今週のセキュリティニュース - 2025年8月22日

「＠IT」が8月14日に公開した情報によると、ランサムウェア攻撃被害が中小企業で増加しているとのことです。大企業がセキュリティ対策を強化する一方で、リソースが限られる中小企業は、攻撃が成功しやすい標的となりつつあるとしています。

中小企業をまず攻撃し、そこを足がかりとして本来の標的である大企業のネットワークへ侵入する「サプライチェーン攻撃」の入り口として狙われる可能性もあります。

攻撃を完全に防ぐことは不可能であるという前提に立ち、自社の事業規模や業態、取り扱う情報の重要度に合わせて対策を継続して実施することが不可欠です。

ランサムウェアグループ「Qilin」による攻撃被害が日本でも相次いでいます。日経クロステックの記事によると、Qilinは「RaaS（ランサムウェア・アズ・ア・サービス）」と呼ばれる分業体制で活動しているのが特徴で、攻撃実行役のアフィリエイトにランサムウェアを提供し、自身は身代金交渉を担当しているといいます。

Qilinは医療サービスを重点的に攻撃対象としているといい、日本も例外ではありません。医療だけでなく、製造業への攻撃の犯行声明も出ているようです。

Qilinの侵入経路としては、フィッシングメールが悪用されるケースも報告されています。そのため、「メールの送信元をよく確認する」「リンクを安易にクリックしない」といった基本的な対策が改めて重要になります。それに加え、フィッシング攻撃に強い「パスキー（FIDO2）」などを導入し、認証を強化することも推奨されます。

人事ソフトウェア大手のWorkdayは、大規模なサイバー攻撃キャンペーンの標的になったことを公表しました。攻撃者は人事部やIT部門を装い、電話やSMSで従業員に接触し、認証情報や個人情報をだまし取ろうと試みているとのことです。

今回の侵害では、Workdayが利用しているSalesforceとみられる外部のCRMプラットフォームに不正アクセスがありました。顧客のシステムや内部データに被害はなかったものの、氏名、メールアドレス、電話番号といった連絡先情報が流出しました。流出した情報は、さらなる詐欺やフィッシングに悪用される可能性があります。

この攻撃の特徴は、国際的にSalesforce環境を狙っているとされるハッカー集団 「ShinyHunters」 による大規模キャンペーンと一致しており、Google、Chanel、Adidas、Louis Vuittonなど多くの著名企業も被害に遭っていると報じられています。

サイバーセキュリティ企業Proofpointが発表したレポート「The Human Factor 2025 Vol.2」によると、フィッシング攻撃の手口が巧妙化・多様化しており、特に「ClickFix」と呼ばれる手法がこの1年で約4倍に急増しました。

この手口は、ウェブサイトの「私はロボットではありません」というCAPTCHA認証がエラーになったとユーザーを騙し、ブラウザの開発者ツールに不正なコマンドを貼り付けさせる詐欺です。

多くのユーザーは開発者ツールに不慣れなため、指示通りに操作してしまいがちで、結果として認証情報を盗まれたり、マルウェアに感染させられたりします。レポートでは、他にも遠隔操作を目的としたマルウェアや、SMSを悪用する「スミッシング」、QRコードを使う「クイッシング」といった新しいタイプの攻撃が増加していると報告しています。Proofpointは、こうした複雑な脅威に対抗するため、技術的な防御だけでなく、従業員の行動パターンに合わせた多層的な対策が不可欠だと指摘しています。