今週のセキュリティニュース - 2026年3月19日

警察庁が3月12日に発表した統計によると、2025年のサイバー被害は「過去最多」を更新する項目が相次ぎ、依然として深刻な状況が続いています。

ランサムウェアの発生件数は前年比4件増の226件。被害の6割が中小企業である一方、大手メーカーなどの被害も発生し、サプライチェーン全体への影響が顕著になっています。また、復旧の長期化による費用の高額化も大きな課題です。さらにフィッシング詐欺と不正送金の被害が過去最多を記録しており、特に金融機関を装う「ボイスフィッシング」は春先や11月に被害が集中しました。

手口の高度化・多様化に伴う被害の巨大化に、より一層の警戒が必要です。

広島市に本社を置く不動産持株会社は3月初旬、グループ従業員の個人データ約1,360件が不正に取得された可能性があると発表しました。

本件は2025年12月中旬、グループ企業の役員を名乗る第三者からの業務依頼を装ったフィッシングメールが原因で、2024年夏頃から2025年冬頃に在籍したグループ14社の従業員および退職者の氏名、所属企業、部署名、役職などの個人情報が漏洩した可能性があるとしています。

すでに個人情報保護委員会へ報告を済ませており、不審メール対策の強化に加えて、本人確認ルールの徹底や従業員教育の強化などの再発防止策を進めています。

米国のスターバックスは、従業員用サイトを模倣した偽サイトによるフィッシング攻撃を受け、従業員889名の個人情報が流出したと公表しました。

流出した情報には、氏名や生年月日のほか、社会保障番号や銀行口座情報が含まれています。

調査によると、攻撃者はこの模倣サイトで不正入手したログイン情報を使い、1月19日から2月11日にかけて管理システムへ不正アクセスを行いました。会社側は2月6日にこの事案を把握したと報告しています。現在は、法執行機関への通知とともに、アクセスに関するセキュリティ管理の強化といった対策を講じています。

米国医療機器大手ストライカー社がハッカー集団の攻撃を受け、50TBのデータ窃取と端末のデータ消去被害が発生しました。現在も電子発注システムが利用できない状況が続いています。

調査ではMicrosoft Intuneの管理者権限が乗っ取られ、本来の遠隔消去機能が端末データの削除に悪用されたと分析されています。これはツールの欠陥ではなく、正規の機能をそのまま攻撃に利用する手法によるものです。

対策として専門家は、MDMへの多要素認証導入や、消去操作に対する複数人承認機能の活用が挙げられています。現在、同社は外部専門家やCISA（米サイバーセキュリティ・インフラセキュリティ庁）と連携し、調査を継続しています。