今週のセキュリティニュース - 2025年5月16日

日経クロステックの記事によると、2025年4月中旬に公表されたメールセキュリティサービスでの不正アクセス被害について、Living off the Land（LotL/環境寄生型）攻撃の手法が用いられていたとのことです。

LotL攻撃とは、OSに標準搭載されている機能やシステム管理者が使用する正規のツール（PowerShellなど）を悪用する手法です。システムログに残る痕跡が正常な操作と類似しているため、攻撃の検知や通常の業務との区別が困難だと言われています。

対策としては、必要最小限の権限を付与する、多要素認証を導入する、不要なアプリケーションを削除する、定期的にセキュリティトレーニングを実施するなど、他のサイバー攻撃対策と同様に組織全体の防御力を高めることが大切だとされています。

大手飲食グループが運営する持ち帰り専用サイトで、2025年5月上旬に第三者による不正アクセスが発生しました。システム障害の調査で判明したとのことです。

同社は不正ファイルの削除とネットワーク遮断を実施しており、当該テイクアウトサイトは現在閉鎖されているとのことです。他の関連サイトやアプリへの影響はないとしています。約150名分の顧客情報（氏名、クレジットカード情報含む）漏洩の可能性があるとのことですが、現時点で二次被害は確認されていないといいます。

なお、影響範囲の調査は専門家も交えて実施しているとのことで、今後公表すべき事項が判明した場合は速やかにお知らせするとしています。

サプライチェーンのサイバーセキュリティを分析するBlack Kiteの報告によると、ランサムウェアの被害が公開された件数は6,046件に達し、前年比で24％増、2023年と比べて2倍以上に増加したとのことです。

LockBitやAlphaVといった大規模なランサムウェアシンジケートが崩壊した現在、ランサムウェアはもはや一部の巨大組織によって支配されていません。現在は、混乱を引き起こし、身代金を要求し、それを繰り返すという共通の目的を持つ、小規模で比較的経験の浅いグループが複数活動しています。

このような状況下で、リソースや人材、備えが不足しがちな中小企業（年商400万〜800万ドル規模）が最も頻繁に標的となっています。実際、取引先や外部ベンダーなど、第三者を経由して発生したセキュリティ侵害のうち、およそ67％がランサムウェアによるものでした。

セキュリティ意識向上トレーニングを提供するKnowBe4の最新レポートによると、効果的なセキュリティトレーニングは、フィッシング攻撃に対する従業員の脆弱性を減少させることが示されています。

業界別のフィッシング脅威ベンチマークレポート「Phishing by Industry Benchmarking Report 2025」によると、セキュリティ意識向上トレーニングを受ける前、フィッシングに引っかかる従業員の割合（Phish-prone Percentage、PPP）は37.1％であり、その後90日間のトレーニング後にPPPは19.6％、1年後にはさらに3.9％までの減少が確認されました。

この結果は、継続的なトレーニングが従業員の行動を長期的に変化させ、組織のセキュリティ文化を強化する重要性を示しています。