今週のセキュリティニュース - 2025年12月12日

警察庁は12月4日、サイバー警察局便りを公開し電話を利用する「ボイスフィッシング」被害についての注意喚起を行いました。

法人口座を狙った不正送金被害が再発・急増しているといいます。犯人は銀行関係者を装って企業へ電話をかけ、メールアドレスを聞き出し、偽サイトへ誘導するメールを送信してネットバンクの認証情報を入力させ、企業の資産を不正送金する手口が悪用されているといいます。特徴としては発信元が国際電話番号であること、自動音声から人間の声に切り替わることが挙げられています。

同庁は対策として、代表電話等へ折り返して確認する、公式サイト・アプリからアクセスする、また国際電話着信ブロックの活用などを推奨しています。

12月上旬、地域の企業のサポートなどを行う団体は職員の業務アカウントが不正アクセスを受けたと発表しました。

発表された内容によると、認証情報が第三者により窃取され、海外から不正なアクセス及びログインが行われ、当該アカウントから大量の不審なメールが送信されていたといいます。また、この被害により一部の宛先で同団体からのメールが届きにくい状況が発生していることも公表しました。

当該団体は調査の結果、個人情報の流出は確認されなかったとしていますが、今後はセキュリティ水準の見直しや職員のセキュリティ意識向上により再発防止に努めるとしています。

セキュリティ企業Infobloxの報告によると、2025年4月から11月にかけて、米国の18大学が長期にわたり組織的なフィッシング攻撃の標的となっていたことが明らかになりました。

この攻撃では、「Evilginx」というオープンソースのフィッシングキットが使用され、AiTM（中間者攻撃）の手法でパスワードだけでなく多要素認証後のセッションCookieまで奪取されました。

Infobloxの調査では約70の関連ドメインが確認され、最初の被害はサンディエゴ大学で発生しました。特にカリフォルニア大学サンタクルーズ校やサンタバーバラ校、ミシガン大学などが集中的に標的となり、ワシントン大学では博物館のデジタル標本データが破壊される被害も報告されたとのことです。

米国の非営利団体Identity Theft Resource Center (ITRC)が公表した「2025 Business Impact Report」によると、調査対象の中小企業の81%が過去1年間にサイバー犯罪の被害を受け、AIを活用した攻撃がサイバー攻撃の40%超の原因となっていることが判明しました。

被害企業のうち62.5%が25万ドル超、36.7%が50万ドル超の経済的被害を被るなど、コストが増大しています。この影響に対処するため、38.3%の企業が価格引き上げで対応しており、結果としてコストが消費者へ転嫁され、インフレを助長する「隠れたサイバー税」が生じています。

サイバー対策への自信は大きく低下し、多要素認証などの基本的なセキュリティ対策の実施率も低下しています。ITRCは、公的政策による中小企業の負担軽減こそが、国家的な経済的責務だと警鐘を鳴らしています。