今週のセキュリティニュース - 2025年12月5日

中小企業の経営者などを対象に実施した、サイバー攻撃対応力と復旧体制に関する調査結果が11月下旬に発表されました。

調査結果によると、約8割の企業が直近のサイバー攻撃報道を受けて「自社にも起こり得る」と不安視しており、主な理由として「顧客・取引先の信頼失墜」や「法的リスク」を挙げています。しかし一方で、人材不足などを背景に、対応体制が十分に整備されている企業は少数にとどまる実態も明らかになりました。

こうした現状を受け、対応体制整備の中で重視している点としては「データバックアップ・復旧体制の見直し」や「BCP（事業継続計画）の策定」が挙げられています。サイバー攻撃を完全に防御することが難しい現状を踏まえ、被害後の早期復旧を重視する意識が高まっていることが伺えます。

11月末、飲料メーカーグループ企業は9月下旬のシステム障害に関する調査結果を発表しました。

攻撃者はネットワーク機器を経由してデータセンターのネットワークに侵入、ランサムウェアが実行されたとのことです。この攻撃により、顧客や取引先、従業員など約191万件の個人情報の漏洩のおそれがあると公表しました。

同社はこれまでもセキュリティ対策を実施していましたが、通信経路やネットワーク制御を再設計し、接続制限をさらに厳しくするなど対策をより徹底し、再発防止に努めるとしています。

近年、サイバー犯罪はクラウドのサブスクリプション型サービスに近い形へと進化し、犯罪未経験者でも必要なツールやアクセスを月額課金で利用できるようになっています。

特にフィッシングは高度なPhaaS化が進み、AIによるスパム生成ツールや、悪意のある文書ビルダーなどが提供され、専門知識がなくても高度なフィッシング攻撃を容易に展開できるようになりました。

さらに、TelegramのAPIを利用したワンタイムパスワードボットなど、自動化されたソーシャルエンジニアリング詐欺のツールも週単位・月単位で手軽にレンタルされています。さらに、盗まれた認証情報は、犯罪者向けのサイトに最新ログとして次々と追加され、利用者はサブスク形式でそれらを入手できるようになっており、攻撃の敷居はこれまでになく低下しています。

米国のペンシルベニア大学（Penn）とフェニックス大学（UoPX）は、10月上旬に広く知られるようになったOracle E-Business Suite (EBS)へのサイバー攻撃の被害を公表しました。

Pennは総勘定元帳などに使うEBSが侵害されたとして通知を開始し、UoPXは11月21日に侵害を把握、氏名や社会保障番号、銀行口座情報などへのアクセスを確認しました。この攻撃は複数の大学に及び、ハーバード大学やダートマス大学など複数の大学に及び、キヤノンやマツダを含む100以上の組織に影響を与えています。

現在も悪用されたゼロデイ脆弱性は不明ですが、犯行声明はCl0pランサムウェアグループが出しています。