今週のセキュリティニュース - 2025年8月1日

日本経済新聞によると、金融庁と警察庁は7月28日、相次ぐ証券口座への不正アクセス問題を踏まえ、金融業界全体に不正アクセス対策の強化を要請したとのことです。

これは安全性が確保できない場合はサービス停止の検討を促す異例の内容だと言います。

フィッシング詐欺やパスワードリスト型攻撃が巧妙化する中、情報資産を守るためには、従来のパスワード認証に代わる仕組みが不可欠です。金融業界に限らずパスキー（FIDO2）認証を利用することでより安全で強固な認証を有効的に活用することが推奨されます。

今年3月にランサムウェア攻撃の被害を受けた小売業の企業が、7月下旬に続報を公表しました。

それによると、同社が管理する情報の一部が第三者に閲覧された可能性があるとのことです。漏洩が否定できない情報は顧客や取引先、従業員の個人情報、約45万件が対象だとしています。

同社は被害発覚直後から調査を開始しており、必要な対策を検討・実施しているとのことです。今後も再発防止の徹底に努めるとしています。

米国連邦捜査局（FBI）と米国サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）は、カナダ、オーストラリア、英国の機関と協力し、脅威グループ「Scattered Spider」（別名UNC3944、Oktapusなど）に関する注意喚起を発表しました。

同グループは、ITヘルプデスクを装って従業員から認証情報を盗み、リモートアクセスソフトを使ってシステムに侵入します。また、MFA通知を繰り返して強引に承認させる「MFA疲労」攻撃や、SIMスワップによる認証制御の奪取といった手口も確認されています。

FBIとCISAは緊急対策として、オフラインで隔離されたバックアップの保持、フィッシング耐性のある多要素認証（MFA）の導入、リモートアクセスソフトの監視と制限、FIDOやPKIベースの認証導入、パスワードリセット時の本人確認手順の厳格化などを推奨しています。

Microsoft Authenticatorは2025年8月1日をもって、パスワード管理や自動入力機能の提供を終了します。以降、保存されたパスワードにアクセスするには、MicrosoftのEdgeブラウザを使用する必要があります。

この変更は、Microsoftがより安全で簡単なログイン方法であるパスキーへの移行を進めているためです。近年、パスワードを狙ったサイバー攻撃が急増していることから、Microsoftはパスワードからの脱却を目指しています。

これまでMicrosoft Authenticatorアプリは、多要素認証、ワンタイムパスワード、生体認証ログインを提供する主要なツールでした。しかし、パスワード管理と自動入力機能はEdgeブラウザへ移行され、アプリはパスキーに対応したサービスへの認証機能のみを継続します。