サイバー攻撃関連
今週のセキュリティニュース - 2025年3月28日
ポスト今週のセキュリティニュースへようこそ!
ここでは、国内・国外で過去数日間に起こったサイバーセキュリティ関連のニュースやレポートなど、知っておくべきことをお伝えします。ぜひご覧ください。
国内
企業IT利活用動向調査2025 - JIPDECとITR
日本情報経済社会推進協会(JIPDEC)とアイ・ティ・アール(ITR)は「企業IT利活用動向調査2025」の結果を発表し、生成AIの利用状況、DXの取り組み、テレワークの実施状況、ランサムウェア感染経験、プライバシーガバナンスへの取り組みなど、企業のIT活用に関する広範な内容が明らかになりました。
この調査結果によると、回答した1,110名のうちランサムウェア感染経験がある企業は48%に上り、そのうち20%がVPNやネットワーク機器の脆弱性を悪用されたとしています。
VPN機器等の脆弱性は、パッチ(修正プログラム)が公開される前や公開後にパッチを適用していない組織への攻撃に悪用されます。VPNを常に最新の状態に保つ、もしくはVPNに依存しすぎない運用が求められます。
参照:ZDNET Japan「企業の45%が生成AI利用、日常業務では8割以上が成果認識--JIPDECとITR調査」
参照:日経クロステック「侵入型ランサムウエア攻撃が最大の脅威に、狙われる脆弱性の傾向と対策を解説
システムの脆弱性を突かれ不正アクセスの被害に
食品の製造販売を手掛ける企業のオンラインショップで、不正アクセスの被害により個人情報漏洩の可能性があることが3月中旬にわかりました。
システムの脆弱性を突いたことによる第三者の不正アクセスが原因で、サイト内のプログラムの一部が不正に改竄され、クレジットカード情報等顧客の個人情報が漏洩したとのことです。
当該企業は既にクレジットカード会社と連携して不正利用の防止に努めており、また、本事案の調査結果を踏まえてシステムのセキュリティ対策および監視体制の強化、再発防止を図るとしています。
参照:日経クロステック「はたけなかオンラインショップで不正アクセス、824人分のクレカ情報漏洩の恐れ」
国外
企業ユーザーの4分の3が機密情報をGenAIアプリにアップロード - Netskope Threat Labs調査
クラウドセキュリティ企業Netskopeのリサーチ部門であるNetskope Threat Labsは、「2025 Generative AI Cloud and Threat Report」を発表しました。このレポートによると、企業ユーザーの4分の3が、パスワードやアクセス認証情報などの機密情報を生成型AI(GenAI)アプリにアップロードしていることが判明しました。
レポートでは、過去1年間で、企業ユーザーがGenAIアプリに送信したデータ量は30倍に増加したとしており、その中には、ソースコードや規制対象データ、知的財産などの機密情報も含まれていたとのことです。
さらに、72%の企業ユーザーが個人アカウントを使って業務目的でGenAIアプリにアクセスしており、これが組織にとって重大なセキュリティリスクを生んでいると指摘されています。
参照:Cyber Security News「3 in 4 Enterprise Users Upload Data to GenAI Including Passwords and Keys」
通勤中のスマホ利用に潜む情報漏洩の危険 - Nord Security調査
サイバーセキュリティ企業Nord Securityの調査によると、アメリカの75%の通勤者がスマートフォンを使用しており、そのうち23%は移動中に他人にデバイスを覗き見された経験があると答えています。
このように他人の画面を覗き見る行為は「ショルダー・サーフィン」と呼ばれ、公共の場、特に公共交通機関でよく見られます。この行為によって、デバイスの所有者が気づかないうちにパスワードや個人メッセージ、銀行情報などの機密情報が覗かれる危険があります。
