サイバー攻撃関連
今週のセキュリティニュース - 2025年11月7日
セキュリティニュース一覧に戻る
ポストはじめに
週刊インシデントまとめへようこそ!
ここでは、国内・国外で過去数日間に起こったサイバーセキュリティ関連のニュースやレポートなど、知っておくべきことをお伝えします。ぜひご覧ください。
業界
小売業
金融業
教育
攻撃分類
ランサムウェア
ソーシャルエンジニアリング
目次
専門家が解説!今週のサイバーセキュリティの脅威と対策のポイント
今週のハイライト
- 通販大手、ランサムウェアでデータ流出
- 自社や委託先、教育機関にも及ぶ情報流出の懸念
- Microsoft Edgeでパスキー同期が可能になり利便性向上
国内外で、組織を問わず顧客情報やシステムデータを狙ったサイバー攻撃が相次いでいます。国内では通販大手がランサムウェア攻撃を受け、データが窃取され、一部情報が公開されました。また、金融機関では再委託先が使用するAI-OCRサービスへの不正アクセスにより、顧客情報流出の可能性が報告されました。こうした事例は、攻撃の範囲が自社に留まらず、取引先や委託先を介して拡大することを示しています。
海外でも、米ペンシルベニア大学において、職員を狙ったソーシャルエンジニアリングにより認証情報が取得され、システムへの侵入が確認されました。多要素認証(MFA)の例外が一部に認められていたことが、被害拡大の一因と報道されています。企業や教育機関を問わず、認証管理における例外運用がリスクになることが示される事例です。
こうした状況の中、パスキーの実用性向上に繋がるプラットフォーム側の対応が進んでいます。MicrosoftはEdgeでパスキーのクラウド同期機能を導入し、AppleやGoogleと並び、主要3大プラットフォームでのパスキーの利用促進が期待されています。現状では個人アカウントのみ対応ですが、利便性向上は企業や教育機関における先進的な認証導入への心理的なハードルを低くする効果があると考えられます。
こうした動きを機会とし、組織が複合的な脅威に備えるには、まず、多要素認証(MFA)を全ユーザーに漏れなく適用し、シングルサインオンと組み合わせ、安全なアクセス管理を行うことが重要です。さらに、フィッシングに強いパスキー(FIDO2)のような先進的な認証技術への移行を視野に入れ、認証基盤を継続的に強化していく必要があります。全ユーザーに例外を設けず認証を徹底することが、サプライチェーンを通じたリスクの拡大やソーシャルエンジニアリング攻撃を防ぐ、最も効果的で根本的な防御策の1つとなります。
認証セキュリティの強化をご検討中でしたら、ぜひ弊社までご相談ください。クラウドサービスへの多要素認証(MFA)導入やパスワードレス認証に関するオンライン無料相談を受け付けております。
国内の主なインシデント
「RansomHouse」によるサイバー攻撃
ランサムウェアグループ「RansomHouse」が通販大手に対する犯行声明を出したと報道されました。RansomHouseは1TB超のデータを窃取し、顧客情報の一部を公開したと主張しています。被害企業は業務を限定的に再開したものの、全面復旧には至っていません。
RansomHouseは2021年頃に出現した「RaaS(Ransomware as a Service)」と呼ばれる、サービスとしてのランサムウェアモデルのグループと言われています。当初はデータを暗号化せず脅迫する「ノーウェアランサム」でしたが、後に二重脅迫へ移行したとされています。
こうした不正アクセスを防ぐためにも、認証の強化が急務です。多要素認証(MFA)の導入が強く推奨されます。
委託先経由で顧客情報流出の可能性、金融機関が相次ぎ発表
2025年10月下旬、複数の証券会社や保険会社が、顧客情報などの流出の可能性について相次いで発表しました。
原因は、各社がアンケート業務を委託した先の、さらに再委託先企業が利用していたAI-OCRサービス(手書き帳票デジタル化ツール)への不正アクセスとのことです。このサービスのサーバーが、9月下旬にランサムウェア攻撃を受け、10月中旬にサーバー内の情報が外部へ流出した可能性が判明しています。
委託元の金融機関などは、委託先の管理を徹底するなど再発防止に努めるとしています。
国外の主なインシデント
Microsoft Edge、パスキーのクラウド同期に対応
Microsoftは、ウェブブラウザEdge(バージョン142以降)で、パスキーのデバイス間同期機能を導入しました。これにより、Windowsデスクトップデバイス間でパスキーを安全に共有でき、より簡単で安全なサインインが可能になります。
パスキーはMicrosoft Password Managerに暗号化されて保存され、Microsoftアカウント(MSA)を通じて同期されます。新しいデバイスでの利用時には、設定したPIN認証が必要です。この機能はフィッシング耐性を向上させます。
この同期機能は現在、Windowsデバイス上の個人用MSAのみを対象としており、モバイルデバイスや職場・学校アカウント(Microsoft Entra ID)では利用できませんが、Microsoftは今後、対応プラットフォームを拡大する予定とのことです。
ペンシルベニア大学、サイバー攻撃でデータ盗難を確認
ペンシルベニア大学は、先週発生したサイバー攻撃で大学のデータが盗まれたことを認めました。この攻撃では、同窓生などに大学の公式アドレスから不審なメールが送信され、大学の開発・同窓関連システムが侵害されたとみられています。
大学によると、侵入の原因は職員を騙して認証情報を入手するソーシャルエンジニアリング攻撃で、攻撃者はメールや電話を通じて機密情報を不正取得した可能性があります。大学は学生や職員に多要素認証(MFA)を義務付けていましたが、関係者によれば一部の高官には例外が認められており、これが攻撃成功の一因になったとの指摘もあります。
大学は現在、影響を受けた個人への通知を準備しており、被害人数や流出した情報の詳細は明らかにしていません。今年初めにはコロンビア大学でも同様の不正アクセスが発生しており、教育機関を狙った攻撃が相次いでいます。
