2265万人の情報が流出。2025年サイバー攻撃とデータ漏洩の総括

2,265万人もの顧客データが一度に奪われました。保険大手Aflacが2025年12月19日に明らかにしたこの数字は、今年一年のサイバー空間がいかに不安定であったかを象徴しています。トランプ政権下の地政学的変化を背景に、ランサムウェア攻撃や国家主導のハッキングは日常の一部となってしまいました。今年起きた主要な攻撃を振り返り、私たちが直面しているデジタルな脅威の正体を探ります。

2025年サイバー攻撃の標的：Salesforce連携と供給網の脆弱性

今年の攻撃で際立ったのは、企業の「中枢」ではなく「連携先」を狙う巧妙な手法です。顧客管理大手のSalesforce自体ではなく、GainsightやSalesloftといったサードパーティの連携ツールが突破口となりました。この余波は凄まじく、Google Workspaceのデータが一部露出したほか、CloudflareやAdidas、さらには信用調査機関のTransUnionから440万人分の個人情報が流出する事態を招きました。

犯行グループは「Scattered Lapsus$ Hunters」として知られ、盗み出したデータを公開して身代金を要求するデジタル恐喝を繰り返しています。一方で、ランサムウェア集団「Clop」もOracleの社内管理プラットフォームの脆弱性を突き、医療機関やワシントン・ポストなどのメディアから重役の個人情報を窃取。数百万ドルの身代金を要求する「量産型恐喝」を再び実行しました。

大学や公的機関も標的に：深刻化するデータ漏洩の連鎖

学術機関への攻撃も相次ぎました。ペンシルベニア大学やハーバード大学では、フィッシング攻撃により卒業生やドナーの個人情報、さらには数十年前の記録までが流出しました。特にフェニックス大学では、約350万人に影響が及ぶ可能性があると報じられています。これらは単なる金銭目的だけでなく、思想的な動機に基づいた攻撃も含まれており、脅威が多角化していることを示しています。

さらに衝撃的だったのは、Pornhubにおける2億件以上のユーザー記録の流出です。分析ツール「Mixpanel」を通じたこの事件では、OpenAIも一部のChatGPTユーザーデータが影響を受けたと発表しました。民間企業のみならず、アメリカ財務省や国家核安全保障局（NNSA）を狙った国家主導の攻撃も継続しており、デジタル社会の基盤そのものが常に監視されている状況にあります。