今週のセキュリティニュース - 2026年1月30日

フィッシング対策協議会は2026年1月、前年12月のフィッシング報告状況を発表しました。

フィッシング報告件数は前月比で減少し約19万件となったものの、誘導先のURL件数は約5万5千件と増加しており、攻撃活動自体は活発な状況が続いています。悪用されたブランドは114件に上り、大手ECサイトやクレジットカード会社を騙る報告が全体の9割以上を占めました。

攻撃手口は巧妙化し続けています。同協議会は、万が一IDやパスワードが漏洩してしまっても第三者のログインを防げるようパスキーなどの多要素認証を活用するなど継続的な警戒を呼びかけています。

大手運輸事業者は1月中旬、同社グループのネットワーク環境に対する不正アクセスにより、従業員等の個人情報が流出した可能性があると発表しました。

本事案は2025年10月に検知されたもので、セキュリティツールにより検知・防御したものの、その後の詳細調査によって従業員等の氏名やログイン情報等約1万4千件以上が漏洩した可能性があることが判明したと公表しています。

同社は既に個人情報保護委員会への報告を完了しており、情報セキュリティの強化を図り再発防止に努めるとしています。

Microsoftは2026年3月より、Microsoft Entra IDにおいてパスキーの新しい管理機能を自動で有効にし、正式提供を始めます。これにより、これまでの会社全体での一律設定ではなく、部署などのグループ単位で利用ルールを細かく変えられるようになります。

新機能では、特定の端末のみで使うタイプや複数端末で共有できるタイプなど、登録可能なパスキーの種類を制限できます。組織のルールに合わせて「どのグループにどの種類を許可するか」を柔軟に選べるようになるのが特徴です。

設定を済ませていない組織は自動で新システムへ移行されますが、現在の設定内容は維持されます。管理者は2026年3月の完全実施に向け、事前に設定を確認し、手動で早めに切り替えるか自動更新を待つかを選択できます。

サイバーセキュリティ研究者の調査により、無防備な状態で公開されていた1.49億件のログイン情報が発見されました。データにはGmailやSNSに加え、政府機関や暗号資産取引所の認証情報も含まれており、暗号化もされず誰でも閲覧可能な状態でした。

これらのデータはキー入力を盗む「インフォスティーラー」というマルウェアで収集されたとみられます。データベースは自動で情報を蓄積する仕組みで、発見後も被害は拡大し続けていたとのことです。

現在はサーバーが閉鎖されていますが、流出データが悪用される二次被害の恐れがあります。対策として、パスワード変更や二要素認証の有効化、ウイルススキャンによるマルウェアの駆除が強く推奨されています。