サイバーセキュリティの
統計と分析

2025年および2026年のサイバーセキュリティに関する重要なインサイトと統計をご確認ください

セキュリティを表す鍵のアイコンの横に、データ漏えいの増加とセキュリティの傾向を示すサイバー犯罪ダッシュボード。

データソースおよび集計方法

このページのサイバーセキュリティ統計は、情報漏えいの公表、法執行機関への被害報告、業界調査など、世界中で公開・報道された事例に基づいています。これらの数値は、世界的なサイバー犯罪の全体規模ではなく、報告されているサイバーセキュリティの傾向を示すことを目的としています。

調査手法、対象範囲、情報源、制限事項の詳細は、専用の方法論についてのページをご覧ください。

サイバーセキュリティとは？

オフィスでタブレットを使ってサイバーセキュリティデータを確認し、デジタルリスクや侵害レポートを分析する男性。

NordVPNによるサイバーセキュリティ統計分析の方法論

方法論について

NordVPNによるサイバーセキュリティ統計分析の方法論

方法論について

世界のサイバー犯罪による損害額の予測を比較したグラフ：2025年の10.29兆ドルから2029年には16兆ドルに増加。

2025年のサイバーセキュリティの概要

2025年のサイバーセキュリティは、継続的なランサムウェア攻撃、大規模な情報漏えい、そして世界中の企業や個人に影響を与える詐欺や認証情報の盗難が特徴となっています。今年の公開レポートでは、引き続きあらゆるセクターで数千件の確認済みインシデントが報告されており、これはデジタル脅威が着実に拡大していることを示しています。長期経済モデルによると、サイバー犯罪による世界的な損失は2029年までに年間16兆ドルに達する可能性があると予測されています。¹これは、日増しにつながりの強まる世界における経済的影響の拡大を浮き彫りにしています。

サイバーデータ漏えいの統計

データ漏えいの統計は、公開情報、規制当局への届出、または調査対象となったインシデントのいずれを測定するかによって異なります。これらの数値は、データ漏えいがどの段階で起きているかを示すものです。以下では、侵害の発生頻度と規模に関する主要な統計をご紹介します。

データ漏えいが発生する頻度

2025年だけでも、当社の分析では約8,500件の個別の情報漏えい事案が確認されました。Identity Theft Resource Center（ITRC）は、今年の第1～3四半期に2,563件のデータ漏えいが公表されたと報告しています²。これに対し、公開されている漏えいデータによると、第3四半期だけで約2,900件の個別インシデントが確認されました。

2025年上半期において、漏えいインシデントの96.9%が、確認済みまたは疑わしいサイバー攻撃によるものでした。ITRCは、2025年上半期には77.8%とより低い数値を報告³しており、攻撃に起因するインシデントだけで114,582,621人、つまりその期間の全被害者の約69%に相当します。

世界中で8,500件のデータ漏えいインシデントが記録されたことを示すグラフ 2025年。

2025年の大規模なデータ漏えい

SK Telecom

韓国 – 通信

日付：2025年4月18日

影響範囲：約2,696万件のIMSIレコード

韓国科学技術情報通信部⁶ は、SK Telecomが2025年4月18日に異常に大規模な外部へのトラフィックを検知したことを受け、政府主導の合同調査が開始されたと報告しました。最終的な調査結果によると、25種類のUSIMデータ（合計9.82 GB）が確認され、これは約2,696万件のIMSIレコードに相当します。

Aflac

アメリカ – 保険

日付：2025年6月12日

影響範囲： 2,265万人

Aflacの規制開示およびその後の報告^7-14によると、同社は2025年6月12日にサイバー攻撃を検知しました。この攻撃では、攻撃者がソーシャルエンジニアリングを使用して同社のアメリカ拠点内の複数のシステムに不正アクセスし、名前、社会保障番号、政府発行の身分証明書番号、医療および保険データなど、世界中の約2,265万人の機密性の高い個人情報および健康情報が漏えいしました。

Qantas

オーストラリア – 航空会社

日付：2025年6月

影響範囲：570万人の顧客

Office of the Australian Information Commissioner（OAIC）によると^15-17、Qantasはサイバーインシデントの発生を受け、「データ漏えい通知義務（Notifiable Data Breaches）」制度に基づき、規制当局に報告対象となるデータ侵害を通知しており、OAICは同社の法的義務の遵守状況についてQantasと協議を行っています。Qantasは、調査の結果、影響を受けたシステムに約570万人の顧客に関するデータが確認されたと報告しています。漏えいした情報の種類は個人によって異なります。

TransUnion

米国 – 信用情報機関

日付：2025年7月

影響範囲：440万人以上

ミシガン州司法長官のプレスリリース¹⁸ では、2025年7月に発生したTransUnionのサイバーインシデントについて説明しています。このインシデントでは、サードパーティアプリケーションを介した不正アクセスが発生し、440万人以上が影響を受けました。同通知は、漏えいしたデータには氏名、社会保障番号、生年月日が含まれていたと述べています。また、TransUnionは、信用情報へのアクセスはなかったという見解を示し、影響を受けた個人には郵送で通知する予定であると記しています。

Allianz

アメリカ – 保険

日付：2025年7月

影響範囲：1,400万人のアメリカの顧客

メイン州司法長官事務所を含む米国州当局に提出されたデータ侵害の義務的な通知書類¹⁹によると、Allianz Life Insurance Company of North Americaは、2025年7月にサイバーインシデントが発生し、第三者のクラウドベースの顧客関係管理（CRM）システムへの不正アクセスがあったと報告しました²⁰。規制当局への提出書類によると、このインシデントにより、Allianz Lifeの約140万人のアメリカの顧客の大部分、ならびに特定の金融専門家および従業員に関連する個人情報が漏えいしたとのことです。

サイバーセキュリティ攻撃の統計

サイバーセキュリティ攻撃の統計は、世界中の個人、企業、政府が直面するデジタル脅威の実態を浮き彫りにしています。ベンダーのテレメトリや各国のサイバー機関は、毎年数億回、さらには数十億回の攻撃の試行を報告していますが、一般に公開されるのはそのほんの一部に過ぎません。

2025年の当社の調査によると、サイバーセキュリティ攻撃イベントは約14分ごとに発生し、 1日に約85件のサイバーセキュリティ攻撃イベントが発生していました。これには、データ漏えい、ランサムウェア、ソーシャルエンジニアリング、マルウェア、DDoSなど、あらゆる種類の攻撃が含まれます。

史上最大級のサイバーセキュリティ攻撃

NotPetya

約100億ドル

2017年のNotPetyaマルウェアの大流行は、依然として歴史上最も損害額の大きいサイバー攻撃と広く考えられており、複数の分析²³によると、影響を受けた組織全体の世界的な損失は約100億ドルと推定されています。

UnitedHealth

約28.7億ドル

UnitedHealthは現在、2024年のChange Healthcareランサムウェアインシデントによる損害額は合計で約28.7億ドルにのぼる可能性があると推定しています²⁴。これは、これまでに記録された中で最も損害額が大きい単一企業を対象としたサイバー攻撃の1つです。

Jaguar Land Rover

約23億ドル

アナリストは、2025年のJaguar Land Roverへのサイバー攻撃により、英国経済に約19億ポンド（約23億ドル）の損害が生じたと推定しています²⁵。この攻撃は何千ものサプライヤーに影響を及ぼし、英国史上最も経済的な損害をもたらしたサイバーインシデントとなりました。

MGM Resorts

約1億ドル

MGM Resortsは、2023年のランサムウェア攻撃により、収益の損失と是正コストとして1億ドル以上の損害が予想されることを明らかにしました²⁶。

Caesars Entertainment

1,500万ドル

この部門では、Caesars Entertainmentが2023年に長期にわたる業務停止を回避するため、（当初の3,000万ドルの要求額から減額された）1,500万ドルの身代金を支払ったと報じられました²⁷。このことから、高付加価値産業における支払額の大きさが分かります。

サイバーセキュリティの主な脅威とリスク

サイバーセキュリティの主な脅威には、ランサムウェア、フィッシング、認証情報の窃盗、マルウェアの展開、サプライチェーンの侵害、クラウドの設定ミスなどがあります。これらの脅威カテゴリは、2025年に当社の分析によって記録されたすべてのサイバー攻撃の93%を占めました。

ランサムウェア

ランサムウェアは、2025年において最も顕著であったサイバー脅威の1つであり、2025年のサイバー脅威イベント全体の26%を占めました。これは、4件に1件の割合に相当します。当社の分析では、合計4,850件のランサムウェアインシデントが記録されました。つまり、年間を通しておよそ2時間ごとにランサムウェア攻撃が発生したことになります。

認証情報の窃盗

2025年のデータ分析によると、セキュリティ侵害の27～31%は、認証情報の窃盗、クレデンシャルスタッフィング、またはその他のパスワードベースの攻撃方法に関連するものでした。認証情報の窃盗は、およそ3.6時間に1件発生しています。

さらに、2025年のパスワード使用状況分析³⁴では、重大な脆弱性が浮き彫りになりました。具体的には、クラックされたパスワードの88%は12文字未満であり、従業員の60%（セキュリティ担当者を含む）が侵害されたパスワードを使用していました。

2025年、認証情報盗難攻撃が世界中で約3.6時間ごとに発生していることを示すカード。

GPUのパフォーマンスが継続的に向上しているため、脆弱なパスワードを解読するのに必要な時間は確実に短縮されてきています。12個のNVIDIA RTX 5090 GPUが並行して動作する場合、攻撃者は約3週間で8文字の小文字パスワードのすべての組み合わせを網羅することができます。これは、2024年の能力と比較して約20%の短縮に相当します。³⁴

パスワードの漏えいは、依然として大規模な自動ログイン攻撃の原因となっています。2020年だけで、1,930億件以上のクレデンシャルスタッフィング攻撃が記録され、2024年から2025年にかけて、これの攻撃は全データ漏えいの22%を占めるに至りました。これにより、フィッシングを上回り、データ侵害の主な原因となっています。³⁴

長年にわたるセキュリティに関する指針の推進にもかかわらず、最も広く使用されているパスワードは依然として極めて単純なものであり、「123456」、「password」、「admin」といった例が、世界的なランキングで上位を占めています。実際、世界で最もよく使用されているパスワードの上位10個のうち7個は、「123」で始まるベーシックな数字の並びのみで構成されています。^34-35

サプライチェーンの漏えい

NordVPNが分析した公開データによると、2025年における公表されたインシデントのうち、サプライチェーン関連の攻撃が4.82%を占めていることが明らかになりました。

2025年のサプライチェーンインシデントの約3分の1は、世界的な影響を及ぼすものと分類されました。これは、マルウェアに次いで、主要な脅威カテゴリの中で最も高い割合です。ランサムウェアや認証情報の窃取が地理的に集中しがちなのとは異なり、サプライチェーンへの侵害は性質上、国境を越えて連鎖的に広がります。たった1つのベンダー、SDK、または更新メカニズムが侵害されるだけで、あらゆる大陸のクライアントに同時に影響を及ぼす可能性があります。

サプライチェーンにおけるサイバーインシデントの約33％が世界的な影響を及ぼしていることを示す図。

報告されたサプライチェーン関連のインシデントのうち、最大60%がテクノロジーセクター、特に複数の下流クライアントにサービスを提供するソフトウェアベンダー、クラウドサービスプロバイダー、および分析プラットフォームを標的としていました。

サプライチェーンにおけるインシデントの約17.4%は、一般的に極めて重要なインフラとみなされるセクターを標的としたものでした。

報告されたインシデントの49%で、100万ドルから1,000万ドルの範囲の金銭的損害が報告されていますが、連鎖的な影響は直接的なコストを上回る場合が多いです。

フィナンシャル・タイムズ紙の調査³⁶ によると、2024年に分析された7,965件のサイバー攻撃のうち30％が、第三者企業（サプライヤーやサービスプロバイダーなど）を経由して開始されており、その割合は前年の2倍に上りました。

2025年サプライチェーン・サイバーセキュリティ・トレンドレポート³⁷ によると、70%以上の組織が過去1年間に少なくとも1回の重大なサードパーティ・サイバーセキュリティインシデントの被害に遭っており、5%の組織が10回以上のそのようなインシデントの被害を受けたことが明らかになっています。

2025年ソフトウェア・サプライチェーン・セキュリティレポート³⁸では、オープンソース・エコシステムにおける開発者の機密情報やその他の機密情報の漏えいが12%増加しており、これが広く使用されているコンポーネントの重大な侵害を助長していると指摘されています。

Nord Security：
オンラインセキュリティへの

幅広いアプローチ

本レポートのデータが示すように、多くのサイバーインシデントは、脆弱なネットワーク、盗まれた認証情報、露出したデータ、問題発生後の可視性不足といった、よくある経路をたどっています。Nord Securityは、予防から検出と対応に至るまで、さまざまな段階でこれらのリスクの多くに対処するツールを開発しています。

日々の接続を保護する

NordVPNは、暗号化された接続と、公開された認証情報を検出するダークウェブモニタリングにより、オンライン活動の保護を支援します。

リモートアクセスを管理する

NordLayerでは、組織におけるリモートチームやハイブリッドチームの安全なアクセスの管理に役立ち、不要なネットワーク露出を制限することで、侵害されたデバイスの影響を軽減します。

パスワードのリスクを軽減する

NordPassは、堅牢な一意のパスワードを作成して保管するのに役立つパスワードマネージャーです。フィッシング、パスワードの再利用、および認証情報の漏えいによるアカウント乗っ取りのリスクを軽減します。

機密ファイルのプライバシーを保つ

NordLockerは、ローカルおよびクラウドに保存されているファイルを暗号化し、システムやアカウントが侵害された場合でも機密情報を確実に保護します。

外部からの脅威を追跡する

NordStellarは、組織向けの脅威インテリジェンスプラットフォームです。漏えいした認証情報、公開されたアセット、内部ネットワーク境界を超えたサードパーティリスクを追跡します。

個人情報の漏えいに注意する

Coveronは、個人情報が高リスク環境で流通している可能性のある兆候を監視し、詐欺や不正使用への迅速な対応をサポートする個人情報保護サービスです。

旅行中も安全にインターネットを利用する

Sailyは、公共Wi-Fiや現地のSIMカードを使わずに、海外でインターネットアクセスを提供するeSIMモバイルデータ通信サービスです。

AIモデルを1つのプラットフォームに統合する

Nexos.aiは、組織向けのAIオーケストレーションおよびガバナンスプラットフォームです。複数のAIモデルへのアクセスを1つの安全なワークスペースに一元化し、可視性、管理性、ガードレールを提供することで、チームが責任を持ってAIを拡張できるよう支援します。

サイバー犯罪の統計

サイバー犯罪は、世界中で最も蔓延している経済犯罪の手法の1つとなり、これまでにない規模で消費者、企業、政府に影響を与えています。現在、不正行為、個人情報窃盗、デジタル詐欺は、毎年数百万件のインシデントとして報告されており、個人のアカウント乗っ取りから数十億ドル規模のシステム全体への影響に至るまで、さまざまな損失が発生しています。

NordVPNのサイバーセキュリティ統計分析によると、2025年に報告されたサイバー犯罪による損失は540億～580億ドルに達しました。しかし、世界全体では、サイバー犯罪のコストは2029年に年間約15.6兆ドルと推定されており、2031年までに12.2兆ドルに増加するとの推定が報告されています^42-44。

さらに、金銭的影響が開示されたインシデントの公的に入手可能なデータに基づく当社の分析によると、 サイバー犯罪の79.7%が100万ドルを超える損害をもたらし、27.2%が1,000万ドル以上の深刻なコストに拡大しています。

2025年のサイバーセキュリティ統計を分析したところ、オンライン詐欺が総被害額の14.5%を占め、個人情報の盗難が4.8%を占めていることがわかりました。犯罪がオンラインに移行していくこの傾向は、2024年に米国連邦取引委員会のConsumer Sentinel Networkによって記録された647万件の報告にも反映されています⁴⁵。そのうち40%は詐欺に関連しており、18%は個人情報の盗難に関連しています。

当社の分析では、クレジットカード詐欺は世界全体全体の個人情報盗難被害の8.3%を占めています。一方、FTC⁴⁵によると、2024年には米国におけるクレジットカード詐欺は個人情報盗難被害報告全体の43.9%を占め、さらに32.4%はオンラインショッピング、決済詐欺、メール/ソーシャルメディアアカウントの侵害に関連するものでした。

サイバーセキュリティインシデントの主要な分類によると、ソーシャルエンジニアリングがインシデントの34.8%を占め、次にランサムウェア攻撃が25.6%、認証情報の盗難が13.4%となっています。

技術的な攻撃ベクトル（攻撃の実行方法）を調査したところ、マルウェアの展開が最も多く、インシデントの33%を占めていました。フィッシングが32.6%とそれに続いており、盗まれた認証情報の使用は攻撃の13.8%を占めています。

FBIによると⁴⁶、2024年、米国では60歳の人がサイバー犯罪により約50億ドルの被害を受け、これは他のどの年齢層よりも多く、被害届の提出件数も最多となりました。

IC3⁴⁶が2000年に設立されて以来、約900万件の被害者からの苦情が寄せられており、法執行機関に長期的な世界的サイバー犯罪の動向の詳細な全体像を提供しています。

業界別

サイバーセキュリティの統計

サイバーセキュリティリスクは業界ごとに大きく異なります。その差は、データの機密性、運用の複雑さ、規制の圧力、攻撃者の動機の違いに起因します。医療や金融などの部門は、個人情報や金融データの価値が高いため、継続的にリスクにさらされています。一方、小売、エネルギー、政府、中小企業は、大量の攻撃、不均一なセキュリティ成熟度、サプライチェーンへの連鎖的な影響などの問題に直面しています。

金融サービスおよび銀行の漏えい統計

NordVPNによる公開データの分析によると、金融セクターにおける漏えいインシデントは、報告された全インシデントの約20.7%を占めており、これは月平均で約148件の金融セクターにおける漏えいインシデントに相当します。外部レポート⁴⁷は、この数字を裏付けており、また、多部門漏えい予測によると、金融業界は世界の侵害通知の約5分の1を占めているとも述べています。

金融セクターでは、1か月あたり平均約148件の侵害インシデントが発生していることを示す折れ線グラフ。

金融業界におけるデータ侵害の平均コストは、約608万ドルであると報告されており⁴⁸、世界全体の平均コストよりも約22%高くなっています。

2024年のGlobal Survey of Identity and Security Leaders⁴⁹によると、金融機関の46%が過去24か月間にデータ侵害を被っており、2年間でデータ漏えいを経験する確率はほぼ50%となっています。

サイバーセキュリティ支出の統計

世界中の組織がデータ漏えいの事後対応費用として60億ドル以上を費やしたことを示す図。

当社の分析によると、2025年には組織全体で情報漏えいの事後対応費用として60億ドル以上が費やされる一方、予防的な投資の発表は1件にとどまります。

SK Telecom：2兆3,000億ウォン（約17億ドル）の補償
Capital One：4億2,500万ドルの和解金
AT&T：1億7,700万ドルの和解金
PSNI：1億1,900万ポンド（1億5,000万ドル）の補償基金
Infosys McCamish：1,750万ドルの和解金

2025年のグローバル調査⁵⁹のレビューによると、93%の組織がサイバーセキュリティ予算を少なくとも10%増額している一方で、約70%の組織は依然として全体的な自社のサイバー対応能力を「初級」または「発展途上」と評価しています。

IANSとArtico Searchによる縦断調査⁶⁰ によると、セキュリティは2024年のテクノロジー予算全体の13.2%を占め、2020年の8.6%から増加しており、セキュリティ重視の支出への明確な転換を示しています。

世界のサイバー保険市場は、2025年には約163億ドルに達し、2030年までに2倍以上に拡大し、年間成長率は10%を超えると推定されています⁶¹。

サイバーセキュリティの予測

サイバーセキュリティの予測は、まったく新しい脅威の出現ではなく、加速が中心的な要因になることを示唆しています。また、人工知能により、発見から悪用までの時間が短縮され、自動化により攻撃の規模が拡大。ランサムウェアの経済性から暗号の陳腐化に至るまで、長期的なリスクは、複雑化しながらも予測可能性が高まっています。

2031年までに、世界のランサムウェア被害額は年間約2,650億～2,750億ドルに達し、2秒ごとに企業または消費者がランサムウェア攻撃を受けることになる（1日あたり約43,200件）と予測されています²⁸。

当社のカバレッジパターンに関する分析によると、AIを利用した攻撃は継続的に増加しており、2025年にはすでに「デフォルト」の状態に達しています。Google CloudのCybersecurity Forecast 2026⁶⁷では、2026年までにAIを利用した攻撃が「ニューノーマル」になると予測されています。

Googleの2026年の予測⁶⁷では、トリアージと調査にAIエージェントをうまく採用しているセキュリティチームは、AIが加速する脅威に対処しやすくなる一方、手動のSOCプロセスにこだわる組織は、アラートの量と速度に圧倒されてしまうリスクがあることも強調されています。

2025年の調査⁶⁸によると、29%の組織がすでにAIアプリケーションインフラストラクチャへの攻撃を経験しており、2026年以降、GenAIを利用したディープフェイクやプロンプトインジェクション攻撃が急増すると予測されています。

別の外部予測⁶⁹によると、2026年には、組織がLLMベースの分析と自動化されたプレイブックを採用し、検出と対応の時間を数時間から数秒に短縮することで、AI主導のサイバー防衛がコア機能になるとされています。

ENISAのThreat Landscape 2024⁷⁰では、可用性に対する脅威、ランサムウェア、データ窃盗が上位のカテゴリーとして特定されています。また、デジタル相互依存性の高まりに伴い、重要インフラ、衛星、サプライチェーンに対する攻撃は、少なくとも今後5～10年間は優先順位の高いリスクであり続けることが予想されています。

NordVPNのサイバーセキュリティリソースとツールの紹介

サイバーセキュリティに関するインサイトと統計は、現在の状況を示しています。しかし、その背景にある要因や攻撃者の適応プロセスを理解するには、背景情報、調査、継続的な分析が必要です。NordVPNのサイバーセキュリティリソースは、こうした理解のギャップを埋めるため、専門家による調査と実践的なオンライン安全対策ガイドを組み合わせて提供しています。

研究ラボ

NordVPNが実施する詳細な研究、調査、および技術分析。

ブログ

サイバーセキュリティのヒント、業界ニュース、専門家の見解を紹介する、定期的に更新される記事。

用語集

本レポートおよび公開された漏えい開示で使用されるサイバーセキュリティ用語の明確な定義。

無料オンラインセキュリティツール

漏えいの評価、一般的なリスクの特定、セキュリティ向上のための措置の実施に役立つツール。

サイバーセキュリティハブの紹介

サイバーセキュリティの
統計と分析

データソースおよび集計方法

2025年のサイバーセキュリティの概要