今週のセキュリティニュース - 2025年3月21日

総務省、警察庁及び経済産業省は3月13日、「不正アクセス行為の禁止等に関する法律」第10条第1項の規定に基づき、不正アクセス行為の発生状況及びアクセス制御機能に関する技術の研究開発の状況を公表しました。

令和6年における不正アクセス行為の認知件数は5,358件、不正アクセス禁止法違反事件の検挙件数は563件、検挙件数についての手口別内訳では、IDやパスワードを窃取し悪用する「識別符号窃用型」が511件と全体の90％以上を占めています。

また、防御上の留意事項についても複数挙げられており、アクセス管理者の講ずるべき措置の中で「次世代認証技術（パスキー）の積極的な導入等により認証を強化する」ことも言及されています。

3月中旬、衣料品の製造小売業を行う企業グループが不正アクセスの被害に遭い、個人情報漏洩の可能性があることがわかりました。

同社が管理する情報システムが昨年9月に外部からの不正アクセスを検知、調査を進めた結果、原因は委託先事業者によるネットワークの設定不備によるものであること、従業員等の一部の個人情報が漏洩した恐れがあることが判明したとしています。

当該企業は不正アクセスを検知後、直ちに通信経路を遮断する等対策を行っており、今後、同様の事象が発生しないよう、より一層のセキュリティ強化と安全性の確保に努めるとしています。

脅威インテリジェンスプロバイダーであるFlashpoint 社が発表した最新のレポートによると、2024年に脅威行為者によって侵害された認証情報は32億件を超え、前年から33%増加しました。盗まれたデータは不正なマーケットプレイスに流通し、ランサムウェアをはじめとする違法なキャンペーンに悪用されています。

主な脅威ベクトルはユーザーの機密情報を盗み出すことを目的としたマルウェアの一種である「インフォスティーラー」であり、2024年に盗まれた認証情報の75%がこのマルウェアを介して取得されたものです。

レポートでは、「インフォスティーラーの手軽さ、効果の高さ、広範な入手性、そして低コストが、ランサムウェアや重大なデータ侵害の主要な媒介としての役割を強めており、2025年にはすべての組織が積極的な監視を求められる」と警鐘を鳴らしています。

FBIと米国サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）は、危険なランサムウェア詐欺に関する勧告を発表しています。このセキュリティ勧告によると、2021年から活動を開始した「Medusa」と呼ばれるランサムウェア・アズ・ア・サービス（RaaS）が、最近になって数百人に影響を及ぼしているとのことです。CISAによれば、Medusaは主にフィッシングキャンペーンを通じて拡散し、被害者の認証情報を窃取します。

ランサムウェア被害を防ぐため、当局は電子メールやVPNなどのすべてのサービスで多要素認証（MFA）を導入することに加え、オペレーティングシステムやソフトウェア、ファームウェアの定期的なパッチ適用を推奨しています。

Medusaは「二重恐喝」モデルを採用しており、身代金が支払われなかった場合、被害者のデータを暗号化するだけでなく、盗み出したデータを公開すると脅迫します。また、被害者の情報とデータ公開までのカウントダウンを表示するデータ流出サイトを運営していることも確認されています。