今週のセキュリティニュース - 2025年7月11日

日本経済新聞の報道によると、相次ぐ証券口座への不正アクセス問題を受け、口座へのログイン時や出金時に生体認証など高セキュリティな多要素認証（MFA）を必須とするガイドラインの見直し案を示しました。

しかし、従来のMFAをすり抜けるリアルタイムフィッシングが新たな脅威となっています。こうした状況の中で注目されているのが、公開鍵暗号方式に基づいたパスキー（FIDO）認証や証明書認証です。これらの認証方式は、認証情報を利用者の端末に安全に保管し、正規サイト以外では認証が成立しない仕組みになっています。そのため、フィッシング詐欺に非常に強く、利便性も高いのが大きな特徴です。

証券口座に限らず、利用するあらゆるシステムで不正アクセス被害を未然に防ぐためには、MFAの設定が可能な場合は積極的に活用していくことが求められます

県立図書館は、5月末に発生した不正アクセスによるホームページへの書き込みを受け、閉鎖していたホームページを、安全対策の完了に伴い7月上旬に再開しました。

不正な書き込みは海外サーバー経由で計3件行われ、ホームページ管理ソフトへのID・パスワードの総当たり攻撃や、更新プログラムの未適用が原因であったとのことです。管理用アカウントのID/・パスワードが漏洩した可能性が高いものの、その手段は特定に至っていないとしています。

図書館はサーバーデータの完全消去とシステム再構築を実施。従来のセキュリティ対策を総点検し、アクセス制限の強化などの対策を講じたとのことです。今後は不正アクセスの監視を強化し、定期的なセキュリティチェックを徹底するとしています。

サイバーセキュリティ企業であるeSentireの調査によると、2024年から2025年第1四半期にかけて、従業員のログイン情報を狙ったサイバー攻撃が2023年と比較して156%も急増し、同社調査案件の59%を占めています。

この背景には、「Tycoon 2FA」のようなフィッシング・アズ・ア・サービス（PaaS）プラットフォームの普及があります。これは、月額200〜300ドル程度で提供され、Microsoftアカウントの認証情報やセッションCookieを窃取し、ビジネスメール詐欺（BEC）を容易にします。攻撃者はこれにより請求書の内容をを改ざんし、企業からの送金を自らの口座へ誘導するのです。

さらに、「Lumma Stealer」のような情報窃取型マルウェアは、わずか10ドルで大量の認証情報が手に入り、収集したデータを自動で分類・識別する機能によって悪用を加速させています。FBIによると、BECは2013年以降30万件以上確認されており、その被害総額は550億ドル（約8.4兆円）にのぼります。

サイバーセキュリティソリューションを提供するCheck Pointの調査によると、サイバー犯罪グループ「Scattered Spider」が、一般的な企業に加え航空業界への攻撃も標的にしていることが明らかになりました。2025年7月にはカンタス航空の600万人分の顧客情報が流出する事件が発生し、多要素認証（MFA）疲労攻撃やボイスフィッシングといった同グループの特有の手口が確認されています。

Check Point Researchは、企業ログイン画面を模倣したフィッシング用ドメインを約500件特定し、航空・小売・医療・金融など他業種に渡る攻撃準備の兆候を警告しています。

Scattered Spiderは2022年頃から活動しており、主に米英の若年層で構成されています。金銭目的でランサムウェア、認証情報窃取、クラウドインフラへの侵入を狙い、SIMスワップ、MFA疲労攻撃、リモートアクセスツールの悪用など、高度な手法を多用しています。