日々奮闘している、情報処理安全確保支援士(登録セキスペ)の城咲子です。
2025年8月に公表されたサイバー被害事例
まずは、どのような被害が起きているのか、事実を直視することから始めましょう。以下は、2025年8月に公表された被害事例の一部です。
| 公表日 | 企業・団体名 | 被害の種類 | 概要 | プレスリリース等URL |
|---|---|---|---|---|
| 2025年8月21日 | 西濃運輸株式会社 | 不正アクセス | 同社が運営するWebサービス「マイセイノー」にて不正アクセスを検知。 | scanNetSecurity |
| 2025年8月21日 | 株式会社名鉄インプレス | 設定不備 | 運営する施設の愛称募集フォームの設定不備により、応募者61名の個人情報が閲覧可能に。 | サイバーセキュリティ.com |
| 2025年8月22日 | 日本プラスト株式会社 | サイバー攻撃 | 開発センターのサーバーがサイバー攻撃を受け、システム障害および情報漏洩の懸念。 | USEN GATE 02 |
| 2025年8月19日 | 楽天モバイル株式会社 | 情報漏洩 | 顧客情報4,609人分の通話先電話番号が漏洩した可能性。総務省より行政指導。 | ROCKET BOYS |
| 2025年8月16日 | 株式会社オークワ | ランサムウェア | 連結子会社のサーバーがランサムウェアに感染。 | 株式会社アクト |
| 2025年8月7日 | 古野電気株式会社 | 不正アクセス | カスタマイズされたマルウェアによる不正アクセス。 | 古野電気株式会社 |
| 2025年8月1日 | メルセデス・ベンツ日本合同会社 | 情報漏洩の可能性 | 自動車保証管理システムへの不正アクセスにより、顧客約15,200名の個人情報が漏洩した可能性。 | USEN GATE 02 |
ご覧の通り、大手企業からその子会社、Webサービスまで、事業規模や業種を問わず被害が発生していることがわかります。特に、ランサムウェアによる事業停止や、Webアプリケーションの設定不備といった、基本的なセキュリティ対策の不備を突かれたような事例も散見されます。
事例から読み解く攻撃の傾向と“明日は我が身”のリスク
これらの事例は、決して対岸の火事ではありません。私たち情シス担当者は、ここから教訓を読み解く必要があります。
傾向1:サプライチェーンの弱点を突く攻撃
株式会社オークワの事例のように、子会社や関連会社が攻撃の起点となるサプライチェーン攻撃は、もはや常套手段です。自社のセキュリティを固めていても、セキュリティレベルの低い取引先や子会社から侵入されるケースは後を絶ちません。
あなたの会社は、グループ会社や業務委託先のセキュリティレベルをきちんと把握・管理できていますか?
傾向2:なくならない「うっかり」設定ミス
名鉄インプレスの事例は、Webフォームの単純な設定不備が原因でした。このような「うっかりミス」は、開発のスピードを優先するあまり、セキュリティチェックが疎かになった結果として起こりがちです。
特定の担当者のスキルや注意深さに依存した運用は、極めて危険です。 誰がやっても一定のセキュリティレベルを担保できる「仕組み」がなければ、同じ過ちが繰り返されるだけです。
傾向3:事業継続を脅かすランサムウェア
もはや説明不要のランサムウェア攻撃。日本プラストやオークワの事例のように、一度感染すれば事業継続に深刻な影響を及ぼします。バックアップからの復旧がうまくいかず、身代金の支払いを検討せざるを得ない状況に追い込まれる企業も少なくありません。
バックアップは取得しているだけで満足していませんか? 定期的なリストア訓練まで実施しているでしょうか。
情シス担当者は「自分が動く」な。「ルールと組織」を動かせ
インシデントが発生すると、私たち情シス担当者は昼夜を問わず対応に追われます。しかし、ヒーローのように夜なべして復旧作業をすることが、情シスの本来の仕事ではありません。それは三流のやることです。
一流の情シスは、自分が動くのではなく、「ルールと組織を動かす」ことで、インシデントに強い会社を作ります。 これが私の信条です。
1. 「情シスは経営の片腕」と心得る
セキュリティインシデントは、ITの問題ではなく経営の問題です。今回の事例を自社に置き換えた場合、どれほどの事業インパクトがあるのか(売上損失、信用の失墜、顧客への賠償など)を具体的に試算し、経営層に報告しましょう。
「サーバーが止まります」ではなく、「工場の生産が1週間停止し、XX億円の損失が出ます」と翻訳して伝えるのです。そうして初めて、経営層はセキュリティを自分事として捉え、必要な投資やリソースの確保に動いてくれます。
2. 「属人性の徹底排除」をルール化する
「あのサーバーの設定はAさんしか知らない」「このシステムのID管理はBさんのExcel頼み」…あなたの周りに心当たりはありませんか?
このような属人性は、インシデント発生時の対応を遅らせる最大の要因です。
- サーバーやネットワーク機器の設定情報は、チームで共有・レビューする。
- Webアプリケーションのリリース前には、第三者によるセキュリティチェックリストを必須とする。
- ID棚卸のプロセスを定め、機械的に実行する。
このようなルール(仕組み)を導入し、担当者のスキルや経験に依存しない体制を構築することが、組織全体のセキュリティレベルを底上げします。
3. 「インシデントは起きるもの」として備える
完璧な防御はあり得ません。重要なのは、インシデントが発生した際に、被害を最小限に抑え、迅速に復旧するためのインシデントレスポンス(IR)体制を整えておくことです。
- 誰が指揮を執り、誰がどこに連絡するのか(IR計画)。
- ログは適切に保管されているか。
- 外部の専門家(フォレンジック調査会社など)との連携体制はできているか。
机上の空論で終わらせず、定期的な訓練を通じて、いざという時に本当に動ける体制を作っておきましょう。
まとめ
今回は、2025年8月のサイバー被害事例を基に、私たち情シス担当者が取るべきアクションについて解説しました。
被害事例をただ眺めて「怖いね」で終わらせるのではなく、そこから自社の課題を抽出し、具体的な対策に繋げることが重要です。
情シスの仕事は、ヒーローになることではありません。会社をヒーローに頼らなくてもよい状態にすることです。
そのためには、技術力だけでなく、経営層を巻き込み、組織全体を動かす力が求められます。まずは、この記事で紹介した事例を参考に、自社のセキュリティ対策を一つでも見直すことから始めてみてください。
