サイバー攻撃関連 Icon
サイバー攻撃関連

2025年8月4日 週刊インシデントまとめ

対象期間:8月4日〜8月8日
執筆者:ISRセキュリティニュース編集局

はじめに

週刊インシデントまとめへようこそ!
ここでは、国内・国外で過去数日間に起こったサイバーセキュリティ関連のニュースやレポートなど、知っておくべきことをお伝えします。ぜひご覧ください。

目次

専門家が解説!今週のサイバーセキュリティの脅威と対策のポイント

夏の長期休暇を狙ったサイバー攻撃の増加や、企業や組織で広く利用されているサービスの正規機能を悪用した巧妙なフィッシング被害など、今週のニュースでは依然として情報通信システムには様々な脆弱性が存在することを示しています。IPA(情報処理推進機構)が注意喚起しているように、夏季休暇中の「人手の薄い」時期は、サイバー攻撃への備えが通常と異なる時期です。対応が遅れやすく、被害が拡大するおそれがあるとして、平常時とは異なる対策を講じるよう呼びかけています。

また、公社の通販サイトへの不正アクセスでは、サイトの脆弱性を突かれたことでクレジットカード情報含む個人情報漏洩という重大な被害が発生しました。ECサイトを運営する事業者は、被害者の日常生活に直接的な影響が及ばぬよう、サイトの脆弱性管理だけでなく事後対応の迅速さと誠実さが強く求められます。

さらに、攻撃の手口も巧妙化しています。Microsoft 365の正規機能を悪用したフィッシング攻撃では、内部ユーザを装うことで、攻撃を見抜くのが難しいという新たな課題が浮き彫りになりました。また、ボイスフィッシングの事例からは、従来のメール型ではなく音声通話を使った攻撃が企業のセキュリティを突破している現実がうかがえます。

これらを踏まえると、システム・組織・人のすべてにわたる多層的なセキュリティ対策、平時からの脆弱性管理に加え、パスワードレス認証導入などの認証強化が今後ますます重要となるでしょう。企業は、クラウド利用の安全管理や内部の情報取扱いルールを厳格化し、攻撃の入口を多角的に封じる体制を整えることが求められます。

認証セキュリティ強化を現実的な方法で、段階的に実施していく流れをこちらの記事で解説していますので、ご覧ください。

参考記事:MFA(多要素認証)導入までのステップをコンサルタントが解説

認証セキュリティの強化をご検討中でしたら、ぜひ弊社までご相談ください。クラウドサービスへの多要素認証(MFA)導入やパスワードレス認証に関するオンライン無料相談を受け付けております。

無料相談を予約する

国内の主なインシデント

長期休暇中のサイバー攻撃に注意、IPAが喚起

情報処理推進機構(IPA)は8月1日、夏休みの長期休暇に向けた情報セキュリティの注意喚起を行いました。

システム管理者が不在になりがちな休暇期間を狙い、インターネットに接続された機器の脆弱性を悪用したサイバー攻撃が確認されています。万が一インシデントが発生した場合、対応の遅れが被害の拡大に繋がる恐れがあるとのことです。

IPAは、休暇に入る前と休暇が明けた後にソフトウェアの修正プログラムなどを改めて確認するなど、より徹底した対策を呼びかけています。

長期休暇中のサイバー攻撃に注意、IPAが喚起 | ISRセキュリティニュース編集局
参照: 独立行政法人情報処理推進機構2025年度 夏休みにおける情報セキュリティに関する注意喚起

公社の通販サイトで不正アクセス、個人情報漏洩の可能性

8月上旬、地域の特産品を扱う公社が運営する通販サイトに不正アクセス被害を受けたことがわかりました。

この被害により、過去の特定の期間に商品を購入した利用者、およそ6,900人分の氏名や住所などの個人情報が流出した可能性があるとのことです。このうち、およそ2,900人分については、クレジットカードの情報も流出した可能性があるとのことです。

公社は警察からサイトの脆弱性について指摘を受け、それ以降はクレジットカードの利用を停止していたといいます。公社は不正利用の確認を進めているほか、システムのセキュリティ対策と監視体制を強化し、再発防止を図るとしています。

公社の通販サイトで不正アクセス、個人情報漏洩の可能性 | ISRセキュリティニュース編集局

国外の主なインシデント

Microsoft 365の正規機能を悪用した内部偽装型フィッシング攻撃

サイバーセキュリティ企業Proofpointの調査で、Microsoft 365の正規機能である「Direct Send」機能と未保護のSMTPリレーを悪用した、巧妙なフィッシング攻撃が明らかになりました。

この攻撃は、本来プリンターなどからの認証不要なメール送信を目的とした機能を悪用するもので、攻撃者はWindows Serverを経由して外部のSMTPリレーを利用し、DigiCertのSSL証明書を偽装するなど高度な手法で、社内から送信されたように偽装します。

また、「業務連絡」や「送金依頼」といった件名が使われるため、受信者は内容を疑うことなく信用してしまいがちです。これにより、Microsoftのセキュリティ機能でも完全に防ぐことが困難なため、ProofpointはDirect Send機能の無効化、メール認証(SPF、DKIM、DMARC)の厳格化、未認証リレーIPの監査などの対策を推奨しています。

Microsoft 365の正規機能を悪用した内部偽装型フィッシング攻撃 | ISRセキュリティニュース編集局

ボイスフィッシング攻撃で大手IT企業の顧客情報が一部流出

クラウドサービスを提供する大手IT企業の担当者が、音声通話を使ったフィッシング(ボイスフィッシング)攻撃の被害に遭い、同社が利用するクラウド型CRM(顧客管理システム)の一部から、ユーザーのプロファイル情報が外部に流出しました。

漏えいしたのは氏名、所属、メールアドレス、電話番号、アカウント作成日などの基本情報で、パスワードや機密情報は含まれていません。

こうした音声フィッシングは、メールやSMSなど複数の手段を組み合わせた手口として近年増加しており、複数の大手企業も同様の被害を受けています。このような複数の手段を組み合わせた巧妙な攻撃に対し、FIDO準拠の多要素認証(MFA)が有効な対策とされています。

ボイスフィッシング攻撃で大手IT企業の顧客情報が一部流出 | ISRセキュリティニュース編集局
セキュリティニュース一覧に戻る

CloudGate UNO にご興味ある方は、
こちらからお問い合わせください。

資料請求お問合せ

English
Google Partner BadgeFido Member Logo

ISRホームページ

個人情報保護方針

ISR LOGO

© International Systems Research Co.
All Rights Reserved.

記載の会社名および商品、
サービスは各社の商標または登録商標です。

ISRホームページ

サイトマップ

利用規約

個人情報保護方針

English