今週のセキュリティニュース - 2026年1月23日

金融庁は1月14日、相次ぐ証券口座への不正アクセス・不正取引の問題に関して継続的に注意喚起を行っているページを更新しました。

2025年に入ってから確認され、4月頃急増した証券口座への不正アクセス件数は合計1万7千件を超えたことが明らかとなりました。先月12月に確認された不正アクセス件数は343件と前月に比べ減少しているものの、1年経った今でも被害を完全に防ぐことはできていないのが現状です。

証券口座に限らず、金融資産・情報資産を守るためには、フィッシング攻撃に強いMFAであるパスキー（FIDO2）認証といった、より安全で強固な認証を有効的に活用することが推奨されます。

クラウドPOSサービスを提供する企業は2026年1月中旬、同社のプラットフォームで提供されていた外部アプリに起因する個人情報流出の続報を公表しました。

調査の結果、外部ベンダーが提供する特定のアプリを利用していた複数の店舗において、約13万件以上の氏名と約11万件以上の電話番号が流出した可能性があるといいます。

同社は既に当該アプリの公開停止とアクセス遮断を行っており、今後は審査・管理体制を見直し再発防止を図る方針を示しました。また、原因特定に向けた継続調査も実施しており、新たな事実が判明した場合には、速やかに知らせるとしています。

2025年第4四半期の調査で、Microsoftがフィッシング詐欺に最も悪用されたブランドとなりました。上位10社のうち9社がIT企業で、GoogleやAmazonが続きます。これらはID認証の中核を担い、盗まれた情報の価値が高いため標的となっています。

攻撃には季節性があり、年末にはアマゾンを騙る手口が増加しました。攻撃者は公式の手順を巧妙に模倣した偽サイトを作成し、SNSやゲームのユーザーから個人情報を直接窃取しています。

対策の基本は不審なリンクを避け、公式サイトへ直接アクセスすることです。AIにより攻撃が巧妙化する中でも、二要素認証の活用などの基本的なセキュリティ習慣が、被害を防ぐための極めて重要な手段となります。

米国テネシー州の男が、米最高裁や連邦機関への不正アクセスで有罪を認めました。被告は2023年8月から10月の間に、盗まれた資格情報を用いて最高裁の制限区域へ少なくとも25回侵入し、被害者の氏名や申告詳細の画像をインスタグラムで公開して犯行を誇示しました。

さらに、連邦政府機関アメリコープスや退役軍人省も標的にし、氏名や生年月日、社会保障番号の下4桁、健康記録などの個人情報を窃取・流出させています。

男はコンピュータ詐欺の罪を認めており、最大1年の禁錮刑と罰金が科される見通しです。