前回は、OWASP Top 10 2025という、Webアプリケーションにおける最も深刻なセキュリティリスクを10項目にまとめた世界標準のドキュメントを見ながら注目ポイントについて解説しました。ご興味のある方は、ぜひご覧ください。
今回は、2025年の総括として、特に聞くことが多かった「ランサムウェア」について見ていきます。
2025年、日本を代表する大手企業が相次いでランサムウェア攻撃の被害に遭いました。アサヒグループホールディングスは9月29日に攻撃を受け、2カ月にわたり受発注システムが停止しました。小売店や飲食店への商品供給が滞り、出荷の完全正常化は2026年2月以降になる見込みです。アサヒGHDの社長のコメントでも、「防げた攻撃だった」というコメントが出ています(※1)。
アスクルも10月19日に攻撃が発覚し、法人向け通販「ASKUL」の基幹システムが暗号化され、12月25日時点でも復旧作業が続いています(※2)。
注目すべきは、両社ともセキュリティ対策を実施していたにもかかわらず、攻撃を受けて被害が出てしまっていたことです。その理由とは何でしょうか。
(※1)https://www.nikkei.com/article/DGXZQOUC082RC0Y5A201C2000000/
(※2)https://www.askul.co.jp/corp/security/
2025年1月〜11月では、日本で501件のセキュリティインシデントが発生
トレンドマイクロの調査(※3)によれば、2025年1月から11月までに公表された国内のセキュリティインシデントは501件ありました。そのうち「不正アクセス」が最も多く、ランサムウェア攻撃の公表は78件に達しました。これは2024年の同時期(80件)とほぼ同じペースであり、攻撃が一向に収まる気配がないことを示しています。
特に2025年の特徴は、攻撃の影響範囲の拡大です。アサヒグループの事例では、攻撃者の最終侵入地点が「データセンター」でした(※4)。2023年以降、日本国内ではデータセンターへの侵入によるランサムウェア被害が続発しており、一企業の被害が取引先や消費者にまで波及する事態が常態化していることは知っておくべきです。
また、サプライチェーン攻撃も深刻化しています。保険ショップ大手「保険見直し本舗」では2025年2月にランサムウェア攻撃を受け、最大約510万件の個人情報が漏えいした可能性が4月に公表されました(※5)。委託先のAI-OCRサービスを通じて、みずほ証券や丸三証券、第一フロンティア生命保険など多数の金融機関の顧客情報が漏えいする事態となりました。一つの脆弱性が、業界全体に連鎖的な被害をもたらした事例と言えます。
(※3)https://www.trendmicro.com/ja_jp/jp-security/25/l/securitytrend-20251211-01.html
(※4)https://www.trendmicro.com/ja_jp/jp-security/25/l/expertview-20251218-01.html
(※5)https://mhompo.co.jp/news/20250430/pdf/20250430.pdf
なぜ、「対策していた企業」が被害にあってしまうのか?
冒頭に取り上げました、アサヒグループの事例で、勝木社長は11月の記者会見で「防げた攻撃だった」と述べています。同社はVPN機器の多要素認証やセキュリティ監視を実施していましたが、それでも攻撃者の侵入を許しました。
最大の問題は、攻撃者が侵入を検知されないまま長期間活動し、システム構成を把握した上で最も効果的なタイミングで攻撃を実行したことです。アスクルの報告書によれば、攻撃者は侵入後、システム構成を把握し、バックアップサーバーを特定し、一斉に暗号化を実行しました。つまり、「侵入を検知できなかった期間」が致命的だったのです。
2025年のランサムウェア攻撃の主な侵入経路は、依然として「VPN機器からの侵入」が最多です。しかし、単にVPNを廃止すればいいという単純な話ではありません。実際、アサヒグループは今回の被害を受けてVPN廃止を決断しましたが、それは「ゼロトラスト」という新たなセキュリティモデルへの移行を意味します。つまり、「どこかを守れば安全」という発想自体が通用しなくなっているのです。
「設定ミス」と「脆弱性の放置」が最大のリスク
2025年の事例を分析すると、多くの被害が「設定ミス」と「脆弱性の放置」に起因しています。IPA(情報処理推進機構)が発表した「情報セキュリティ10大脅威 2025」(※6)でも、ランサムウェアやサプライチェーン攻撃に加え、「システムの脆弱性を突いた攻撃」が3位、「内部不正による情報漏えい等」が4位にランクインしています。
このように、脆弱性の発見と修正のいたちごっこは終わりがありませんが、重要なのは「最新のパッチを適用していれば安全」という考え方が通用しないということです。パッチが公開される前のゼロデイ攻撃、パッチ公開後に急増する攻撃、そしてパッチを適用できない古いシステムを狙った攻撃など、攻撃者は常に防御の隙間を探していると考えて行動するべきです。
(※6)https://www.ipa.go.jp/security/10threats/10threats2025.html
エンジニアや管理者、責任者に今求められるのは「セキュリティの体系的な理解」
ここまで読んでいただきありがとうございます。もしかすると今、「これだけ複雑で高度な攻撃に、どうやって対応すればいいのか」と感じているかもしれません。
この疑問への答えとしては、「断片的な対策ではなく、体系的なセキュリティ知識を身につけること」となります。なぜVPNが狙われるのか。なぜバックアップがあっても復旧に数カ月かかるのか。なぜ多要素認証を突破されるのか。これらの「なぜ」を理解するには、原理原則であるHTTPの仕組み、認証・認可の原理、セッション管理、アクセス制御、暗号化、そしてシステムアーキテクチャ全体の理解が必要です。
SQLインジェクション、XSS、CSRFといった古典的な攻撃も、今なお現役です。なぜなら、これらは「Webアプリケーションの根本的な構造に起因する脆弱性」だからです。新しいフレームワークやツールを使っていても、原理を理解していなければ同じ過ちを繰り返します。
体系的にWebセキュリティを学ぶ方法としては、信頼できる指針が必要で、徳丸本と呼ばれている「体系的に学ぶ 安全なWebアプリケーションの作り方 第2版」は、Webセキュリティの原理原則を学ぶうえで定評があり、この書籍を種教材とした認定試験も実施されています。
セキュリティは正確に体系立てて理解をしていかないと、システムや会社にとって致命的な問題に繋がります。これらの知識を身に着けたエンジニアとして活躍されていく方にはおすすめです。
そして、学んだあとは理解を確認するために徳丸試験でチェックしてみると理解度が可視化されるため、ぜひチャレンジしてみてください。
【徳丸本】
体系的に学ぶ 安全なWebアプリケーションの作り方 第2版 脆弱性が生まれる原理と対策の実践
徳丸浩のWebセキュリティ教室
【徳丸試験】
ウェブ・セキュリティ基礎試験(徳丸基礎試験)
ウェブ・セキュリティ実務知識試験(徳丸実務試験)
