今週のセキュリティニュース - 2025年5月9日

2025年5月1日木曜日は「World Password Day」（世界パスワードの日）でした。これは、パスワードの重要性を啓発するために、毎年5月の第1木曜日に定められています。

近年では、パスワードに代わるより安全で便利な認証技術である「パスキー」の普及を推進するため、同じ5月の第1木曜日は「World Passkey Day」（世界パスキーの日）としても注目されています。

日本国内においてもサイバー攻撃による被害がほぼ毎日発生している昨今、この記念日を機に、改めてパスワードの重要性を認識すると同時に、パスキーという新たな認証技術への移行を検討する良い機会と捉えることができるでしょう。

2025年5月上旬、情報通信業を営む企業が提供する情報発信のためのプラットフォームにおいて、第三者による不正アクセス被害が発生し、情報漏えいの可能性が明らかになりました。

同社によると4月に第三者による偵察と推察されるものも含めて複数回不正アクセスを受け、この被害により漏洩の可能性があるのは最大で90万件程の個人情報や、プレスリリース発表前情報などが含まれるとのことです。

同社は既に不正アクセス経路を遮断するなど対策を行っているとのことですが、発表前の重要情報をお預かりするプラットフォーム運営企業として、より一層のセキュリティ対策と監視体制の強化に努めるとしています。

北米の航空会社は、老朽化したITインフラの課題に直面する中、サイバーセキュリティとAIへの投資を加速させています。2024年7月にはデルタ航空がソフトウェアの不具合による大規模なIT障害で数千便を欠航、9月にはRhysidaランサムウェアによる攻撃でシアトル港が被害を受けるなど、実際の脅威が顕在化しています。

航空業界向けのITと通信サービスを提供するSITA（国際航空情報通信機構）の報告によれば、北米の航空会社のおよそ8割が、2025年までのIT優先事項のトップ3にサイバーセキュリティを挙げ、そのうちほぼ半数がサイバーセキュリティを最優先事項としました。

サイバーリスクでは特にサードパーティ関連の攻撃が懸念されており、業界は特権アカウント管理、シングルサインオン、DDoS対策への投資を重点的に行なっているとのことです。

英国政府は2025年末までに、GOV.UKのオンラインサービスにおいて、現在のSMSベースの二要素認証を廃止し、パスキーによる認証方式への移行を完了させる方針を発表しました。

この移行は、サイバー攻撃リスクを減少させ、より安全かつ迅速なログイン体験を提供することを目的としており、サイバーセキュリティに関する主要なイベント「CYBERUK 2025」にて発表されました。NHS（英国国民保健サービス）はすでにパスキーの導入を進めており、成功事例が他の機関にも共有されています。

パスキーは、ユーザーのデバイスに保存された秘密鍵とサーバーに保管された公開鍵を使用した公開鍵暗号技術に基づいており、ユーザーは生体認証を用いて本人確認を行います。この方式はパスワードのように忘れる心配がなく、盗まれるリスクやフィッシング攻撃にも強いとされています。