今週のセキュリティニュース - 2025年11月21日

大企業のVPN機器セキュリティ対策に関する調査結果が公表されました。この調査は、従業員1000人以上の企業のセキュリティ担当者300人を対象に実施されたものです。

この調査によると、約半数の担当者がVPN機器のバージョン情報を「正確には把握していない」と回答しています。また、脆弱性が発覚した際、6割超の企業が該当機器を「1日以内」には特定できていない実態も明らかになりました。

調査対象企業の約8割が、VPN機器の脆弱性対策の強化をすでに決定、または検討していると回答しており、自社のセキュリティ対策を見直す動きが始まっていることがわかります。

11月中旬、地方の市立小中学校の学校メールアカウントが不正アクセスの被害に遭ったことを県教育委員会が公表しました。

この被害により、業務外の約16,000のアドレスになりすましメールが送信されたと言います。被害の原因は、パスワードが類推されやすい脆弱なものであったためとされています。

県教育委員会は該当校のメール利用停止や不正アクセスの経路遮断といった措置を講じているといいます。また今後の対応として、監視体制の強化やパスワード管理を徹底するとしています。

パスワード管理会社NordPassの2025年版「最も一般的なパスワード（Top 200 Most Common Passwords）」調査によると、米国で最も使われているパスワードは「admin」と「password」で、依然として推測しやすい弱い設定が多く使われていることが明らかになりました。

こうしたパスワードは、ブルートフォース攻撃やクレデンシャルスタッフィング攻撃などで容易に突破されやすく、個人情報流出のリスクは高いままです。

また、これまでパスワード管理が甘いのは高齢層という見方がありましたが、調査は全世代で同程度に質が低いと指摘。年代によってよく使う文字列に違いはあるものの、「123456」など単純な数字列が年代を問わず上位に並ぶ実態が示されました。

技術的な知識がなくても利用できるフィッシング・アズ・ア・サービス（Phishing as a Service）である「Tycoon 2FA」フィッシングキットを利用した攻撃が、今年だけで64,000件以上も追跡されるなど、世界的に急増しています。

これはMicrosoft 365などの主要プラットフォームを標的とし、正規の認証に見せかけながら、パスワードとMFAコードをリアルタイムで傍受する、高度な中間者攻撃（AiTM）ツールで、容易に企業へ侵入する手段となっています。

SMS、プッシュ通知、TOTPアプリなど、ユーザーが認証コードを入力・承認するタイプのレガシーMFAは完全に回避されてしまいます。そのため、Tycoon 2FAの脅威に対抗するには、物理的なFIDO2セキュリティキーへの移行が不可欠です。これにより、認証情報がデバイス内に厳重に保護できるため、偽サイトでは認証が成立せず、AiTM攻撃を根本的に防ぐことができます。