今週のセキュリティニュース - 2025年6月6日

米国のサイバーセキュリティ企業、Proofpointの調査によると、2024年12月から日本をターゲットにしたメール攻撃が爆増、2025年2月の全世界のメール攻撃のうち8割が日本をターゲットにしているとのことです。

生成AI技術の進化により、非常に自然で巧妙な日本語で書かれていたり日本の文化や商習慣が正確に模倣できるようになったことや、メールの作成や配信を自動化するツールやサービス「Phishing as a Service (PaaS)」などにより、専門知識を持たない攻撃者でも容易に攻撃を行えるようになったことなどが理由の一つとして考えられます。

証券口座の乗っ取りなどが問題視されている今、送信元アドレスの確認やリンク先のURLを安易にクリックしないなど、改めて基本的な対策をより一層徹底する必要があるといえます。

朝日新聞の記事によると、ダークウェブ上の闇サイトなどに、日本の証券口座のID・パスワードといった認証情報が少なくとも約14万件掲載されていたとのことです。

ダークウェブではID・パスワードだけでなく、マルウェアの作成などサイバー攻撃を行うためのツールなどが取引されていると言われています。フィッシングやマルウェア感染などによりパスワードが漏洩するリスクは非常に高く、窃取された認証情報の売買が行われているのが現状です。

パスワードはどこかで漏洩している可能性があるという前提で考え、多要素認証やFIDO認証、デバイス証明書などを有効的に活用し、セキュリティ対策を行うことが推奨されます。

GoogleがMorning Consultと共同で実施した調査によると、米国ユーザーのセキュリティ習慣には世代ごとに明確な違いが見られました。

調査では、ジェネレーションXやベビーブーマー、ミレニアル世代の多くが、ソーシャルサインインなどの新しい認証ツールに慣れているにもかかわらず、依然としてパスワードと二要素認証などの古いログイン方法を使い続けていることが明らかになりました。

一方、ジェネレーションZや若いミレニアル世代では、パスキーやソーシャルサインインといった新しい認証技術への依存度が高まっています。その結果、パスワードを定期的に変更する習慣が弱まっている傾向が見られます。このような傾向についてGoogleは、「古いパスワード管理方法に固執するよりも、安全性と利便性を兼ね備えた現代的なサインイン方法を選ぶ姿勢は歓迎すべきことだ」としています。

イギリスに拠点を置くセキュリティ企業 Abnormal AI は、調査レポート「Read, Replied, Compromised: Data Reveals 44% Engagement Rate with VEC Attacks」を公開しました。

この報告書によると、大企業においてVEC（Vendor Email Compromise／ベンダー型メール詐欺）メッセージを読んだ従業員のうち、72％が返信や転送などの行動を取っていたことが明らかになりました。過去1年間に世界中で発生した総額300億ドル超の詐欺未遂を助長したと報告されています。さらに、VEC攻撃に対する従業員の反応率は、従来型のBEC（Business Email Compromise）攻撃よりも90％高い水準にあるとされています。

Abnormal AIのCIOは、「VECの発生件数自体は、一般的なフィッシングやランサムウェア攻撃と比べると少ないものの、その成功率や財務的インパクトは極めて大きい。特に、攻撃者がAIを武器にして信頼できるベンダーを巧妙に装えるようになったことで、その脅威は一層深刻になっている」と述べています。