今週のセキュリティニュース - 2025年5月2日

コンサルティングなどを行うKPMGジャパンは、国内企業を対象にしたサイバーセキュリティに関する実態調査の結果をまとめた「サイバーセキュリティサーベイ2025」を発表しました。

この調査結果によると、サイバーインシデントの合計被害額は年々高額化しており、1億円を超える被害があった企業も増えていることがわかります。特に「自社の機密情報が漏えいした」「自社の従業員の個人情報が漏えいした」が大きく増加しています。

業務上の被害があったサイバー攻撃は「ランサムウェア」という回答が最多で、業務上の被害はなかった攻撃と合わせると 「フィッシング」「マルウェア」「不正送金等を指示するビジネスメール詐欺」の攻撃が多いことが明らかになりました。生成AIの発達により、自然な日本語でのビジネスメール攻撃が増えていることにも注意が必要です 。

電力会社が2025年4月、社内ネットワークの一部への不正アクセスを発表しました。

同社によると、従業員等の個人情報などを保存した社内システムへ外部から接続するための機器に対し、第三者による不正にアクセスされる被害が発生したとのことです。これにより合計約1万5千人以上の個人情報が外部に流出した可能性があると公表しています。

なお、顧客情報や電力供給システムへの影響は確認されていないとのことです。同社は直ちに接続機器をネットワークから切り離しを行っており、今後は情報セキュリティ対策と監視体制を強化し、再発防止に努めるとしています。

サイバー攻撃グループが、過去に報告された古い脆弱性（CVE）を使い、VPNやルーター、ファイアウォールなどのネットワーク機器を狙った攻撃を活発化させていると、GreyNoise Intelligenceが報告しました。

この調査によると、こうした再利用される脆弱性の多くはサポートが終了した製品に存在し、パッチの未適用や監視不足を突いて悪用されています。特に、VPNやルーターなどの「エッジ機器」に集中しており、攻撃の約4割は2020年以前に発見された脆弱性を利用していました。

また、古い脆弱性は攻撃ツールとして安価に入手できることも背景にあり、攻撃者にとって手軽な攻撃手段となっています。

KnowBe4が発表した2025年Q1フィッシングレポートによると、従業員が最もクリックしやすかったのは、人事やITなどの内部部門を装ったメールで、全体の60.7％が社内連絡を模倣し、特に人事関連が49.7％を占めました。

例としては「Zoom録画の共有」「研修報告」「メールサーバーの警告」などが挙げられます。これらは多くの場合、受信者の不安や急ぎの反応を誘発することでリンクのクリックや添付ファイルの開封を狙っています。

また、Microsoft、LinkedIn、Googleなど信頼性の高いブランドを模した偽装サイトも依然として有効で、クリックの68.6％がドメインなりすましに関係していました。さらに、QRコードやPDFなどの添付ファイルを使った攻撃も目立ちます。KnowBe4のCEOは、こうした心理的手口に対抗するため、従業員のセキュリティ意識と確認習慣の育成が重要だと述べています。