警察庁 | 2026年3月10日
警察庁「令和7年サイバー脅威情勢」を公表、不正送金102億円・ランサム226件で過去最悪水準が継続
警察庁は2026年3月10日、「令和7年におけるサイバー空間をめぐる脅威の情勢等について」を公表しました。2025年のランサムウェア被害件数は226件(前鹴比4件増)で過去2番目の水準、ネットバンキング不正送金は4,677件・被害額約102億円で過去最高を記録しています。
ランサムウェアの種別ではQilinが32件で最多、LockBitが19件で続きました。フィッシング対策協議会への報告件数は245万4,297件(前年比42.9%増)と過去最多です。証券会社を装ったフィッシングによる不正インターネット取引の被害額は約7,400億円に達しています。
| 指標 | 2025年実績 | 傾向 |
|---|---|---|
| ランサムウェア被害 | 226件 | 前年比+4件(過去2番目) |
| ネットバンキング不正送金 | 4,677件 / 約102億円 | 過去最高 |
| フィッシング報告 | 245万4,297件 | 前年比+42.9%(過去最多) |
| 証券不正取引 | 約7,400億円 | 証券会社詐称フィッシング |
ランサムウェア226件のうち、中小企業が過半数を占めています。ネットバンキング不正送金102億円は、法人口座の被害も含まれており、経理担当者がフィッシングメールから偽のログインページに誘導されるパターンが多発しています。証券口座を持つ企業・経営者も、証券会社を装ったSMSやメールに注意が必要です。
- ネットバンキングの振込限度額を業務上必要な最小限に設定し、大口振込は電話確認を併用する
- 経理担当者に対し「銀行・証券会社はメールやSMSでログイン情報を求めない」ことを改めて周知する
- 法人口座で利用できるワンタイムパスワードやトランザクション認証を未導入の場合は銀行に申込む
- ランサムウェア対策として、重要データの外部バックアップ(ネットワーク切断状態での保管)を週次で実施する
Google / CISA | 2026年3月13日
Google Chromeにゼロデイ脆弱性2件、既に攻撃に悪用済み。Edge・Braveなども対象
Googleは2026年3月にGoogle Chromeのセキュリティアップデートを公開し、既に攻撃に悪用されている2件のゼロデイ脆弱性を修正しました。米国サイバーセキュリティ・インフラセキュリティ庁(CISA)は3月13日、この2件を「既知の悪用された脆弱性カタログ(KEW)」に追加し、連邦機関に対して3月27日までの修正を義務付けています。
| CVE番号 | 対象 | 深刻度 | 概要 |
|---|---|---|---|
| CVE-2026-3909 | Skia(グラフィックエンジン) | CVSS 8.8(高) | 境界外書き込みによるメモリ破損。悪意あるWebページ経由でコード実行の恐れ |
| CVE-2026-3910 | V8(JavaScriptエンジン) | CVSS 8.8(高) | サンドボックス内での任意コード実行が可能 |
修正済みバージョンはデスクトップ版 146.0.7680.75(Linux)および 146.0.7680.75/76(Windows・macOS)です。Chromeだけでなく、Microsoft Edge、Brave、Opera、VivaldiなどのChromium系ブラウザも影響を受けるため、各ブラウザの更新も必要です。
Chromeは国内企業で最も使われているブラウザです。従業員が悪意あるWebサイトにアクセスしただけで攻撃が成立するため、パッチ未適用の状態は非常に危険です。Edgeを社内標準ブラウザぎしている企業も、Chromiumベースであるため同じ脆弱性の影響を受けます。
- Chromeのバージョンを確認する(アドレスバーに chrome://settings/help と入力)。146.0.7680.75以上であれば修正済み
- Microsoft Edgeも同様に edge://settings/help で最新版か確認する
- 社内に複数台のPCがある場合は、全端末のブラウザ更新状況を確認する
- 自動更新が有効になっているか確認する。企業のポリシーで自動更新を止めてえる場合は手動で適用する
ScanNetSecurity / 東京都水道局 | 2026年3月
3月第1週で国内5社がランサム被害を公表、委託先経由で水道局利用者13万件の個人情報が漏洩リスクに
2026年3月の第1週だけで、国内5社がサイバー攻撃の被害を公表しました。5件中4件がランサムウェアによるもので、被害企業の規模は売上高1兆円超の村田製作所から従業員数十名規模の印刷会社まで幅広い状況です。
中でも注目すべきは、市場調査会社シード・プランニングへのランサムウェア攻撃です。同社は東京都水道局の委託事業(水使用実態調査)の協力会社であり、スマートメーター利用者の使用水量・住所・使用者名など約13万件の個人情報が漏洩した可能性があると、東京都水道局が3月6日に公表しています。攻撃は3月2日早朝に発生し、同社の端末の一部でファイルが暗号化される被害が確認されました。
3月上旬に被害を公表・報道された主な企業
| 企業 | 被害内容 | 影響 |
|---|---|---|
| 村田製作所 | 不正アクセス | 社外関係者情報の読み出し可能性 |
| シード・プランニング | ランサムウェア | 東京都水道局委託先として約13万件の個人情報漏洩リスク |
| ブロードバンドタワー | 既知の脆弱性を悪用した不正アクセス | 仮想サーバ6台が侵害 |
シード・プランニングの事例は「委託先・再委託先がランサムウェア被害を受けると、委託元の顧客データまで漏洩リスクにさらされる」典型例です。自社が直接攻撃されなくても、取引先や委託先の被害が自社の個人情報漏洩事故につながります。IPAの10大脅威でサプライチェーン攻撃が2位にランクインしている現実が、この事例にそのまま表れています。
- 自社が外部に委託している業務を棚卸しし、委託先が個人情報を扱っているか確認する
- 委託先との契約にセキュリティ要件(パッチ適用・バックアップ・インシデント報告義務)が含まれているか確認する
- 委託先でインシデントが発生した場合の連絡フローを社内で決めておく
- 自社がサービスを提供する立場の場合、VPN機器のファームウェア更新やRDPの制限など基本的な防御が抜けていないか再点検する
編集部まとめ
警察庁の統計が示す通り、サイバー被害は年々拡大し、2025年は不正送金102億円・フィッシング245万件と過去最悪の水準です。Chromeゼロデイ脆弱性は「Webサイトを閲覧しただけで攻撃が成立する」タイプであり、ブラウザの更新確認は5分で終わる対策として優先度が高いです。
3月第1週の国内5社被害は、規模を問わずランサムウェアの標的になること、そして委託先の被害が自社に波及することを改めて示しました。今週やるべきことは3つ。ブラウザの更新確認、ネットバンキングの振込限度額の見直し、委託先のセキュリティ状況の確認です。
参考情報
- 警察庁「令和7年におけるサイバー空間をめぐる脅威の情勢等について」(2026年3月10日公表)
- Google Chrome セキュリティアップデート(CVE-2026-3909、CVE-2026-3910)
- CISA Known Exploited Vulnerabilities Catalog(2026年3月13日追加)
- Security NEXT「米当局、Chromeゼロデイ脆弱性に注意喚起」
- ScanNetSecurity「シード・プランニングにランサムウェア攻撃」(2026年3月19日)
- 東京都水道局「委託事業における不正アクセス被害について」(2026年3月6日)
- ScanNetSecurity「既知の脆弱性を悪用しサーバに侵入 ~ ブロードバンドタワーにサイバー攻撃」(2026年3月9日)
