紳士服大手のはるやまホールディングスが10月24日に発表した、延べ1万8千人分の個人情報漏えいの可能性は、4ヶ月前に始まった事件の終焉ではなかった。むしろそれは、顧客にとっての長期にわたるリスクの始まりであり、日本の小売業界にとっての重要なケーススタディの幕開けであった。本レポートは、単なるプレスリリースの内容を超え、このサイバー攻撃の構造を徹底的に解剖するものである。 本分析を通じて、はるやまのインシデントが現代の小売業を標的とするサイバー脅威の典型例であることを明らかにする。インシデント対応のタイムライン、しばしば過小評価される「非金融情報」漏えいの真の危険性、そして業界全体に蔓延するシステム的な脆弱性について、本件は重要な示唆を与えている。 本稿では、まずインシデントの時系列を詳細に分析し、ランサムウェア攻撃のベクトルを解明する。次いで、ビジネスへの影響を定量的に評価し、顧客に潜む隠れたリスクを暴き出す。さらに、同業他社の事例との比較分析を通じて、将来のレジリエンス（回復力）に向けた青写真を描き出すことを目的とする。

2025年9月29日、日本の巨大企業アサヒグループホールディングス（以下、アサヒ）の最先端工場は沈黙し、物流拠点ではペンと紙による frantic な作業への切り替えが始まった。この出来事は単なる技術的な不具合ではなかった。それは、企業のデジタル神経中枢が切断され、巨大組織が麻痺した瞬間であった 。このインシデントは、デジタル効率化の絶え間ない追求が、いかにして新たな、そして深刻なシステム的脆弱性を生み出したかを浮き彫りにした。 本稿では、アサヒへの一回のサイバー攻撃から始まった連鎖的な機能不全を徹底的に分析する。この事例は、グローバル企業にとって極めて重要なケーススタディとなる。それは、高度に接続された現代社会において、企業の最大の戦略的資産である統合デジタルインフラが、同時に最も壊滅的な単一障害点（Single Point of Failure）にもなり得ることを明らかにしたからだ。本稿では、即座に発生した事業運営の崩壊、競合他社やサプライチェーン全体に及んだ「伝染」、そしてこの危機が21世紀の事業継続性にもたらす重大な教訓について深く掘り下

2025年10月19日から20日にかけて発生した一連の出来事は、日本のEコマースおよび物流業界に深刻な警鐘を鳴らした。大手Eコマース・物流プロバイダーであるアスクル株式会社が高度なランサムウェア攻撃を受け、基幹システムが完全に麻痺。その直接的な影響として、「無印良品」を展開する株式会社良品計画のオンライン事業が全面的な機能停止に追い込まれた。この事件は、現代のデジタルエコシステムがいかに相互接続され、一つの障害が壊滅的な速度と規模で波及しうるかを浮き彫りにした。 本レポートは、アスクルと良品計画の事例を、単なる二企業の危機管理案件としてではなく、現代のデジタルサプライチェーンに内在する潜在的なシステミックリスクを露呈した重要なケーススタディとして分析する。効率性とジャストインタイムの物流を追求するためのシステム統合が、皮肉にもリスクの伝播経路となり、一社のサイバーセキュリティ上の失敗が、複数の企業を巻き込む商業的な大惨事を引き起こす構造を明らかにする。 本レポートの主要な結論として、特定ベンダーへの過度な依存がもたらす「集中リスク」の危険性、事業

本レポートは、活発なランサムウェア・アズ・ア・サービス（RaaS）オペレーションであるサイバー犯罪組織「Qilin」に関する包括的な分析を提供し、2025年9月に発生したアサヒグループホールディングスに対するサイバー攻撃への関与主張について調査するものです。「Agenda」として知られたランサムウェアから派生したQilinは、現在の脅威ランドスケープにおいて最も多産で洗練された脅威の一つへと急速に進化し、その高度な技術力と革新的でビジネスライクな恐喝手法で際立っています。 主要な調査結果として、Qilinは金銭的動機を持つロシア語圏の電子犯罪グループであり、収益性の高いRaaSプラットフォームを運営し、アフィリエイトを募集して世界中で攻撃を実行する一方、独立国家共同体（CIS）内での活動は禁止していることが示されています。このグループは「二重恐喝」モデルを採用しており、まず機密性の高い企業データを窃取した上で、被害者のネットワークを暗号化します。この戦略は、圧力を最大化し、数万ドルから数百万ドルに及ぶ身代金の支払いを確保するために設計されています

現代社会において、サイバー攻撃は事業継続を脅かす最も深刻なリスクの一つとなっています。攻撃手口は年々巧妙化し、従来の防御策だけでは対応が困難になりつつあります。本レポートは、現代のサイバー攻撃の動向を分析し、現行の防御アプローチの限界を明らかにすると共に、次世代認証技術「FIDO2/パスキー」を中核とした、より強固な防御戦略を提言するものです。

2025年9月29日、世界的な飲料・食品大手であるアサヒグループホールディングス（以下、アサヒ）は、深刻なサイバー攻撃の被害に遭いました。この攻撃により、同社の日本国内市場における中核的な事業機能が完全に停止するという事態に陥りました 。攻撃は、同社の主力製品であるビールや飲料を含む製品の受注処理、出荷業務、さらには顧客対応のコールセンター業務を麻痺させ、生産と市場を結ぶサプライチェーンを事実上寸断しました。報道によれば、生産ライン自体も停止したとされています。 このインシデントにおいて特筆すべきは、同社のグローバルなネットワークアーキテクチャが功を奏し、海外事業への影響は免れた点です。しかしながら、国内システムの復旧時期が「未定」であることは、攻撃が極めて深刻かつ根深いレベルでシステムに侵食したことを示唆しています。 本レポートは、このサイバー攻撃が事業継続性、財務安定性、そしてサプライチェーンの健全性に与えた影響を多角的に解剖します。さらに、他の大手企業が経験したサイバー攻撃事例との比較分析を通じて、グローバル企業が直面するサイバーレジリエン

現代のデジタル社会において、サイバー攻撃はもはや単なる情報技術（IT）部門が対処すべき技術的問題ではなく、事業の継続性、財務状況、ブランド価値、ひいては株価にまで直接的な影響を及ぼす、経営レベルで取り組むべき最重要リスクの一つとして位置づけられている 1。近年のインシデントでは、サービス停止に伴う機会損失やシステムの復旧費用が数十億円規模に達する事例も報告されており、その脅威は深刻さを増している。 この脅威の増大を加速させているのが、サイバー犯罪エコシステムの「ビジネス化」と「サービス化」である。特に「Ransomware as a Service（RaaS）」と呼ばれるビジネスモデルの台頭は、サイバー攻撃の様相を根底から変えた。このモデルでは、ランサムウェアの開発者が攻撃ツールをサービスとして提供し、攻撃の実行者はそれを購入またはサブスクリプション形式で利用する。これにより、かつては高度な技術力を要した大規模な攻撃が、専門知識を持たない攻撃者でも比較的容易に実行可能となった。

2025年9月20日に確認された、工作機械大手オークマ株式会社のドイツ連結子会社Okuma Europe GmbH（OEG）に対するランサムウェア攻撃は、単発のセキュリティ侵害事案ではない。本件は、価値の高い産業体を標的とする、より広範かつ高度なサイバー攻撃の潮流を象徴するものである。本レポートは、このインシデントを多角的に分析し、世界の製造業が直面するサイバーリスクの本質を明らかにするとともに、経営層が取るべき戦略的対応を提示する。 本分析の主要な結論として、今回の攻撃は単なるデータの暗号化にとどまらず、機密情報を窃取し、それを公開すると脅迫する「二重恐喝」の手法が用いられた可能性が極めて高い。これは、グローバルに連携されたネットワークに内在する脆弱性を突いたものと推察される。オークマのような製造業者にとって、サイバーセキュリティはもはやIT部門のコスト課題ではなく、知的財産を保護し、事業継続性を確保し、市場の信頼を維持するための根幹的な事業機能である。 本レポートは、このインシデントから得られる教訓に基づき、ガバナンス、技術的防御、サプラ

2025年9月に発生した一連のサプライチェーン攻撃、特に自己増殖型ワーム「Shai-Hulud」は、npmエコシステムの認証および公開ワークフローにおける体系的な弱点を露呈させ、JavaScriptサプライチェーン全体の完全性を脅かす事態となりました。これらの攻撃は、GitHubによるnpmエコシステムのセキュリティ基盤を根本的に見直す直接的なきっかけとなりました。 これに対しGitHubは、アカウント乗っ取り、トークン窃取、悪意のあるパッケージの注入に対してnpmレジストリを事前対策的に強化するため、3つの柱からなる戦略を発表しました。この戦略は、フィッシング耐性のある二要素認証（2FA）の義務化、有効期間の長いトークンを廃止し短命な粒度の細かいトークンへの移行、そしてTrusted Publishingを介したトークンレスCI/CD認証の推進から構成されています。 この対応は、発見後に悪意のあるパッケージを削除するといった事後対応的なインシデント対応から、すべての発行者に対するベースラインセキュリティを引き上げる事前対策的な多層防御モデルへの

パスキーは、認証セキュリティにおける画期的な進歩を象徴するものであり、数十年にわたる課題であったクレデンシャルフィッシングの問題を、堅牢な暗号設計によって効果的に解決する。しかし、この進歩はアイデンティティに対する脅威を根絶するものではなく、攻撃対象領域（アタックサーフェス）を認証イベントそのものから、認証後のセッションおよびユーザーのエンドポイントデバイスへと根本的にシフトさせるものである。 この新しい脅威ランドスケープにおいて、主要な攻撃ベクトルはパスキーの秘密鍵の窃取ではなく、デバイス自体の侵害である。特に情報窃取型マルウェア（インフォスティーラー）を介した攻撃が深刻化しており、攻撃者はユーザーが正規の認証を完了した後に発行されるセッションクッキーやトークンを窃取する。これにより、パスキー認証プロセスを完全に迂回し、正規ユーザーになりすましてアカウントを乗っ取ることが可能となる。

本レポートは、小売業界におけるサイバー脅威の状況が、純粋な技術的エクスプロイトから、「人的ファイアウォール」、特にITサービスデスクを標的とした高度なソーシャルエンジニアリングへと戦略的に移行している現状を分析する。英国の大手小売業者に対する最近の攻撃が示すように、その経済的および運営上の影響は甚大である。この分析から、サイバー防衛はもはや独立したIT部門の機能ではなく、中核的なビジネスリスクであり、GoogleやMicrosoftのようなテクノロジー大手、さらにはRH-ISAC（小売・ホスピタリティ情報共有分析センター）のような業界団体が積極的に支援する、エコシステム全体での協調的アプローチが必要であることが明らかになる。結論として、レジリエントな小売企業を構築するための主要な戦略的必須事項として、人的要素の再強化、テクノロジー主導の多層防御の実装、そして堅牢なガバナンスフレームワークの採用を提示する。

2025年9月に発生したジャガー・ランドローバー（JLR）社へのサイバー攻撃は、単なる技術的なセキュリティ侵害事件にとどまらず、グローバルな製造業の根幹を揺るがす戦略的ビジネス危機であった。この攻撃により、英国を代表する自動車メーカーは1ヶ月以上にわたり全世界での生産停止を余儀なくされ、数十億ポンド規模の経済的損失とサプライチェーン全体にわたる連鎖的な混乱を引き起こした。本レポートは、この事件を多角的に分析し、その教訓を導き出すものである。 攻撃の実行犯として名乗りを上げたのは、「Scattered Lapsus$ Hunters」と称するハッカー集団である。彼らは従来のサイバー犯罪組織とは一線を画し、高度な技術的侵入よりも、従業員を標的としたソーシャルエンジニアリングによる正規アカウントの乗っ取り（アイデンティティ侵害）を主たる戦術とする。さらに、窃取した情報を公開し、被害企業を公然と嘲笑することで、金銭的利益だけでなく社会的な混乱と注目を集めることを目的とする、新世代の脅威アクターとしての特徴を持つ。 JLR社の事例は、現代の自動車産業が

本報告書は、2025年9月に米国シークレットサービスがニューヨーク都市圏で実施した、大規模かつ兵器化されたSIMファームの摘発に関する包括的な分析を提供する。この事件は、米国の国家通信インフラが抱える重大な脆弱性を露呈させた決定的な出来事であったと結論付ける。この脆弱性は、国境を越えた犯罪組織の能力と国家主体の戦略的目標を融合させた、新たな種類のハイブリッド脅威に対してのものである。 押収されたハードウェアの規模（300台以上のサーバー、10万枚以上のSIMカード）は前例のないものであり、その攻撃能力はセルラーネットワークの機能不全、大規模な匿名通信、政府高官への直接的脅威にまで及んだ。進行中の科学捜査は、国家と犯罪組織の連携を示唆しており、これは米国の安全保障パラダイムに深刻な挑戦を突きつけている。

本報告書は、2023年後半から2025年初頭にかけて欧州が経験した、サイバー攻撃の量、高度化、そしてシステミックな影響における著しいエスカレーションに関する詳細な調査結果を提示する。この期間の脅威ランドスケープは、単なる機会主義的な攻撃から、地政学的紛争とサイバー犯罪の産業化に強く影響された、重要インフラとそのサプライチェーンを標的とする戦略的キャンペーンへの明確な移行によって特徴づけられる。 欧州連合サイバーセキュリティ庁（ENISA）が特定した主要な脅威は、可用性に対する脅威（サービス妨害攻撃）、ランサムウェア、データに対する脅威、そして巧妙化するソーシャルエンジニアリングであった 1。これらの脅威は、Mandiant社のインシデント対応データが示す攻撃手法のトレンドと密接に連動している。特に、VPNやファイアウォールといったネットワークエッジデバイスの脆弱性を悪用する「エクスプロイト」が、最も一般的な初期侵入経路として確立された 3。これは、防御の焦点を人間中心の対策から、インフラ自体の技術的堅牢性へと移行させる必要性を示唆している。

2025年9月19日から22日にかけて、欧州の航空インフラは前例のないサイバー攻撃によって麻痺状態に陥った。この事件は、単一の空港を標的としたものではなく、航空宇宙・防衛大手RTX傘下のコリンズ・エアロスペース社が提供する基幹システムを狙った、壊滅的なサプライチェーン攻撃であった。攻撃者は、多数の航空会社が共用する旅客処理プラットフォーム「ARINC MUSE」をランサムウェアに感染させ、英国のロンドン・ヒースロー空港、ベルギーのブリュッセル空港、ドイツのベルリン・ブランデンブルク空港など、欧州の主要ハブ空港の機能を同時に停止させた。

最新のデータは、この脅威が単なる憶測ではなく、定量的に証明された現実であることを示している。警察庁が発表した2025年上半期の統計によると、ランサムウェア被害の報告件数は116件に達し、過去最多であった2022年下半期と並ぶ極めて深刻な水準で推移している。この数字は、攻撃活動が依然として活発であり、沈静化の兆しが見えないことを物語っている。

本報告書は、日本政府が年内に策定を目指す新たな国家サイバーセキュリティ戦略について、その戦略的背景、法的・組織的枠組み、政策の核心、そしてこの歴史的転換が内包する重大な課題を包括的に分析するものである。この新戦略は、単なる政策の更新ではなく、戦後の日本の安全保障政策における最も重要な変革の一つと位置づけられる。深刻化する脅威環境、特に国家を背景に持つ攻撃者による重要インフラやサプライチェーンを標的とした破壊的なサイバー攻撃の急増を受け、日本は従来の受動的な「防御」から、脅威を未然に無害化する「能動的サイバー防御」へと、その基本ドクトリンを根本的に転換する。

本レポートは、スターバックス コーヒー ジャパンで発生した従業員情報の漏洩事件について、その根本原因であるSaaSベンダー、Blue Yonder社へのランサムウェア攻撃から、インシデント対応の遅延、そしてブランドへの影響に至るまでを多角的に分析するものである。本件は、重要な業務委託先へのサイバー攻撃が顧客企業に連鎖する典型的なサプライチェーン攻撃であり、現代企業が直面するベンダーリスク管理の課題を浮き彫りにした。 主要な分析結果として、攻撃者によるBlue Yonder社への侵入からスターバックスによる公式発表まで9ヶ月以上という致命的な遅延があったこと、その背景にベンダー側での杜撰な調査と不透明なコミュニケーションがあったことが明らかになった。結果として、スターバックスの現役および元従業員約31,500名分の個人情報が漏洩。漏洩した情報は従業員IDと氏名が主であったが、これらは標的型攻撃の起点となりうる戦略的価値を持つ。

会計検査院が最近公表した政府機関の情報システムにおけるセキュリティ対策の不備に関する報告は、単なる個別の技術的見落としとしてではなく、日本の公共セクターにおけるITガバナンス、調達慣行、そしてリスク管理文化に根差す、慢性的かつ構造的な欠陥が顕在化したものとして捉えるべきである。本分析は、会計検査院の指摘事項を詳細に検討し、それらが内閣サイバーセキュリティセンター（NISC）や情報処理推進機構（IPA）によって文書化されている外部のサイバー脅威の高まりと直接的に相関していることを明らかにする。

第1章 侵害の解剖学：近畿地方整備局インシデントとその連鎖的影響 本章では、国土交通省（MLIT）と内閣府を結びつけた重大なインシデントを詳細かつ証拠に基づき再構築し、政府機関の相互接続性に内在するリスクを分析するための主要なケーススタディとして確立する。 1.1 初期侵入：国土交通省近畿地方整備局への不正アクセス 本件インシデントの起点となったのは、国土交通省近畿地方整備局のネットワークインフラに対する外部からの不正アクセスである。同局は令和7年9月16日、公式にネットワークへの不正アクセスがあったことを発表した。この公式発表が、本分析の事実上の基盤となる。 攻撃の性質は「不正アクセス」と明記されているが、初期のプレスリリースでは、具体的な侵入経路や悪用された脆弱性（例：VPN機器の脆弱性、フィッシング、ソフトウェアの欠陥など）については詳述されていない。

インシデント概要： 2025年9月3日、日本の大手化学系商社メーカーであるCBC株式会社は、大規模なサイバー攻撃を受け、同社の日本拠点における全社規模のシステム障害に発展しました。同社は、この障害が外部の第三者によるサーバー侵害に起因することを確認し、被害拡大を阻止するためにネットワークの遮断という緊急措置を講じました。 対象企業の明確化： 本レポートは、非上場の化学専門商社であるCBC株式会社（cbc.co.jp）にのみ焦点を当てています。上場企業である中部日本放送株式会社（hicbc.com、証券コード9402）とは、名称が類似しているものの全く別の組織です。したがって、中部日本放送に関連する情報（株価、同社独自のセキュリティインシデント等）は本分析の対象外としています。

Part I 序論：進化するデジタルアイデンティティへの脅威 現代のデジタル環境において、パスワードセキュリティはもはや単純な推測ゲームを防ぐことだけを目的としていません。それは、認証情報の窃取と不正利用を産業化したエコシステムに対する防御策そのものです。本レポートで詳述する13の攻撃手口は、それぞれが独立した事象ではなく、より大きな脅威ランドスケープの中で相互に連携する構成要素として理解されなければなりません。ある手法によって悪用された脆弱性が、しばしば別の攻撃の弾薬となるのです。この第一部では、IT管理者が直面する脅威の全体像を解剖し、それぞれの手口のメカニズム、実世界の事例、そして検知のための具体的な指標を明らかにします。

2025年9月10日に公表された日本毛織株式会社（以下、ニッケ）へのサイバー攻撃は、単なるデータ窃盗事件ではなく、高度な脅威アクター「World Leaks」によって実行された、計算された脅迫（エクストーション）キャンペーンである。本レポートは、このインシデントの全貌を多角的に分析し、その手口、影響、そして日本企業が直面するサイバーリスクの現状について、経営層およびリスク管理担当者向けの戦略的洞察を提供するものである。 本インシデントでは、ニッケの現役従業員、退職者、および一部の採用応募者を含む数千件規模の個人情報が漏洩した可能性が指摘されている 1。漏洩した情報には、氏名や住所といった基本的な個人識別情報（PII）に留まらず、給与振込等に利用される銀行口座情報、人事情報、さらには法律上特別な配慮が求められる「要配慮個人情報」まで含まれており、極めて機微なデータが危険に晒された 2。また、限定的ではあるが、グループ会社の顧客情報も被害に遭っている。

本章では、日本のサイバー防災アプローチを支える戦略的、法的、そして組織的な背景を確立する。中核となる概念を定義し、主要な統治機関を紹介することで、第2部で詳述する各省庁の具体的な活動を理解するための基礎を提供する。 1.1 「サイバー防災」の定義：包括的かつ進化する概念 日本政府が掲げる「サイバー防災」の概念は、従来のサイバー攻撃対策という枠組みを大きく超える、極めて広範なものである。このアプローチは、外部からの悪意ある攻撃のみならず、機器の故障、ソフトウェアの脆弱性、サプライチェーンにおける情報管理の不備、さらには地震やパンデミックといった物理的な災害がデジタルインフラに及ぼす波及効果までをリスクとして包含している 。この包括的な視点は、政府の戦略を理解する上で根幹をなす要素である。