ランサム被害226件、フィッシングは過去最多——2025年サイバー脅威の実態
警察庁は2026年3月12日、2025年のサイバー空間を巡る脅威情勢を公表しました。身代金を要求するランサムウェアの被害件数は過去2番目に多い水準となり、個人情報を狙うフィッシングの報告件数は過去最多を記録するなど、サイバー攻撃の脅威が依然として高まっている実態が明らかになりました。本記事では、公表されたデータを基に、2025年の主なサイバー脅威の動向と、企業が直面するリスクについて解説します。
ランサムウェア被害226件、大企業も標的に
警察庁の発表によると、2025年に確認されたランサムウェアによる被害は226件でした。これは前年(2024年)と比べて4件増加し、過去2番目に多い件数となっています。被害者の約6割は中小企業でしたが、アサヒグループホールディングスやアスクルといった大企業が標的となり、深刻な影響が出た事案も発生しました。記事によると、被害が長期化し、復旧費用がより高額になる傾向も見られたと報じられています。
「Qilin」が最多使用、国際共同捜査の効果も
使用されたランサムウェアの種類が判明した149件のうち、最も多かったのは「Qilin(キリン)」で32件でした。このウイルスは、アサヒグループホールディングスへの攻撃などで使用されました。一方、前年に最も多く確認されていた「LockBit(ロックビット)」は19件、警察庁が復元ツールを開発した「8Base(エイトベース)」は1件と、国際共同捜査などの効果により、これらのウイルスによる被害は大幅に減少したと報じられています。
フィッシング報告が過去最多、ボイスフィッシングに注意
金融機関などで構成される「フィッシング対策協議会」に報告された被害件数は、2,454,297件と前年の約1.4倍に増加し、過去最多を記録しました。特に、取引金融機関を装って電話で口座情報を聞き出す「ボイスフィッシング」による高額被害が、2月から4月と11月に集中して発生しました。また、証券会社を装う被害も続き、口座乗っ取りなどによる不正売買の被害額は約7,408億円に上ったと報じられています。
企業が今取り組むべきセキュリティ対策
今回の報告から、ランサムウェアやフィッシングといった従来型の攻撃手法が依然として大きな脅威であり、その手口は巧妙化・多様化していることがわかります。一般的に、ランサムウェア対策としては、重要なデータの定期的なバックアップ(オフライン・クラウド含む)と、システムの脆弱性を修正するパッチの迅速な適用が基本とされています。フィッシング対策では、不審なメールや電話への対応ルールを従業員に周知徹底し、多要素認証の導入など、認証強化を図ることが有効です。警察庁や各業界団体が提供する最新の注意喚起情報を定期的に確認し、自社の防御策を見直すことが求められます。
短期的影響:短期的には、ランサムウェア「Qilin」の使用増加や、ボイスフィッシングによる高額被害の集中発生など、特定の攻撃手法の流行が顕著です。企業はこれらの最新の手口に関する情報を収集し、従業員への注意喚起を強化する必要があります。また、国際共同捜査により特定のウイルス(LockBit等)の被害が減少した事例は、情報共有と協調対応の重要性を示しています。
中長期的影響:中長期的に見ると、ランサムウェア被害の長期化・高額化傾向や、フィッシング報告件数の右肩上がりの増加は、サイバー攻撃がビジネス継続に与える影響がより深刻化していることを示唆します。攻撃者は中小企業だけでなく大企業も標的としており、あらゆる規模の組織が対策を講じる必要があります。セキュリティ投資は単なるコストではなく、事業リスクを軽減する必須の経営課題として位置づけられるでしょう。
読者への示唆:読者である企業の危機管理・セキュリティ担当者は、まず自社の現状を把握することが第一歩です。具体的な数値目標を設けたバックアップ計画の策定、従業員向けの定期的なサイバーセキュリティ教育の実施、インシデント発生時の対応手順(IRP)の整備と訓練を急ぐべきです。また、警察庁やIPA(情報処理推進機構)など公的機関が提供する無料のガイドラインやツールを積極的に活用し、自社の防御体制を継続的に見直していく姿勢が重要です。
