アイデンティティ盗難リソースセンター(ITRC)によると、2025年上半期に公表されたデータ漏洩件数は前年比約11%増の1,732件となり、過去最多を更新するペースとなっています。
この非営利団体は、全米で公表された漏洩事例を追跡し、2025年上半期データ漏洩レポートをまとめました。
しかし、2024年上半期の1,567件から漏洩や侵害の件数は増加したものの、これらの事件で被害に遭った人数は大幅に減少しました。
ITRCによると、2025年上半期に送付された通知はわずか1億6,570万件で、2024年同時期の12%にとどまりました。これは主に、昨年Snowflakeの顧客を標的とした攻撃のような大規模漏洩がなかったためです。
漏洩に関する詳細はこちら:米国データ漏洩被害者数が前年比1170%増加
被害者数が7,200万人近くに上るPowerSchoolの漏洩事件は、2025年上半期で最も深刻なインシデントとなりました。この教育テクノロジー企業は5月、米国とカナダの教師や生徒のデータが公開されるのを防ぐため、恐喝者に身代金を支払ったことを認めました。
その後、マサチューセッツ州の19歳の大学生がこの犯罪を認めて有罪答弁しました。
予想通りかもしれませんが、今年上半期のデータ漏洩の主な原因はサイバー攻撃で、1,348件(全体の78%)、被害通知は1億1,400万件以上(全体の69%)に上りました。
サプライチェーン攻撃は79件の漏洩を引き起こし、690の組織と7,800万以上の二次被害者に影響を与えました。
興味深いことに、ITRCはデータ漏洩や情報流出につながった物理的な攻撃も34件記録しており、これは2024年通年よりも多い数字です。
ITRCのジェームズ・リー会長は、今回のレポートが昨年見られた傾向、特に脅威アクターによる過去の漏洩データの再利用が続いていることを示していると述べました。
「多くのデータがログイン情報やパスワードであるため、これは企業にとって深刻なリスクですが、個人も自身をなりすましや詐欺から守るための対策を講じる必要があります」と彼は付け加えました。
またリー氏は、組織が被害者への通知で十分な情報を提供していないという「憂慮すべき」傾向にも言及しました。
攻撃の根本原因についての情報が記載されていないデータ漏洩通知の割合は、2024年上半期の65%から2025年上半期には69%に増加し、この傾向は過去5年間続いています。
これにより、被害者が自身のなりすましリスクを把握しにくくなり、研究者が個別のインシデントについて結論を導き出すことも難しくなっています。
全体として、金融サービス業界が最も大きな被害を受け、387件の漏洩が発生しました。次いで医療(283件)、専門サービス(221件)、製造業(158件)、教育(105件)と続きました。
翻訳元: https://www.infosecurity-magazine.com/news/us-data-breaches-record-year/