今週のセキュリティニュース - 2026年2月6日

東京商工リサーチは1月下旬、2025年に上場企業とその子会社が公表した個人情報の漏えい・紛失事故の調査結果を公表しました。

2025年の調査結果によると、180件と事故件数は集計開始以降歴代2番目、社数ベースは158社と過去最多を更新、漏えい人数は前年の約2倍となる3千万人分に達していることがわかります。事故原因としては「ウイルス感染・不正アクセス」が6割を占め、ランサムウェアなどの不正アクセスが猛威を振るったと説明しています。

同社は、サイバー攻撃の高度化や、サプライチェーン全体への被害波及を指摘しています。情報セキュリティ対策は企業の事業継続に不可欠な経営課題として取り組む必要があると強調しています。

学校法人は1月下旬、職員が利用するグループウェアアカウントへの不正アクセス事案を公表しました。

第三者によって当該アカウントへ不正にサインインされ、外部へ大量のメールが送信されたものです。調査の結果、不正アクセスの原因は推測されやすいパスワードの使用、または他サービスとの使い回しである可能性が高いと公表しています。

同法人は不正検知後、速やかに対象アカウントのパスワードリセットと、不正利用された特定の認証方式を無効化する措置を実施しており、より一層情報セキュリティ対策の強化を図り、再発防止策を講じるとしています。

サイバーセキュリティを提供するForcepoint社のリサーチ部門「Forcepoint X-Labs」は、企業のDropbox情報を狙い、認証情報を盗み取る多段階のフィッシング攻撃に対する警告を発表しました。攻撃は調達依頼を装うメールから始まり、簡潔な文面で検知を回避しつつPDFを開かせます。

PDFにはフォーム機能を悪用した隠しリンクがあり、セキュリティソフトのスキャンを巧妙にすり抜けます。このリンクは正規のクラウド基盤を経由して偽のログイン画面へ誘導するため、利用者は疑わずに情報を入力してしまいます。

盗まれた情報はTelegramで攻撃者に送られ、乗っ取り等に悪用されます。2025年はこうした攻撃が急増しており、データ窃取やランサムウェア被害の起点になると、同機関の研究者は指摘しています。

ベルギーのベルヘムにある中等学校がランサムウェア攻撃を受け、生徒や職員の個人情報45GBが窃取されました。犯行グループは当初10万ユーロを要求していましたが、その後1万5,000ユーロへ減額しました。

学校側は当局の助言に従い、倫理的理由から犯人の要求を拒否しています。これに対し犯人は、保護者へ直接メールを送り、子供1人につき50ユーロを支払わなければ、精神保健データなどの機密情報をダークウェブに公開すると脅迫しました。

専門家は、今回の犯人が著名なハッカー集団「LockBit」を模倣した別組織である可能性を指摘しています。現在、外部パートナーがデジタル環境の監視を続けていますが、現時点でデータ流出の証拠は見つかっておらず、保護者には支払いに応じないよう通知されています。