今週のセキュリティニュース - 2025年11月14日

金融庁は11月10日、相次ぐ証券口座への不正アクセス・不正取引の問題に関して継続的に注意喚起を行っているページを更新しました。

今回更新された情報によると、10月に確認された不正アクセス件数は693件と、前月の303件に比べて2倍に増加していることがわかります。複数の証券会社が多要素認証（MFA）の必須化を進めるなど対策をしていますが、被害を完全に防ぐことはできていないのが現状です。

証券口座に限らず、金融資産・情報資産を守るためには、フィッシング攻撃に強いMFAであるパスキー（FIDO2）認証といった、より安全で強固な認証を有効的に活用することが推奨されます。

11月上旬、報道などを行う企業が業務で使用するツールへの不正ログイン被害を発表しました。秋頃に問題を把握し、パスワードを変更するなどの初期対応を行ったとしています。

被害の原因は、従業員の私物パソコンがウイルスに感染し、認証情報が盗まれたことだといいます。この被害により従業員や取引先など1.7万人を超える氏名、メールアドレス、チャット履歴が流出した可能性があるものの、取材に関する情報の漏えいは確認されていないと説明しています。

SaaS型ツールを狙う攻撃は増加傾向にあります。対策の基本は多要素認証ですが、認証済みの情報を盗む手口もあり、管理外の端末利用を含めたセキュリティ体制の強化が課題となっています。

韓国の現代自動車グループは、北米における IT子会社 Hyundai AutoEver America（HAEA）でのデータ侵害を公表しました。ハッカーは今年2月22日から3月2日まで9日間にわたってシステムに侵入し、その結果として、顧客の氏名、社会保障番号、運転免許証情報が流出した可能性があります。

HAEAのシステムは北米で270万台の車両と接続しており、影響を受けた正確な人数は明らかになっていません。しかし、複数の州に対して規制当局への届出が行われており、漏えい対象が多数に及ぶ可能性が示唆されています。

同社グループの車両は、走行場所や速度、住所、購入・融資情報など膨大な個人データを常に収集・送信しており、子会社HAEAのシステムへの侵害は包括的な個人プロファイルの流出につながる危険性があります。

サイバーリスク監視企業UpGuardが米国、英国、カナダ、オーストラリア、ニュージーランド、シンガポール、インドのセキュリティ責任者1,500名と一般従業員を対象にした調査によると、従業員の8割以上が承認されていないAIツールを業務で使用しており、そのうち約半数が定期的に利用していると回答しました。社内で正式に承認されたAIのみを使う従業員は2割未満でした。

こうした「シャドーAI」の利用は金融、製造、医療、ITなど幅広い分野で見られ、特に経営層が最も頻繁に使用していることが明らかになりました。また、製造、金融、医療分野の従業員はAIツールを「最も信頼できる情報源」とする割合が高く、同僚や検索エンジンよりも高い信頼を寄せており、上司と同程度の信頼度を示しています。

UpGuardは、AIリスクを理解していると考える従業員ほど未承認ツールを使う傾向があり、これは自分でリスクを判断できるという自信から、会社方針に反しても使用してしまうためであると指摘しています。