サイバー攻撃関連
2025年7月4日 週刊インシデントまとめ
ポストはじめに
これまで、オンラインバンキングの不正送金やECサイトでのクレジットカード詐欺といったサイバー犯罪は以前から問題視されてきました。しかし最近では、証券口座が乗っ取られ、株式が勝手に売買されるという新たな被害が続いています。
数日中に報告されたニュースやレポートの中から、注目すべきインシデントを国内・国外それぞれピックアップし、手口や影響、対策の動きなどを紹介します。
目次
専門家が解説!今週のサイバーセキュリティの脅威と対策のポイント
日本国内の証券口座の乗っ取りは、手口が巧妙に変化するSMSを利用し認証情報を狙うフィッシング詐欺により、多くの利用者が騙されやすい状況が未だ続いています。さらに、先週は大手小売企業でランサムウェアによるシステム停止が発生し、業務継続に支障をきたす事態となりました。こうした攻撃は、経済的損失にとどまらず、企業の信頼性や顧客情報の安全性をも大きく揺るがすものです。
一方、海外の調査に目を向けると、生成AI(LLM)の登場がもたらす新たなリスクに注目しています。LLMを検索代替として使用することで、ユーザーが誤った情報に基づいてフィッシングサイトへ誘導される危険性が指摘されています。さらに、新入社員の多くが入社後すぐにフィッシング詐欺の標的になるなど、人材面での脆弱性も顕在化しています。
これらの事例に共通するのは、「技術的な対策」と「人的な対策」の双方を強化することの重要性です。進化するフィッシング攻撃にはFIDO2対応のパスワードレス認証などの最新技術による防御が有効ですが、それだけでなく、ユーザー自身が詐欺の手口を理解し、冷静に対処できるリテラシーを身につけることが強く求められます。企業においては、「メールで来たリンクをクリックしないようにする」などといった社内ルールを決めておくなどの継続的な教育・訓練の実施と、脅威情報のタイムリーな共有が企業とユーザーを守る上でますます重要となるでしょう。
国内の主なインシデント
「証券口座乗っ取り」の現状 - トレンドマイクロ
セキュリティ対策サービスなどを手がけるトレンドマイクロが6月26日、相次ぐ証券口座への不正アクセス問題に関するレポートを公開しました。
このレポートによると、不正SMSの送信元となっている電話番号の8割以上が1日で使い捨てられたり、各証券会社が発表する内容にその都度便乗するなど、常に詐欺の手口を変化させ続けていることが指摘されています。
こうした被害を未然に防ぐためには、普段からフィッシング詐欺で行われている手法に関する情報を収集することが有効的な対策の一つとして考えられます。
大手小売会社でのランサムウェア被害
6月下旬、衣料品の小売などを手がける大手企業がランサムウェアによる被害を公表しました。
発表によると、同社グループのサーバーが第三者から不正アクセスを受け、業務データや業務用ソフトウェアが暗号化され、アクセスできない状態になっているとのことです。一部サービスを除き小売店舗は通常通り営業しているものの、同社は情報流出の有無の確認を急ぐとともに、復旧に向けた対応を進めるとしています。
同社はすでに関係機関へ報告済みであり、原因究明とシステムの復旧に全力で取り組むことで、被害を最小限に抑える考えを示しています。
国外の主なインシデント
LLMが悪用されフィッシング詐欺に利用される危険性 - Netcraft調査
フィッシング対策プラットフォームを提供するNetcraftが発表したレポートによると、大規模言語モデル(LLM)がフィッシング攻撃に悪用されるリスクが高いことが明らかになりました。LLMは、ウェブサイトのログインページを特定する際に、必ずしも信頼できる情報源ではない可能性があるとのことです。
レポートでは具体的な事例が挙げられています。あるLLMに全米大手の金融機関であるWells Fargoのログイン先を尋ねたところ、過去に顧客情報を盗むために使われたフィッシングサイトを案内されたといいます。
現在、多くのユーザーが検索エンジンの代わりにLLMを利用して情報を探す傾向にありますが、LLMの回答は信頼性に欠ける可能性があります。従来の検索エンジンでは、企業が長年SEO(検索エンジン最適化)に投資して信頼できる情報を上位表示させてきました。しかし、LLMはウェブ上からランダムに収集されたデータに基づいて回答を生成するため、その正確性や信頼性が低い可能性があると考えられます。
新入社員の7割が入社後すぐにフィッシング詐欺の標的に - Keepnet調査
ソーシャルエンジニアリング攻撃対策プラットフォームを提供するKeepnetが発表した2025年版「新入社員フィッシング脆弱性レポート」によると、新入社員の7割以上(71%)が、入社からわずか3ヶ月以内にフィッシング詐欺やソーシャルエンジニアリング攻撃の被害に遭っていることが判明しました。
レポートによると、新入社員のほぼ3分の2(71%)が、入社後90日以内にフィッシングやソーシャルエンジニアリング攻撃に騙されており、新入社員は既存社員に比べてフィッシング詐欺に騙される確率が44%も高いとされています。
ほとんどのインシデントは、経験不足、内部プロセスへの不慣れ、指示に従いたいという意欲の組み合わせから発生しており、基本的なソーシャルエンジニアリング手法が、組織のシステムや規範にまだ慣れない従業員に対して特に効果的であることを示しています。
6月に公表されたサイバー攻撃被害の内訳と見える課題
2025年6月1日〜末日のメディア公開されたサイバー攻撃被害情報をもとに、ISRが独自に調査・集計を行いました。その結果、最も多かったのは「調査中/詳細不明」とされるケースで、全体の約44%と最も多かったものの、ここでは判明している攻撃手法に注目します。
「ランサムウェア」は18.5%と依然として高水準にあり、バックアップ体制や早期検知の重要性が改めて浮き彫りになりました。また、「設定不備」が14.8%を占めたのも注目点です。これは、クラウドサービスやVPNなどの導入時の初期設定ミスがサイバー攻撃の足がかりになっている可能性があります。適切な設定と継続的な見直しが重要であることがわかります。
また、「不正ログイン/アカウント悪用」や「脆弱性の悪用」といった手口もそれぞれ7.4%を占めており、認証の脆弱性が依然として企業にとっての大きな課題であることが確認されました。パスワードリスト攻撃やフィッシング攻撃の対策としては、前述の通り、FIDO2対応のパスワードレス認証の導入が、実効性の高い防御策として有効です。
