サイバー大惨事をどう測るかを再考する
提携掲載:CISO Marketplace | 2026年1月
エグゼクティブサマリー
2025年は、サイバーセキュリティ史における転換点として記憶されるだろう。侵害の深刻度を測る従来の指標――数百万、さらには数十億に及ぶレコード件数――は、物語の一部しか語らない。今年最も重大だった攻撃は、憂慮すべき真実を突きつけた。漏えいしたレコード数を数えるだけでは、現実世界での影響を測るには不十分である。
本レポートは、2025年の最重要サイバーインシデントを、2つの重要な視点から検証する。すなわち、従来のデータ中心の見方と、現代のサイバー攻撃がもたらす真の人的・経済的損害を捉える「混乱と被害」の新たな枠組みである。そこから浮かび上がるのは、組織・規制当局・一般社会がサイバーセキュリティ上の大惨事をどう測るべきかを根本から見直す必要性を示す、説得力のある論拠である。
第1部:データ中心の見方
漏えいレコード数別 上位10件の侵害
従来の指標で見ると、2025年は前例のない侵害規模を記録した:
| 日付 | 対象 | レコード数 | 影響 |
|---|---|---|---|
| 2025年6月 | 中国の監視関連 | 40億 | 監視用の個人ファイル(WeChat/Alipay)が露出 |
| 2025年12月 | Pornhub/Mixpanel | 2億100万 | 視聴習慣と個人識別情報(PII)の大規模なプライバシー侵害 |
| 2025年1月 | PowerSchool | 7200万 | 学生の健康情報および懲戒記録の盗難 |
| 2025年11月 | Coupang | 3370万 | ECの完全なプロフィールと購入履歴 |
| 2025年4月 | SK Telecom | 2700万 | 盗まれたUSIM認証キーによるSIMクローンのリスク |
| 2025年12月 | Aflac Insurance | 2200万 | 機微な医療情報および保険契約の詳細 |
| 2025年10月 | Prosper Fintech | 1700万 | 設定不備のバケット経由でPIIとローンデータが漏えい |
| 2025年3月 | Oracle Cloud | 600万+ | アイデンティティ/SSO基盤へのサプライチェーン攻撃 |
| 2025年6月 | Qantas Airlines | 600万 | サードパーティベンダー侵害によるロイヤルティ会員データの漏えい |
| 2025年12月 | 700Credit | 560万 | 信用情報システムからのSSN大量窃取 |
中国の監視メガ漏えい:40億レコード
2025年6月、サイバーセキュリティ研究者のBob Dyachenko氏とCybernewsの調査チームは、これまでに特定された中で最大級となり得る、中国の個人データの単一ソース漏えいを発見した。約40億件のレコードを含む631GBのデータベースが、パスワード認証のない無防備なサーバー上に置かれているのが見つかった。
露出した内容:
- 8億0500万件以上のWeChatレコード(ID、メタデータ、通信ログの可能性)
- 7億8000万件の地理識別子付き居住住所
- 6億3000万件の金融記録(決済カード番号、生年月日、氏名、電話番号を含む)
- 3億件のAlipayカードおよびトークンのレコード
- 車両登録、年金基金、雇用記録、ギャンブルデータ、保険情報などを含む追加コレクション
研究者らはこのデータベースを「監視、プロファイリング、またはデータ拡充の目的で維持されている可能性のある、中央集約的な集積ポイント」と評した。このデータセットは、中国市民の行動・経済・社会的プロフィールを包括的に構築するため、綿密に組み立てられているように見えた。
発見後にデータベースが迅速に削除されたため帰属特定はできなかったが、その高度さは国家レベルのアクター、または高度に組織化されたサイバー犯罪活動を示唆する。セキュリティアナリストは、このデータが大規模なフィッシングや恐喝から、国家支援の情報収集や偽情報キャンペーンに至るまで、あらゆる用途に悪用され得ると指摘した。
PowerSchool:学生と教育関係者7200万人が露出
2024年12月に発生し、2025年1月に公表されたPowerSchoolの侵害では、世界18,000校以上にわたり、約6200万人の学生と950万人の教育関係者のデータが露出した。PowerSchoolは北米のK-12教育市場のおよそ75%にサービスを提供している。
属性情報を超えて――機微情報が露出:
翻訳元: https://breached.company/beyond-the-numbers-the-2025-data-breach-landscape/
