2025年を振り返ると、テクノロジーの進化が私たちの生活を豊かにする一方で、システム障害やセキュリティインシデントが社会生活の根幹を揺るがす事態が多発した1年でもありました。
今回は、2025年に国内外で発生し、ニュースやSNSで大きな反響を呼んだ主要なシステムトラブルやサイバー攻撃事例をピックアップしてみたいと思います。原因などが完全に解明されていない事例もありますが、それぞれの2025年11月末時点での状況を整理してみました。
なぜ対策をしていても事故が起きるのか。エンジニアとして、ユーザーとして、これらの事例から学びを得たいと思います。
- もくじ
1. 2025年、日本国内で注目を集めた事例
1-1. 「昭和100年問題」の影響は?
2025年の幕開けとともに、IT業界のみならず社会でも密かに懸念されていたのが「昭和100年問題」でした。これは、日付管理に日本の元号「昭和」を用いている古いコンピューターシステム(=レガシーシステム)において発生する問題とされています。
昭和元年を1年として計算すると、西暦2025年は「昭和100年」にあたります。2025年において、まだ多くのレガシーシステムが稼働しています。年号を2桁で管理している場合、「100」という3桁の数字を正しく処理できず、「00」つまり「昭和0年」と誤認したり、エラーを起こして停止したりする可能性があると指摘されていました。これはかつて世界中を騒がせた「2000年問題」の日本版ともいえる事象です。
「昭和100年問題」の実際の影響はあまりなかったようで、社会インフラが停止するような壊滅的な混乱は回避されました。これは金融機関や行政機関を中心に、数年前から水面下で改修対応が進められていた成果といえます。
しかし、一部の中小企業や地方自治体の古い帳票システム、あるいは更新が漏れていたサブシステムにおいては、日付が「エラー」と表示されるなどの軽微なトラブルが散見されたといわれています。DX(デジタルトランスフォーメーション)がなかなか進まない、日本のITシステムが抱える構造的な課題を改めて浮き上がらせる事例だったのかもしれません。
1-2. 大手企業を襲った攻撃と情報漏洩リスク
2025年、国内の大手企業を標的としたサイバー攻撃は激化の一途をたどりました。中でも大きな衝撃を与えたのが、9月に発生した酒類・飲料の大手グローバル企業グループへのランサムウェア攻撃です。
この事件により同グループは業務に大きな被害を受けました。当初、顧客情報の流出は確認されていないとされていましたが、その後の調査で約191万件の個人情報が漏洩した可能性があることが判明しています。受注・出荷システムが停止したことで、物流スケジュールに遅れが生じるなど、サプライチェーン全体に影響が及びました。
アサヒグループHD、ランサムウェア攻撃の詳細や復旧予定を説明。2月までに物流業務全体の正常化を目指す(INTERNET Watch)
この事例から得られる教訓は、「侵入を許した後の防御」の重要性だといわれています。報道や調査によると、攻撃者はネットワーク機器の脆弱性を突いて侵入した後、社内ネットワーク内を横断的に移動し、被害を拡大させたと見られています。従来型のファイアウォールなどの境界防御だけでは、一度侵入されると内部で自由に動かれてしまうため、すべての通信を疑うゼロトラストの考え方が重要だと考えたエンジニアも多かったようです。
1-3. 交通網でのトラブルも...
私たちの足である交通インフラも、2025年はシステムトラブルによる脅威にさらされました。物理的な事故ではなく、ソフトウェアやネットワークの不具合による混乱発生の事例が続きました。
2024年末から2025年初頭にかけて発生した大手航空会社へのDDoS攻撃が注目を集めました。DDoS攻撃とは、ウェブサイトやサーバーに対して大量の通信データを送りつけ、処理不能にさせるサイバー攻撃です。この影響で、重量管理システムなどの社内基幹システムへの通信が不安定になり、フライトの大規模な遅延が発生しています。航空会社のオンラインサービスは搭乗手続きや予約確認に不可欠であるため、システム障害は利用者の行動に直結する混乱を生じさせました。
鉄道においては、2025年10月に発生した、大手私鉄で発生した衝突事故の原因が衝撃的でした。調査の結果、原因は「信号システムの設定ミス」であったことが公表されました。この設定ミスは2015年のシステム改修時から10年間にわたり存在していたものの、特定の条件下でのみ発生するバグであったため、長年発見されなかったという点に衝撃を受けた人も多かったようです。テスト工程における「網羅性」の確保がいかに困難かつ重要であるかを教えてくれる事例となりました。
2025年4月には高速道路のETCシステムが大規模に停止するトラブルも発生しています。料金所でのバーが開かず、主要な高速道路で渋滞が引き起こされました。原因はサーバーの更新プログラムの不具合とされています。
2025年7月には、大阪・関西万博会場付近で運行されていたAI自動運転バスにおける制御ミスが報告されました。幸い軽微な接触で済みましたが、AIが予期せぬ障害物を検知した際の判断ロジックなどに関心が集まることになりました。
1-4. 保険・人気スポットは狙われやすい?
個人情報を大量に保有するBtoC(消費者向け)企業への攻撃も、2025年は止むことがありませんでした。特に、多くのファンを抱えるエンターテイメント企業や、個人情報を扱う保険代理店が標的となり、その被害規模の大きさが社会に衝撃を与えました。
2025年2月、テーマパーク・エンタメ事業を手がける大手企業がランサムウェアによるサイバー攻撃を受けたことを公表しました。この攻撃により、同社の会員サービスなどのデータが侵害され、約200万件に及ぶ個人情報が流出した可能性があるとされています。セキュリティ対策の難しさを示す事例となりました。
サンリオエンターテイメントにランサムウェア攻撃、最大約 200 万件の個人情報が漏えいした可能性(ScanNetSecurity)
2025年4月には、保険代理店大手グループを襲ったランサムウェア被害が発覚しています。こちらの被害規模は最大で約510万件もの顧客情報が漏洩した恐れがあると発表されています。
これらの事件に共通するのは、企業が保有する「データの価値」を攻撃者が熟知しており、それを人質に金銭を要求するランサムウェアの手口が依然として猛威を振るっていることだと思います。
2. 話題になった海外の事案
2-1. SNSプラットフォーム「X」(旧Twitter)への大規模サイバー攻撃
日本国内だけでなく、海外でもデジタル社会の脆弱性を露呈させる事件が相次ぎました。
2025年3月、世界的なソーシャルメディアプラットフォーム「X」(旧Twitter)が大規模なシステム障害に見舞われました。原因は大規模なDDoS攻撃と複数の脆弱性を組み合わせた攻撃であったと見られています。
この障害により、世界中で一時的にタイムラインの更新ができなくなったり、投稿が表示されなくなったりする事象が発生しました。現代においてSNSは災害時の情報収集や企業の広報活動など、社会インフラに近い役割を担っています。その中心の一つといえる「X」がダウンしたことで、世界中が衝撃を受けることになりました。
2-2. 欧州空港チェックインソフトウェアへのサイバー攻撃
空の便の混乱は、日本だけではありませんでした。欧州では空港業務を支えるサプライチェーン(供給網)が攻撃の対象となりました。複数の欧州空港で使用されているチェックイン・ソフトウェアのプロバイダーがサイバー攻撃を受け、システムがダウン。これにより、主要な空港で搭乗手続きが手動対応を余儀なくされました。
Cyberattack disrupts check-in systems at European airports for a second day(AP News)
この事例が示唆するのは「サードパーティリスク」の恐ろしさです。空港自体のセキュリティが堅牢でも、そこで使用されている業務ソフトのベンダーが攻撃されれば、空港機能は麻痺してしまいます。クラウドサービスや外部ベンダーのシステムを利用することが当たり前になった現代において、自社だけでなく、委託先も含めたサプライチェーン全体のセキュリティをどう確保するかがグローバルな課題となっていることが示された事例となりました。
2-3. 通信事業者のファイアウォール更新ミスによる緊急通報不能に
オーストラリアでは、人命に関わる深刻な通信障害が発生しました。大手通信事業者のシステム更新のミスにより、日本の110番や119番にあたる緊急通報用番号「000(トリプルゼロ)」への接続が一部不能になる事態が発生したのです。原因は、ファイアウォールの設定更新時における人為的なミスでした。自動化されたテスト環境の必要性を感じたエンジニアも多かったようです。
3. エンジニアが学ぶべき教訓と未来の対策
3-1. サイバー攻撃は未然に防げるのか?
2025年に起きた数々のインシデントを振り返ると、「攻撃を100%防ぐことは不可能である」という前提に立つことの重要性が改めて見えてきます。
酒類・飲料の大手グローバル企業グループやテーマパーク・エンタメ事業を手がける大手企業の事例を見ると、攻撃者は常に新たな脆弱性や人の心理的な隙(フィッシングなど)を探し出し、侵入を試みているらしいことがわかります。
エンジニアが今学ぶべきは、「侵入されないために壁を高くする」努力と同時に、「侵入された後にどう守るか」を設計段階から組み込むことかもしれません。これには、ネットワーク内部のトラフィックも信頼しない「ゼロトラスト」の採用や、重要データの暗号化、そして異常検知システムの導入が含まれます。攻撃者が侵入しても、横展開するのを防ぎ、データの持ち出しを困難にする多層防御の思想が、これからのシステムには不可欠になっているのかもしれません。
3-2. 運用ガバナンス強化が注目を集める
大手私鉄の長期にわたって設定ミスを放置してしまっていた事例や、オーストラリアの大手通信事業者のファイアウォール更新ミスは、システムの運用におけるガバナンスの課題が引き起こした事故といえるかもしれません。
開発時には完璧に見えたシステムも、日々の運用や改修の中で少しずつ設定が変わり、当初の設計意図から乖離していくことがあります。また、「昭和100年問題」のように、システムが老朽化してブラックボックス化することで、リスクが見えなくなることもあります。
これを防ぐためには、手動での設定変更を極力減らし、コードとしてインフラを管理する「IaC(Infrastructure as Code)」の徹底や、変更がシステム全体に与える影響を自動でテストするパイプラインの構築が有効と考えられます。組織としては、「なぜその設定になっているのか」といったことを明らかにするドキュメント類の整備や、属人化を防ぐための相互レビュー体制の強化が求められているといえます。地味に見える運用業務こそが、サービスの信頼性を支えていくことになります。
3-3. インシデント発生時の復旧シナリオの重要性
最後に、大手航空会社や欧州空港の事例から得られた教訓は「システムが止まってしまったとき、どう動くか」というBCP(事業継続計画)の重要性でした。
システム障害が発生した際、現場の混乱を最小限に抑え、復旧までの時間を短縮できるかどうかは、事前の準備にかかっています。バックアップデータは正常にリストアできるか、代替手段(手動運用など)への切り替え手順は確立されているか、そして、顧客や社会への広報を誰がどのように行うのか。これらを想定した「避難訓練」のような予行演習を、平時から行っておく必要があると知らしめた事例だったと思えます。
システムエンジニアの責任は、正常稼働させることだけではありません。「壊れたときに、いかに早く、安全に立て直すか」。その復旧力(レジリエンス)こそが、2025年以降のシステムに求められる重要な品質指標の一つとなっていくのではないでしょうか。
4. まとめ
2025年は、「昭和100年問題」という日本特有の課題から、国境を越えたサイバー攻撃まで、多種多様なインシデントが発生しました。これらの事例は、テクノロジーへの依存度が高まる現代において、システム障害が社会全体に及ぼす影響の大きさを示しています。
私たちはこれらの失敗を単なるニュースとして消費せず、自らの開発・運用現場に置き換え、明日のシステムをより強固なものにするための糧としていきたいところです。
