サイバー攻撃関連
今週のセキュリティニュース - 2025年12月19日
セキュリティニュース一覧に戻る
ポストはじめに
週刊インシデントまとめへようこそ!
ここでは、国内・国外で過去数日間に起こったサイバーセキュリティ関連のニュースやレポートなど、知っておくべきことをお伝えします。ぜひご覧ください。
業界
小売業
金融業
攻撃分類
ランサムウェア
フィッシング
目次
専門家が解説!今週のサイバーセキュリティの脅威と対策のポイント
今週のハイライト
- 2025年総括、サプライチェーン攻撃と新手口の拡大を警告
- 国内通販大手で侵入が4カ月間未検知、約74万件の個人情報が流出
- 米700Creditや仏内務省で侵害確認、APIやメールが攻撃起点に
今週の国内外の事例において「侵入の検知に要する時間」が被害の規模を決定づけている現実が浮き彫りになっています。国内通販大手のケースでは、侵入から検知までに約4カ月を要し、この長期潜伏の間に攻撃の準備が進められた結果、ランサムウェアの起動と同時に約74万件の個人情報が流出する事態に至りました。
同様に、米国700Creditの事例では、提携パートナーからの通知遅延によって侵入が長期化し、サプライチェーンを介して560万人超への被害連鎖を招いています。 多要素認証(MFA)が適用されていなかったという基本的な対策の欠如は、攻撃者が内部で自由に活動できる時間を大幅に延ばし、検知遅延を悪化させる主要因となりました。
トレンドマイクロの総括が指摘する通り、サプライチェーンやクラウド、生成AIなど攻撃面が広がる中では、侵入経路を完全に塞ぐことは困難です。重要なのは、侵害を前提に「異常を早期に把握し、いかに迅速に復旧できるか」という視点が不可欠です。そのためには、ネットワークから隔離したバックアップの確保や、有事を想定した復旧手順を平時から訓練しておくことが必要であり、こうした備えが有事の判断スピードと組織の耐性を左右します。
認証セキュリティの強化をご検討中でしたら、ぜひ弊社までご相談ください。クラウドサービスへの多要素認証(MFA)導入やパスワードレス認証に関するオンライン無料相談を受け付けております。
国内の主なインシデント
2025年を総括、サプライチェーン攻撃や新手口に警鐘 - トレンドマイクロ
トレンドマイクロは12月11日、2025年の国内セキュリティインシデントに関するレポートを公開しました。
このレポートによると、2025年は1日あたり1.5件のセキュリティインシデントの公表があったといいます。また、ランサムウェア被害は依然として深刻で、物流大手や飲料メーカーなどでの大規模な事業停止や、業務委託先への攻撃が連鎖するサプライチェーン攻撃による被害も目立ちました。加えて、暗号化を行わずにクラウド上のデータを削除する手口や、生成AIの悪用といった新たな傾向も指摘されています。
同社は、被害組織自ら攻撃経路やインシデントの要因を共有している事例は、サイバーリスクが発生しやすい箇所が把握できる貴重な情報源であるとして、業種・組織規模問わずインシデント情報に触れることを推奨しています。
通販大手で74万件流出、多要素認証なく侵入許す 調査結果
12月中旬、通販大手は10月に発生したシステム障害に関する調査結果を公表しました。この攻撃により約74万件の個人情報が流出したとしています。
今回発表された内容によると、攻撃者は6月から同社のシステムへ侵入していたものの、10月に大規模な障害が発生するまで検知できなかったといいます。攻撃者は当初窃取した認証情報を悪用しネットワークに侵入した後、複数のサーバにアクセスするための認証情報の収集を試みたとされています。
同社は、今回の不正アクセスの原因となったアカウントは多要素認証を適用していなかったことが原因の一つとし、対策として全てのリモートアクセスにMFAの徹底や管理者権限の厳格な運用など、セキュリティ対策を強化する方針だと説明しています。
国外の主なインシデント
仏内務省、電子メールサーバーへのサイバー攻撃を確認
フランス内務省は、12月11日夜から12日にかけて同省のメールサーバーがサイバー攻撃を受け、不正アクセスがあったことを公式に認めました。
攻撃者は一部の文書ファイルにアクセスしたものの、現時点で情報が盗まれたかどうかは確認されていません。内務省は直ちにセキュリティ手順を強化し、職員が利用する情報システムのアクセス管理を厳格化しました。
内務省は警察や国内治安、移民行政を統括する重要機関であり、国家支援型ハッカーや犯罪集団にとって価値の高い標的とされています。フランス当局は攻撃の発生源と範囲を特定するため、捜査を開始しましたが、現時点では、犯行主体は特定に至っていません。
信用情報大手700Creditが大規模な情報漏洩を公表
北米の自動車販売業者向けなどに信用調査や本人確認サービスを提供する700Creditは、2025年10月下旬、サードパーティAPIの侵害を起点とするサプライチェーン攻撃を受け、560万人以上の個人情報が流出する大規模なデータ侵害に見舞われました。
提携パートナーとの連携に使用していたAPIの一つが侵害されていたにもかかわらず、該当パートナーから700Creditへの通知が遅れたことが、被害拡大の一因となったとされています。
攻撃は2週間以上にわたって継続し、APIが遮断されるまでの間に、攻撃者は消費者記録の約20%に相当する氏名、住所、生年月日、社会保障番号などの機微な個人情報を取得しました。同社の内部システムや決済情報は侵害されていないものの、流出した情報が巧妙なフィッシング詐欺に悪用される可能性が指摘されています。
