2025年7月18日 週刊インシデントまとめ

金融庁は7月15日、「金融商品取引業者等向けの総合的な監督指針」等の一部改正（案）を公表しました。

この指針案は、相次ぐ証券口座への不正アクセス問題を踏まえてインターネット取引における認証方法や不正防止策を強化するために改訂を行うとのことです。

改正案には「ログイン、出金、出金先銀行口座の変更など、重要な操作時におけるフィッシングに耐性のある多要素認証（例：パスキーによる認証、PKI（公開鍵基盤）をベースとした認証）の実装及び必須化」との文言も盛り込まれており、安全な金融商品取引の環境構築に向けた取り組みが確実に進められていることがわかります。

7月上旬、保険事故調査、保険や共済に関する調査等を行う企業がランサムウェア被害を公表しました。

サーバーが第三者により不正アクセスを受け、保存されていたファイルが暗号化されたとのことです。本事案の原因および漏洩の恐れがある情報は現時点で調査中としています。しかし、同社に業務委託をしていたとして複数の保険会社も顧客情報が漏洩した恐れがあることを発表しています。

当該被害企業はすでに被害の全容把握や復旧に向けて対応や調査を進めており、新たにお知らせすべき内容が判明した場合は速やかに情報を開示するとしています。

モバイルセキュリティを提供するLookoutの報告によると、企業はモバイルフィッシング詐欺への備えが不十分な状態にあることが判明しました。約6割の企業が役員になりすます音声やテキストによるフィッシング攻撃を経験し、過去半年間で77%が何かしらの攻撃を受けています。しかし、これほど広範な脅威であるにもかかわらず、「非常に懸念している」と回答した企業は半数に過ぎません。

ハッカーはモバイルを介したフィッシングメッセージを多用し、従業員からパスワードを騙し取り、企業ネットワークへ侵入しています。こうした手口は従来のセキュリティ監視では見過ごされがちです。

Lookoutは、多くの攻撃が気づかれず防御を難しくしていると指摘しています。実際、96%のセキュリティリーダーが従業員はフィッシングを見破れると自信を持つ一方で、半数以上が役員なりすまし詐欺の被害に遭っているという、認識と現実のギャップが浮き彫りになりました。

Webブラウザ「Firefox」を提供するMozillaの研究者が、Google Gemini for Workspaceのメール要約機能に新たなフィッシングの脆弱性を発見しました。この手口では、攻撃者がHTMLとCSSを使い、人間には見えない悪意のある指示をメール本文に埋め込みます。これにより、添付ファイルやリンクがなくても、悪質なメールが受信箱に届きやすくなります。

受信者がGeminiにメールの要約を求めると、Geminiは隠された指示に従い、「Gmailパスワードが侵害された」といった偽の警告や詐欺グループにつながるサポート連絡先を要約に含んでしまいます。多くのユーザーはGeminiの出力を信頼しやすいため、これを正規の警告と誤認し、提示された電話番号に連絡してしまう恐れがあります。その結果、フィッシング詐欺に巻き込まれる危険性が高まります。

Mozillaの研究者によると、このプロンプトインジェクション攻撃はすでに講じられた対策をすり抜けてしまうとのことです。Googleは防御を強化中としていますが、ユーザーはGeminiが生成したメール要約をセキュリティ警告として鵜呑みにしないよう注意が必要です。