2025年7月25日 週刊インシデントまとめ

総務省は7月18日、4月に発生した通信大手の不正アクセス被害による情報漏洩を受けて行政指導を行いました。

この指導は、当該企業への再発防止策だけでなく「業界全体の将来的なサイバーセキュリティ水準の向上へ向けた取組み」を求めている点が特筆されます。

サイバー攻撃が巧妙化の一途を辿る中、多くの顧客情報を預かるIT企業には、個社の対策に留まることなく、業界全体で連携し、業界全体の強固なセキュリティ対策の重要性が強く示唆されていると言えるでしょう。

7月中旬、サービス業を営む企業が運営するサイトに不正アクセスがあり、データベース内の情報が漏洩した可能性があることが判明しました。

発覚のきっかけは同社の顧客からの「企業を装った偽ドメインからフィッシングメールが届いた」との報告があったことだとしています。同社は既に専門機関による調査やセキュリティ対策の実施を進めており、今後も継続して行うと言います。

特定のサービスから窃取された個人情報を悪用したフィッシング攻撃では、受信者の興味に合わせた巧妙なフィッシングメールが送られてくる危険性が高まります。メールに記載されたURLを安易にクリックしないといった基本的な対策が、改めて重要になると考えられます。

セキュリティ企業Expelが報告したフィッシング攻撃により、FIDOによる多要素認証（MFA）が無効化されたとの情報が話題になっています。しかし実際には、FIDOの保護を直接破ったのではなく、より弱い認証方式に「ダウングレード」させた攻撃でした。

攻撃グループ「PoisonSeed」は、偽のログインページを使い、ユーザーのIDとパスワードを入力させます。その情報を使い、攻撃者は本物の認証サイトでクロスデバイス認証を選択します。表示されたQRコードを偽サイト経由でユーザーに提示し、ユーザーがスマホで読み取ると、攻撃者が不正ログインに成功します。

しかし、本来のFIDO仕様に沿っていれば、デバイス間の近距離通信や正規ドメインとの紐付けが必須となるため、この攻撃は成立しません。今回の事例は、管理者側がFIDO以外の認証手段を許可していたことにより発生したもので、Expel社はこれを「FIDOバイパス」ではなく「ダウングレード攻撃」と位置付けています。

Microsoftは、SharePointサーバーの脆弱性を悪用したサイバースパイ活動が、ランサムウェアによる攻撃へと発展していると発表しました。

「Storm-2603」と呼ばれるグループが脆弱性を利用し、被害者のネットワークを麻痺させてデジタル通貨で身代金を要求しています。オランダのセキュリティ企業Eye Securityによれば、被害はすでに少なくとも400組織にのぼり、実際はさらに多い可能性があるとのことです。

被害の詳細はほとんど公開されていませんが、米国国立衛生研究所（NIH）や国土安全保障省（DHS）など複数の米政府機関が攻撃を受けたと報じられています。