今週のセキュリティニュース - 2025年8月15日

金融庁は8月7日、相次ぐ証券口座への不正アクセス・不正取引の問題に関して継続的に注意喚起を行っているページを更新しました。

今回更新された情報によると、7月に発生した不正アクセス件数は970件と前月に比べ減少したものの、不正取引金額は増加しています。なお、多要素認証（MFA）の必須化を進めている証券会社もあるものの、被害を完全に防ぐことはできていないことがわかります。

証券口座に限らず、金融資産・情報資産を守るためには、フィッシング攻撃に強いMFAであるパスキー（FIDO2）認証といった、より安全で強固な認証を有効的に活用することが推奨されます。

8月上旬、教育機関から1万人を超える規模の個人情報が漏洩した可能性が公表されました。

漏洩の可能性があるのは、過去20年以上にわたる卒業生や教職員の氏名、連絡先、学内システム用のIDが含まれるといいます。原因となったのは、この学校への直接的な攻撃ではなく、システムの管理を委託されていた外部企業へのサイバー攻撃だったとのことです。

漏洩した情報が悪用されるなどの二次被害は確認されていないとのことですが、当該学校は本事案を踏まえ、改めて個人情報の取り扱いについて注意喚起を行うとともに再発防止に努めるとしています。

データ保護とランサムウェア復旧ソリューションを提供するVeeam傘下のCovewareが発表した「Q2 2025 ransomware report」によると、ランサムウェア攻撃は従来の大規模かつ無差別な手法から、ヘルプデスクなどを装う標的型のソーシャルエンジニアリング攻撃が主流に移行していることが明らかになりました。

攻撃の焦点もシステム暗号化からデータ窃取へとシフトしており、全ケースの74％でデータ流出が発生。これに伴い、身代金の平均支払い額は113万ドルにまで急増しており、特に従業員数11〜1,000人の中規模企業が全被害の64％を占めています。

レポートは、認証情報の窃取やフィッシングに加え、ソーシャルエンジニアリングが最大の脆弱点であると指摘しています。企業に対し、従業員のセキュリティ意識向上とデータ流出リスクへの緊急対応を求めています。

新たなフィッシングツールを使う「PoisonSeed」が、個人や組織を標的とする高度な攻撃で急速に存在感を強めています。

このツールは、SMSや認証アプリを利用した多要素認証（MFA）を回避し、IDやパスワードだけでなく、MFAトークンやセッションクッキーまで窃取します。

攻撃者は、正規サービスを装ったスピアフィッシングメールを送り、標的を事前に精査したうえで偽のログイン画面を表示する「精密検証型フィッシング」という手法を採用しています。この脅威に対抗するため、レポートではPoisonSeedが回避できないFIDO2のような、より強固なMFAの導入を推奨しています。