ランサムウェアは“脱VPN”でどうにかなるのか？ 2025年のセキュリティ総決算：2025年のIT業界 総まとめ（セキュリティ編）

ランサムウェアは猛威を振るったこの1年。適切な対策を講じるにはどうすればいいのでしょうか。2025年の主要セキュリティトピックを振り返りつつ、あるべき対策を編集部厳選記事とともに考えていきましょう。

[田渕聖人，ITmedia]

　2025年も「ITmedia エンタープライズ」をご愛読いただき、誠にありがとうございました。本稿は、年末特別企画として2025年公開の記事から、読者の皆さまによく読まれたものおよび編集部厳選の話題をランキング形式で紹介します（集計期間：2025年1月1日〜12月1日）。

　今回のテーマは「セキュリティ」です。2025年はアサヒGHDやアスクルをはじめとした大手企業がランサムウェア被害に遭ったことで、商品の欠品や流通の停止を招き、消費者の日常生活にも大きな影響が出ました。もはやセキュリティが一企業の問題ではなくなった今、私たち一人一人がこれに関心を持ち、できることを考える必要があるでしょう。ランキングに載った記事はそのヒントになるはず。ぜひ読んでみてください。

2025年ランキングトップ10

順位

1

「英数・記号の混在」はもう古い　NISTがパスワードポリシーの要件を刷新

2

“あまりにもお粗末”　岡山県の病院で起きたランサム被害から得られる教訓

3

「C++」存続の危機？　生みの親が安全なプログラミング言語への転換を模索

4

Fortinet製デバイス1万6000台超がバックドア被害に　急ぎ対策を

5

どこを読んでも学ぶとこしかない　岡山県の病院のランサム被害報告書を徹底解説

6

Appleの悲願がかなう　TLS証明書の有効期間が最短47日に短縮へ

7

守ったつもりが、守れていなかった　アスクルのランサム被害報告書の衝撃

8

Windows／macOSユーザーはむしろ無償の標準アンチウイルス機能で十分なワケ

9

Oracle Cloudが侵害され600万件のデータが漏えいか　Oracleは侵害を否定

10

アスクル、ランサムウェア感染の続報を公表　物流システムに深刻な影響

年間ランキングから“防御の穴”を読み解く　編集部厳選記事も紹介

　ここ数年のセキュリティトレンドと変わらず2025年もランサムウェア被害が大きな注目を集めました。アサヒGHDやアスクルの被害は2025年の下半期でしたが、上半期に話題になったインシデントといえば、2位の岡山県精神科医療センターのランサムウェア被害でしょう。

　同院が公開した調査報告書は被害実態だけでなく、その原因となったずさんなセキュリティ対策が赤裸々に語られています。特に気になったのは脆弱（ぜいじゃく）なID／PWの利用および使い回しです。報告書では「保守用SSL-VPN装置のID／PWが『administrator/P@ssw0rd』という推測可能なものが使用されていた」他、「病院内の全ての『Windows』コンピュータの管理者のID／PWも、上記と同じものが使い回されていた」というなかなかショッキングな記載があります。

　「ID／PWの使い回しをしない」はセキュリティのキホンの“キ”です。ただもう一度、胸に手を当てて考えてください。これが十分にできている企業はどのくらいいるでしょうか。個人で見たらもっとできていないかもしれません。最近のサイバー攻撃は個人が持つサービスアカウント窃取を起点に企業のシステムに侵入し、大規模な被害を引き起こします。“個人の小さな被害がやがて世間を揺るがす大きな事件に発展する”――読者の皆さんはこれを肝に銘じて、被害をジブンゴト化していきましょう（記者も含めて）。

　一方で「ID／PWは強固なものをしっかり使っているよ。だから大丈夫」という自信にあふれた方もいるかもしれません。ただ、そんなあなたの常識が“本当に最新かどうか”はあらためて確認が必要です。ランキング1位はまさに従来のパスワードの常識が強い言葉で言うと“破壊”される記事です。

　米国国立標準技術研究所（NIST）はガイドライン「NIST Special Publication 800-63B」で強固なパスワードポリシーの要件を定めています。これまでNISTはパスワードの複雑性を重視して、大文字と小文字、数字、記号を組み合わせた構成ルールを推奨していました（私もパスワードは大文字や小文字を混在した方がいいと教わった記憶があります）。しかし今回の改訂で「混在ルールを課してはならない」と明確に定義し、特定の文字タイプを強制する慣行を禁止しています。一体なぜでしょうか？　気になる方は記事を読んでみてください。

VPNの適切な運用はこの先のセキュリティ必須要件か

　ここからは編集部厳選記事の紹介です。アサヒGHDのランサムウェア被害を攻撃者視点で深堀りした動画が1本目です（厳選記事といっておきながら早速動画で申し訳ありません）。

　この事件ではRaaSグループ「Qilin」が攻撃を主張しており、名前の紛らわしさもあいまっていろんな意味で話題になりました。ただ、Qilinへの理解をここで終わってほしくありません。この大規模なRaaSグループの特徴や凶悪さを知り、有効な防御策につなげてほしいのです。

　「敵を知り己を知れば百戦危うからず」。サイバー攻撃に適切に対処するには、攻撃そのものに加え、攻撃の背景にあるエコシステムを深く理解する必要があるでしょう。一歩進んだセキュリティ知識を身に着けたい方はぜひご覧ください。

　2本目は医療業界のセキュリティ対策の遅れの真因をその業界構造から読み解いたこちらの連載記事です。先の岡山の病院のランサムウェア被害では、ID／パスワードを使い回していたり、VPNの脆弱性を放置していたりといった基本的な対策の遅れが侵害の原因となっていました。

　ここで「努力が足りない」というのは簡単です。しかし医療業界を取り巻く複雑な構造を見ていくと、日本の医療機関の根深い課題が明らかになり、対策をしようにもできない歯がゆい理由が徐々に分かってきます。セキュリティ対策が進んでいる／遅れている理由を業界の構造から読み解くと新しい視点が見えるはず。ぜひご一読を。

　3本目はセキュリティ対策がおろそかになる理由を、人間の意思決定や判断に無意識に影響を及ぼす認知的な偏り「認知バイアス」観点で掘り下げる異色の連載です。

　サイバー攻撃者はシステムの脆弱性だけでなく、人間の思い込みといった「人の脆弱性」といった穴を突いてきます。フィッシングなどはその好例でしょう。どれだけシステムの防御を強化したとしても、それを動かすのが人である以上、完全な防御はあり得ません。普段意識しない人の脆弱性をどう強化するか。セキュリティ担当者が無意識のうちに持っている思い込みや偏見、認知のゆがみを自覚し、矯正することでセキュリティ対策の穴をふさぐヒントとしてぜひ読んでみてください。

　半田病院や岡山県の病院、アサヒGHDだけでなく、この他のランサムウェア被害においても初期侵入はVPNのID／パスワード乗っ取りや脆弱性を起点にしたケースをよく聞きます。こうした流れからしばしば“脱VPN”に乗り出す企業が増えていますが、記者個人としては、その前に運用の見直しが必要ではないかと思っています。

　例えば「VPN機器のID／パスワードを初期設定のままにしている」「VPNに脆弱性があるにもかかわらずアップデートをしていない」「減価償却が終わっているVPN機器を使い続けている」――これらは運用の問題であり、セキュリティ対策の基礎でもあるはずです。そこをきちんとせずに（企業固有の事情があるのも分かりますが）脱VPNを実現する新しいソリューションに飛びつくのは少し“気が早い”のではないでしょうか。

　脆弱性対策を含めた資産管理は手間やリソースもかかりますし、現状が可視化されたからといって明るい未来は見えないものです（むしろ状況を可視化したくなかったということもあるかもしれません）。とはいえ臭い物に蓋をする運用の先にあるのはランサムウェア被害による一大事かもしれません。

　本年はゆっくり休みつつ、年明けからは自社の対策をあらためて見直してみてくれれば幸いです。よいお年をお迎えください。