前回は「ゼロトラスト」や「サプライチェーン・セキュリティ」といったセキュリティの「概念（バズワード）」について解説しました。

しかし、これらの対策がなぜこれほどまでに叫ばれているのでしょうか。それは、従来の対策だけでは防ぎきれない深刻なセキュリティ事故が、業種や企業規模を問わず、日本国内で連日のように発生しているからです。

本記事では、最近（2024年～2025年）実際に公表された重大なセキュリティ事故をピックアップし、その手口と影響を解説します。

1. 【事業停止型】ランサムウェア攻撃：もはや「情報漏洩」だけの問題ではない

最も深刻な被害をもたらしているのが「ランサムウェア（身代金要求型ウイルス）」です。近年の手口は、データを暗号化するだけでなく、データを盗み出した上で「身代金を払わなければ公開する」と脅迫する「二重脅迫（ダブルエクストーション）」が主流です。

さらに、その影響は基幹システムの停止、すなわち「事業そのものの停止」に直結しています。

🔹 事例1: アスクル株式会社 （2025年10月）

• 概要: 法人向け通販「ASKUL」や個人向け「LOHACO」の物流システムがランサムウェアに感染。
• 影響: 受注および出荷業務が全面的に停止しました。顧客データ流出の有無についても調査が続く事態となりました。大動脈である物流を直接攻撃され、事業継続に甚大な影響が出た典型例です。

🔹 事例2: アサヒグループホールディングス株式会社 （2025年9月）

• 概要: グループ会社（アサヒビール、アサヒ飲料など）のサーバーがランサムウェア攻撃を受けました。「Qilin（キリン）」と名乗る攻撃グループが犯行声明を出しています。
• 影響: 受注・出荷システムが停止し、全国の物流網に影響が及びました。復旧までの間、商品の安定供給に支障が出る事態となりました。

🔹 事例3: 株式会社KADOKAWA （2024年6月）

• 概要: ニコニコ動画（niconico）を含む複数のサービス・システムが、大規模なランサムウェア攻撃を受けました。
• 影響: サービスが約1ヶ月半にわたり停止。データ復旧やシステム再構築のために多大なコストと時間を要し、数十億円規模の特別損失を計上する事態に発展しました。

📖 ここから学ぶ教訓: これらの事例は、「侵入されること」を完全に防ぐことの難しさを示しています。侵入された後に、いかに早く検知し（XDRの役割）、被害を最小限に食い止めるか（ゼロトラストの考え方）が重要になっています。

2. 【連鎖型】サプライチェーン攻撃：自社が安全でも「取引先」が狙われる

自社のセキュリティ対策を完璧にしていても、セキュリティ対策が手薄な取引先や業務委託先、利用しているクラウドサービスが攻撃の足がかり（踏み台）にされる攻撃です。

🔹 事例1: 無印良品（株式会社良品計画）（2025年10月）

• 概要: 無印良品ネットストアが、配送業務の委託先であるアスクル社のシステム障害（前述のランサムウェア被害）により、サービスの停止を余儀なくされました。
• 影響: 良品計画自身が直接攻撃を受けたわけではないにもかかわらず、サプライチェーン（供給網）の一部が機能不全に陥ったことで、自社のサービス提供が不可能になりました。これは「サプライチェーン攻撃」の典型的な被害例です。

🔹 事例2: 株式会社イセトー （2024年5月）

• 概要: 帳票印刷やデータ処理を請け負う同社がランサムウェア攻撃を受けました。
• 影響: 問題は、同社が業務委託元である多数の企業や自治体（60団体以上）から預かっていた重要情報（顧客情報など約150万件）まで流出した可能性がある点です。委託元は自社が攻撃されずとも、情報漏洩のリスクに晒されることになりました。

📖 ここから学ぶ教訓: もはや「自社だけを守る」セキュリティ対策では不十分です。「自社は大丈夫」ではなく、「取引先も含めた全体のリスク管理（サプライチェーン・セキュリティ）」が不可欠になっています。

3. 【隙・油断型】不正アクセスと内部不正

高度な攻撃だけでなく、基本的な設定ミスや管理体制の不備、内部関係者による不正が原因となる事故も後を絶ちません。

🔹 事例1: 株式会社ハンズ （2025年1月）

• 概要: 旧・東急ハンズ。自社システムが外部から不正アクセスを受けました。
• 影響: 「ハンズクラブアプリ」利用者の顧客情報（氏名、住所、電話番号、ログインパスワードなど）12万件以上が漏洩した可能性が発表されました。

🔹 事例2: LINEヤフー株式会社 （2024年）

• 概要: 従業員が利用するシステムを経由し、親会社である韓国ネイバー社のシステムへ不正アクセスが発生。
• 影響: 多数のユーザー・取引先情報が漏洩した可能性があり、総務省から2度にわたる異例の行政指導を受けました。特に、親会社とネットワークが十分に分離されていなかった管理体制の不備が厳しく指摘されました。

🔹 事例3: 東急リバブル株式会社 （2025年公表）

• 概要: 元従業員が在職中に顧客情報を不正に持ち出し、転職先で利用していたことが発覚しました。
• 影響: 技術的な攻撃ではなく、「内部不正」による情報漏洩です。退職者管理やアクセス権限の管理の重要性を示しています。

📖 ここから学ぶ教訓: 「社内だから安全」「一度認証したらOK」という従来の考え方では、設定不備による侵入や、権限を持つ内部関係者（元従業員含む）の不正を防げません。常にアクセスを検証する「ゼロトラスト」の原則が、内部不正対策としても有効です。

まとめ

これらの事故例は、現代のセキュリティ脅威がいかに深刻で、身近なものであるかを示しています。
 

• 攻撃者は金銭目的で執拗に「事業の核（物流や基幹システム）」を狙います。
• 攻撃者は「最も防御の弱い場所（取引先や設定不備）」から侵入します。
• 脅威は「外部（攻撃者）」だけでなく「内部（従業員や退職者）」にも存在します。

 
これらの現実が、前回の記事で解説した「ゼロトラスト」や「サプライチェーン・セキュリティ」といった新しい防御の考え方が必要とされる背景となっています。