関連するソリューション
マネージドサービス(運用・保守)
セキュリティサービス
サイバー・セキュリティ・ソリューション部
テクニカルスペシャリスト 輿石 香豪 
あけましておめでとうございます。2026年もどうぞよろしくお願いします。
今年の初詣は、1月2日に車で出かけました。電車で行けるところにあるのですが、つい「車のほうがラクだよね」とハンドルを握ってしまいます。いつも止めているコインパーキングに止めようとしたところ、更地になっていて周りがロープで囲まれていました。何か建てる予定なのでしょうか?時の流れを感じました。
年末にガソリンスタンドに行き、ガソリンを入れたときに値段の表示にちょっと目が止まりました。レギュラーが130円台、ハイオクが140円台。ここ最近の体感からすると「ずいぶん安くなったな」と、少しだけ得したような気分になる価格帯でした。もちろん、それでも満タンにするとそれなりの金額になりますし、家計の中では小さくない出費です。ただ、給油しながら考えると、ガソリンって移動の自由と時間の交換そのものだな、と改めて思いました。燃料があるから行ける場所が増えて、時間の選択肢が増えて、気持ちの余裕が少し増える。逆に言えば、供給が詰まったり、何かが止まったりすると、その自由はあっさり揺らぐ。
2025年の「セキュリティニュース」を振り返ると、まさに同じことが起きていました。サイバー攻撃というと、難しい技術や専門用語の世界の話に聞こえがちですが、実際に起きたのは、もっと生活に近い出来事でした。
受注や出荷が止まる。問い合わせ窓口がつながらない。物流が滞る。委託先の障害がチェーンして、直接攻撃されていない会社にまで影響を与える。
ニュースの見出しでは「不正アクセス」「ランサムウェアによる攻撃」とまとめられていても、現場で起きていることは「当たり前に回っていたものが回らなくなる」ということでした。
2026年の最初のコラムでは、2025年に起きたセキュリティニュースの中から、個人的にインパクトが大きかった事件を取り上げて振り返ります。
ガソリン価格を見て「移動のコスト」を意識したように、セキュリティも「事業を継続させるためのコスト」として捉えていただきたいと考えています。
今年の初詣は、1月2日に車で出かけました。電車で行けるところにあるのですが、つい「車のほうがラクだよね」とハンドルを握ってしまいます。いつも止めているコインパーキングに止めようとしたところ、更地になっていて周りがロープで囲まれていました。何か建てる予定なのでしょうか?時の流れを感じました。
年末にガソリンスタンドに行き、ガソリンを入れたときに値段の表示にちょっと目が止まりました。レギュラーが130円台、ハイオクが140円台。ここ最近の体感からすると「ずいぶん安くなったな」と、少しだけ得したような気分になる価格帯でした。もちろん、それでも満タンにするとそれなりの金額になりますし、家計の中では小さくない出費です。ただ、給油しながら考えると、ガソリンって移動の自由と時間の交換そのものだな、と改めて思いました。燃料があるから行ける場所が増えて、時間の選択肢が増えて、気持ちの余裕が少し増える。逆に言えば、供給が詰まったり、何かが止まったりすると、その自由はあっさり揺らぐ。
2025年の「セキュリティニュース」を振り返ると、まさに同じことが起きていました。サイバー攻撃というと、難しい技術や専門用語の世界の話に聞こえがちですが、実際に起きたのは、もっと生活に近い出来事でした。
受注や出荷が止まる。問い合わせ窓口がつながらない。物流が滞る。委託先の障害がチェーンして、直接攻撃されていない会社にまで影響を与える。
ニュースの見出しでは「不正アクセス」「ランサムウェアによる攻撃」とまとめられていても、現場で起きていることは「当たり前に回っていたものが回らなくなる」ということでした。
2026年の最初のコラムでは、2025年に起きたセキュリティニュースの中から、個人的にインパクトが大きかった事件を取り上げて振り返ります。
ガソリン価格を見て「移動のコスト」を意識したように、セキュリティも「事業を継続させるためのコスト」として捉えていただきたいと考えています。
アサヒグループホールディングスへのランサムウェア攻撃によるサプライチェーンへの影響で「商品不足」まで波及
2025年9月、アサヒグループホールディングスはサイバー攻撃によりシステム障害が発生し、受注や出荷などに影響が出たと報じられました。インターネットニュースやテレビの報道等でご覧になった方は多いと思いますが、後日、「流出した疑いのある情報をインターネット上で確認」との発表があったとも報じられ、事業影響に加えて情報漏えいの側面でも注目されました。このニュースが示すのは、大企業だから止まらない、は幻想だということです。サイバー攻撃はIT部門の問題に見えがちですが、実際には生産・物流・受注・経理など、複数の業務が絡むと、復旧の難易度が跳ね上がります。
防御側の要点は、
- ネットワーク分離と復旧手順の具体化
- 侵害時に止める勇気を持つための訓練
- 公表や顧客連絡の方法、手段
アスクル(ASKUL/LOHACO)の被害で巨大EC・物流が止まり、無印良品にも連鎖したサプライチェーン型ランサム
2025年10月、アスクルは外部からの不正アクセスによるランサムウェア感染でシステム障害が発生し、のちに情報流出の確認を公表しています。さらに、調査結果の公表(第13報)では、個人情報など約74万件の流出が報じられました。
本件のインパクトも2つあります。第1に、EC/物流が止まり、受注・出荷・問い合わせ対応などが長期にわたったこと。第2に、流出した情報が「顧客だけ」でなく、問い合わせ情報や取引先情報など業務にまたがることです。アスクルは監視体制強化や関係当局への報告などを示しつつ、流出の可能性がある旨も記しています。
そして、物流委託の関係から無印良品のネットストア、LOFT等にも影響が波及しており、良品計画はネットストアでお買い物をされたお客様の情報が外部に流出した可能性を公表しています。
防御側の学びは「ランサム対策=端末対策」では終わらないこと。攻撃者は業務停止を狙い、倉庫管理や受注など「止めると痛い」所を狙われています。
重要なのは、
- バックアップのランサム耐性(不変、分離、復旧)
- 倉庫管理など要所の分離と監視
- サプライチェーン(委託物流)の事故時切替
証券口座の乗っ取りによる不正取引が社会問題へ発展
2025年の年明けから証券口座の乗っ取りによる不正売買が社会問題レベルで話題になりました。金融庁の注意喚起資料では、2025年1〜11月の合計で不正アクセス17,020件、不正取引9,510件、売却金額は約3,825億円、買付金額は約3,366億円とされています。
ここまで金額が跳ねると、単に「個人が騙される」ではなく、犯罪収益・相場操縦・反社資金の入口としての危険性も無視できません。
認証情報による典型的な不正アクセスは、
- SMSや広告、偽サイトでログイン情報を奪う(フィッシング)
- 追加認証(SMS/ワンタイム)による突破
- 不正売買で資金を動かす
そのため、対策として、
(1) パスキーなどフィッシング耐性の高い認証へ移行
(2) どうしてもパスワードを残すなら端末・振る舞い・地域・時間帯の条件付きアクセスとリスクベース認証
といった更なる認証強化策が打たれました。
利用者教育も重要ですが、教育だけに依存しない、フィッシング耐性の高い認証方式が本質的なメッセージでした。
Coupang大規模データ漏えいと“11.8億ドル補償”が政治案件化
2025年末、規模が大きかったものの一つが、韓国eコマース大手のCoupang(クーパン)のデータ漏えいと、その後の巨額補償です。ロイターの記事によると1.69兆ウォン(約11.8億ドル)規模の補償を報じ、3,370万アカウントを対象に5万ウォン相当の商品券を配る方針とのことです。しかし、「自社サービスでしか使えないクーポン」のため、反発を招いたと伝えています。一方で同じロイターによる記事では、当局説明として「流出データが容疑者の個人PCに保存され、拡散・販売は確認されていない」、「影響は一部(3,000ユーザー分)とされる」旨も出ており、事実関係(何件漏れたか)と補償対象(何人に配るか)がずれて見える点が議論を複雑化させました。
このニュースの本質は、侵害そのものに加えて、
(1) 企業が透明性の低い状態で補償を先行(危機をビジネスチャンスに変えようとする動き)し炎上
(2) 規制当局・議会が関与する社会インシデント化(国会公聴会の欠席)
(3) 商品券による補償の是非(ひとまず金券で丸く収めよう的な考え)
という危機対応の教科書的なものになったところです。
技術面では、データの持ち出し経路(端末への不正保存・オフライン持ち出し)、DLP、特権アクセス管理、監査ログの保全が焦点化し、「漏えい後の説明責任」まで含めた経営課題であることが再確認されました。
2026年のセキュリティ予想
2025年のニュースを見てきて、ここまでで感じた方も多いと思います。サイバー攻撃は「ITのトラブル」ではなく、受注・出荷・問い合わせ・委託先対応といった業務そのものを止め、しかも復旧後に「漏えいの可能性」「追加の通知」「二次被害対策」が積み重なる——つまり長期戦の経営課題になっている、ということです。
さらに厄介なのは、原因がいつも高度なゼロデイとは限らず、IDの窃取、例外運用、共有アカウント、委託の境界、復旧設計の甘さといった「古くからある弱点」が、形を変えて繰り返し突かれている点でした。
では、2026年はどうなるのか。2025年に見えた攻撃の手口を防御側の視点で整理します。攻撃者は最先端の技術を追うというのもありますが、成功率が高い方法を選ぶと想定し、だから守る側も「新しい製品を足す」より、まず崩れやすい前提を直す必要があります。具体的には、以下の3つを2026年に起きそうなトレンドとして予想します。
(1)ID・パスワードからパスキーへ
2025年は、フィッシングや情報窃取でログイン情報が盗まれる被害が目立ちました。2026年はそれを受けて、入力させる前提のパスワードから、盗まれにくい、フィッシング耐性のあるパスキー(端末の生体認証など)への移行が金融系以外に加速しそうです。特に管理者や重要な処理の「パスワード前提」からの移行が強まりそうです。
(2)VPN脱却
VPNは便利ですが、IDが盗まれると攻撃者が社内に侵入できてしまう構造になりやすく、緊急性の高い脆弱性もコンスタントに発見されています。また、アサヒグループホールディングスの会見の中でVPNは廃止したと話しています。
2026年は、必要なアプリに必要な人・端末だけ通す(ゼロトラスト/ZTNA的な発想)への切り替えが進みそうです。
(3)バックアップのランサム対策(「バックアップを取っている」から「守れて戻せる」へ)
ランサムは暗号化だけでなく、データ窃取と恐喝が当たり前になり、データが暗号化された後の復旧に焦点をあてることが重要と再認識されると思われます。
そのため、バックアップを「取っている」だけでは不十分で、消されない、暗号化されない(不変、分離)、いわゆるイミュータブルバックアップ、エアギャップバックアップという考え方、そして本当に戻せる「復旧訓練」が重視されます。バックアップ及び復旧が「最後の砦」です。
おわりに
ここまで、2025年に主に日本で話題となったセキュリティニュースを取り上げ、何が起きたのか、なぜ影響が広がったのかを整理してきました。個々の事案は業種も背景も異なりますが、共通して見えてきたのは、サイバーインシデントが「情報システム部門だけの課題」ではなく、受注・出荷・問い合わせ・委託先対応など、事業運営の中核に直接影響し得るものになっているという点です。復旧の過程も短期で終わるとは限らず、調査や通知、二次被害の抑止といった対応が長期にわたり続くケースも少なくありません。年初は、体制や運用を見直すのに適したタイミングです。新しい年度計画や予算の検討、委託先や取引先とのルール再確認、社内手続きの整理、必要な部署立ち上げなど、普段は後回しになりがちな項目を棚卸ししやすい時期でもあります。今回取り上げた事案が示すように、いざというときに被害を抑えられるかどうかは、事故が起きた瞬間の判断だけでなく、平時の準備の積み重ねが重要なもののひとつと言えます。
それでは、また次回お会いしましょう!
弊社サービス紹介
標的型攻撃メール訓練サービスセキュリティ診断サービス(脆弱性診断)
ID-Ashura
当サイトの内容、テキスト、画像等の転載・転記・使用する場合は問い合わせよりご連絡下さい。
エンジニアによるコラムやIDグループからのお知らせなどを
メルマガでお届けしています。
