【企業のためのランサムウェア対策ガイド】ランサムウェアの仕組みとは ―感染から暗号化までの動きを解説―

Security NEWS TOPに戻る
バックナンバー TOPに戻る

ランサムウェアの仕組みとは ―感染から暗号化までの動きを解説アイキャッチ画像

近年のランサムウェア攻撃は、単なるウイルス感染ではありません。VPN機器やリモートデスクトップを悪用して企業ネットワークへ侵入し、内部で横展開を行いながら、サーバや業務システム全体を停止させるケースが増えています。さらに最近では、データを暗号化するだけでなく、情報を窃取して公開を脅迫する二重脅迫型も主流となっています。本記事では、ランサムウェア攻撃の仕組みや代表的な攻撃手法、サプライチェーン攻撃や標的型攻撃との関係、近年増加している「RaaS(Ransomware as a Service)」の実態について解説します。

ランサムウェアの基本的な仕組みや全体像については、以下の記事で詳しく解説しています。
ランサムウェアとは何か ―企業が知るべき被害・仕組み・対策の基本

ランサムウェア攻撃はどのように進化してきたのか

ランサムウェア攻撃は、時間とともに大きく進化し、より複雑かつ高度になっています。初期のランサムウェアは、不特定多数へフィッシングメールを送信する「ばらまき型」が中心でした。攻撃者は大量のメールを配信し、その一部が感染することを狙う比較的単純な手法を用いていました。しかし現在では、特定の企業や組織を狙う「標的型攻撃」が主流になっています。攻撃者は事前に企業のネットワーク構成や脆弱性を調査し、侵入後は内部ネットワークを移動しながら重要なサーバや業務システムを狙います。その結果、単一端末だけでなく、企業全体の業務停止へ発展するケースが増えています。

さらに近年は、「サプライチェーン攻撃」を経由したランサムウェア感染も増えています。

サプライチェーン攻撃とランサムウェア被害

サプライチェーン攻撃とは、標的企業を直接攻撃するのではなく、取引先や委託先、関連企業などセキュリティが比較的弱い組織を踏み台にして侵入する攻撃手法です。企業が利用している外部サービスや委託先が侵害されることで、本来の標的企業へ不正アクセスが行われます。

2022年には、トヨタ自動車が取引先企業(小島プレス工業)へのサイバー攻撃の影響を受け、国内全工場の稼働停止を発表しました*1。この事例は、サプライチェーン全体を狙う攻撃のリスクを象徴するケースとして広く知られています。現在では、自社だけでなく、サプライチェーン全体を前提としたセキュリティ対策が求められています。

サプライチェーン攻撃については、以下の記事で詳しく解説しています。
サプライチェーン攻撃とは ―委託先・外注先リスクから情報漏えいを防ぐ全体像―

関連リンク:「拡大するランサムウェア攻撃! ―ビジネスの停止を防ぐために備えを―

標的型ランサムウェア攻撃とは

現在のランサムウェア攻撃の多くは、特定の企業や組織を狙った標的型攻撃です。攻撃者は、標的型メール攻撃やVPN機器の脆弱性悪用、リモートデスクトップ接続(RDP)の悪用、認証情報の窃取、水飲み場攻撃など、複数の手法を組み合わせながら侵入を試みます。特に近年は、VPN機器やリモートデスクトップ経由で侵入し、内部ネットワークへ横展開するケースが多く確認されています。また、攻撃者は事前に企業の財務状況や業務特性を調査し、支払い能力が高い企業を狙う傾向があります。

関連リンク:「標的型攻撃とは?事例や見分け方、対策をわかりやすく解説

なぜ企業全体が停止するのか

近年のランサムウェア攻撃では、個人端末だけでなく、企業のサーバや業務システム全体が標的になるケースが増えています。その背景には、企業活動全体を停止させることで、攻撃者がより高額な身代金を要求しやすくなるという事情があります。

ランサムウェア攻撃フロー図

攻撃者はまず、VPN機器やリモートデスクトップ接続(RDP)の脆弱性、あるいは窃取した認証情報を悪用して企業ネットワークへ侵入します。その後、管理者権限を取得し、内部ネットワーク内を横展開しながら、ファイルサーバやバックアップサーバなど重要システムを探索します。さらに近年では、暗号化を行う前にデータを窃取し、情報公開を脅迫材料として利用するケースも増えています。最終的には、業務システムやサーバ全体が暗号化され、企業活動そのものが停止する事態へ発展します。この結果、企業では業務停止や顧客対応の中断だけでなく、情報漏えいや生産ライン停止、医療機関における診療システム停止など、事業継続に深刻な影響が発生することがあります。

ランサムウェアによる被害や経営リスクについては、以下の記事で詳しく解説しています。
サイバー攻撃被害コストの真実―ランサムウェア被害は平均2億円?サイバー攻撃のリスク評価で“事業停止損害”を可視化

二重脅迫・多重脅迫の脅威

警察庁の調査「サイバー空間をめぐる脅威の情勢等」によれば、令和4年上半期以降、国内ではランサムウェアによるサイバー攻撃の被害が高い水準で推移しています。近年主流となっているのが、「二重脅迫型」のランサムウェアです。これは、単にデータを暗号化するだけではなく、事前に情報を窃取し、「データの暴露(公開)をされたくなければ身代金を支払え」と脅迫する手法です。さらに最近では、DDoS(分散型サービス拒否)攻撃を組み合わせたり(三重脅迫)、顧客や取引先へ直接通知したり(四重脅迫)、SNS等で情報公開を示唆したりする「多重脅迫」も確認されています。また、データを暗号化せず、情報窃取だけで脅迫する「ノーウェアランサム」と呼ばれる手法も登場しています。

Ransomware as a Service(RaaS)とは

RaaS概要図

近年、ランサムウェア攻撃が急速に拡大している背景の一つに、「RaaS(Ransomware as a Service)」と呼ばれる仕組みがあります。これは、ランサムウェアを開発するグループが攻撃ツールを“サービス”として提供し、別の攻撃者(アフィリエイト)が実際の攻撃を行うという分業型のビジネスモデルです。

従来は、高度な技術力を持つ攻撃者しかランサムウェア攻撃を実行できませんでした。しかしRaaSの登場によって、専門的な開発能力を持たない攻撃者でも、提供されたツールを利用して攻撃を行えるようになりました。その結果、攻撃者の数が増加し、攻撃の分業化や組織化も進んでいます。

現在では、ランサムウェア開発者、侵入を担当する攻撃者、情報窃取や脅迫を行うグループなどが役割を分担しながら活動しており、ランサムウェア攻撃そのものが“犯罪ビジネス”として拡大しています。これにより、攻撃件数だけでなく、攻撃手法そのものも急速に高度化・複雑化しています。

なぜ“侵入前提”で考える必要があるのか

近年のランサムウェア攻撃は、VPN機器やリモートデスクトップ接続の脆弱性、認証情報の窃取など、複数の経路を組み合わせながら侵入するケースが増えています。また、侵入後も内部ネットワークを横展開し、サーバやバックアップ環境まで攻撃対象を広げるなど、従来より高度で組織的な攻撃が主流になっています。そのため現在では、「完全に侵入を防ぐ」ことだけを前提とするのではなく、侵入される可能性を想定したうえで、被害を最小限に抑える考え方が重要になっています。特に、早期検知や初動対応、アクセス権限管理、バックアップ運用など、侵入後の被害拡大を防ぐための体制整備が、企業に求められるようになっています。

まとめ

現在のランサムウェア攻撃は、単なるマルウェア感染ではなく、企業活動全体を停止させる深刻な経営リスクへと変化しています。近年は、サプライチェーン攻撃や標的型攻撃、情報公開を伴う二重脅迫、RaaS(Ransomware as a Service)による攻撃の分業化などによって、攻撃そのものが高度化・組織化しています。

そのため、従来のように「ウイルス対策ソフトを導入していれば安心」という時代ではなくなっています。企業には、侵入経路や攻撃の流れ、被害発生の仕組みを正しく理解したうえで、平時から備える姿勢が求められています。特に、侵入を完全に防ぐことだけではなく、侵入後の被害拡大を抑える視点を持つことが、これからのランサムウェア対策では重要になります。

ランサムウェア攻撃がどのような経路で侵入するのかについては、以下の記事で詳しく解説しています。
ランサムウェアの感染経路とは ―企業が見落としがちなVPN・RDP侵入リスクを解説


公開日:2024年2月15日
更新日:2026年5月27日

編集責任:木下


資料ダウンロードボタン
年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
お問い合わせボタン
サービスに関する疑問や質問はこちらからお気軽にお問合せください。

Security Serviceへのリンクバナー画像
BBsecコーポレートサイトへのリンクバナー画像
セキュリティ緊急対応のバナー画像

Security NEWS TOPに戻る
バックナンバー TOPに戻る

【企業のためのランサムウェア対策ガイド】ランサムウェアとは何か ―企業が知るべき被害・仕組み・対策の基本―

Share

Security NEWS TOPに戻る
バックナンバー TOPに戻る

【企業のためのランサムウェア対策ガイド】ランサムウェアとは何かアイキャッチ画像

近年、企業や組織を狙ったランサムウェア被害が国内外で急増しています。単なるウイルス感染ではなく、業務停止や情報漏えい、金銭要求へ発展するケースも多く、いまやランサムウェアは企業経営に直結するリスクの一つとなっています。

本記事では、ランサムウェアの基本的な仕組みや特徴、代表的な攻撃手法、感染経路について解説します。また、VPN機器やリモートデスクトップを悪用した近年の侵入事例にも触れながら、企業が押さえるべきリスクの全体像を整理します。

なお、本記事は「企業のためのランサムウェア対策ガイド」シリーズとして、関連する各テーマも順次解説していきます。

ランサムウェアがどのような経路で侵入するのかについては、以下の記事で詳しく解説しています。
ランサムウェアの感染経路とは ―企業が見落としがちなVPN・RDP侵入リスクを解説

マルウェアの一種である「ランサムウェア」

ランサムウェアとは、マルウェア(悪意のあるソフトウェア)の一種で、感染したコンピュータやシステム内のデータを暗号化し、アクセスできない状態にした上で、復旧と引き換えに金銭(身代金)を要求する攻撃を指します。

マルウェアには、ウイルス、ワーム、トロイの木馬、スパイウェアなどさまざまな種類がありますが、ランサムウェアは「業務停止やデータ利用不能を引き起こし、金銭を要求する」という点が大きな特徴です。

関連リンク:「マルウェアに感染したら-マルウェアの種類と対策、ウイルスとの違いは-

近年は個人だけでなく、企業や自治体、医療機関など組織を狙った攻撃が急増しており、業務停止や情報漏えいによって大きな社会的影響が発生しています。また現在では、不特定多数を狙う「ばらまき型」だけでなく、特定の企業や組織を狙う「標的型攻撃」へと変化しています。攻撃者は事前にネットワーク構成や脆弱性を調査したうえで侵入し、内部ネットワークを横展開しながら、サーバや業務システム全体を狙うケースが増えています。

ランサムウェア攻撃がどのように侵入し、暗号化や脅迫へ発展するのかについては、以下の記事で詳しく解説しています。
ランサムウェアの仕組みとは ―感染から暗号化までの動きを解説―

ランサムウェアの語源

ランサムウェアの語源(初心者マークに手を添えた画像)イメージ

「ランサムウェア」とは、英語の「Ransom(ランサム)」と「Software(ソフトウェア)」を組み合わせた造語です。この名前は、この種のマルウェアが行う主な行為、すなわち被害者のコンピュータシステムやデータにアクセスを制限し、それらの解放や復元を身代金と交換するという性質に由来しています。攻撃者は感染したシステムやデータを“人質”のように利用し、復旧や公開停止と引き換えに金銭を要求します。

ランサムウェア攻撃の主な特徴は、以下のとおりです。

データの暗号化

感染した端末やサーバのデータを暗号化し、利用できない状態にします。企業では業務システムやファイルサーバが停止し、事業継続に深刻な影響が出るケースもあります。

身代金の要求

攻撃者は、データ復旧のための復号鍵と引き換えに金銭を要求します。支払いには仮想通貨など匿名性の高い手段が利用されることが多く、支払っても復旧が保証されるわけではありません。

情報公開を伴う「二重脅迫」

近年では、データを暗号化するだけでなく、事前に情報を窃取した上で「公開されたくなければ支払え」と脅迫する“二重脅迫型”が主流になっています。

主なランサムウェアグループ

LockBit2019年に初めて確認され、現在も攻撃手法を進化し続けている。長く代表的なRaaSとして知られたが、2024年のOperation Cronosで基盤を押収され、2025年にも追加制裁が行われた*2。現在は「絶対的な主役」というより、摘発を受けてもブランドや派生的影響が残る象徴的事例として扱うのが適切である。
Akira中小企業を中心に、製造、教育、IT、医療、金融、食品・農業など多様な業種を狙う代表的グループ。2025年時点でも新しいTTP(Tactics(戦術), Techniques(技術), and Procedures(手順))が継続的に確認されており、バックアップ、MFA、既知脆弱性対策の重要性が改めて指摘されている*2
Play2022年以降活動するランサムウェアグループで、2024年~2025年にかけて非常に活発。北米・南米・欧州の企業や重要インフラを標的とし、2025年5月時点で約900組織が被害を受けたとFBIは把握している*3。多要素認証の未導入や既知脆弱性の放置が侵入の足掛かりになりやすい。
Medusa2025年2月時点で300超の被害組織。IAB(Initial Access Broker)、フィッシング、未パッチ脆弱性を組み合わせる典型的な現代型RaaSが特徴*4
RansomHub2024年に台頭したRaaS型ランサムウェアグループ。重要インフラを含む幅広い業種を標的とし、データ窃取と暗号化を組み合わせた「二重恐喝」を行う。フィッシング、既知脆弱性の悪用、パスワードスプレーなどで侵入し、他の大手グループから流入したアフィリエイトの受け皿になっている点も特徴である*5

関連リンク:「【2025年版】ランサムウェアギャング大図鑑:脅威マップと攻撃の特徴 第2回:2025年注目のランサムウェアギャング徹底分析

近年のランサムウェア攻撃の流れや特徴については、以下の記事で詳しく解説しています。
ランサムウェアの攻撃手法とは – 侵入から暗号化までの流れを解説

ランサムウェアの感染経路

ランサムウェアを含むマルウェアの感染経路は様々ありますが、以下に主な感染経路の分類と説明をします。

マルウェア(ランサムウェア)の主な感染経路

ランサムウェアを含むマルウェアにはさまざまな感染経路があります。代表的なものとしては、以下が挙げられます。

  • フィッシングメールの添付ファイルやリンク
  • 不正サイト・改ざんサイトの閲覧
  • ソフトウェアやOSの脆弱性
  • VPN機器の脆弱性
  • リモートデスクトップ接続(RDP)の悪用
  • 認証情報の窃取・使い回し

近年のランサムウェア被害では、メール添付型だけでなく、VPN機器やリモートデスクトップ接続を悪用した侵入が増加しています。

VPN機器・リモートデスクトップ接続からの侵入

VPN機器・リモートデスクトップ接続からの侵入(セキュリティの画像)イメージ

近年、VPN機器やリモートデスクトップ経由のランサムウェア感染が増加した背景には、テレワークの普及があります。

多くの企業が外部から社内ネットワークへ接続する仕組みを導入したことで、VPN機器やリモートデスクトップが攻撃対象になりました。

攻撃者は、以下のような弱点を悪用します。

  • 未修正の脆弱性
  • 弱いパスワード
  • 認証情報の使い回し
  • 多要素認証未設定
  • 不適切なアクセス制御

特に、VPN機器やRDPに脆弱性が存在すると、攻撃者は正規ユーザになりすまして侵入し、内部ネットワークへアクセスできるようになります。

警察庁が発表した「サイバー空間をめぐる脅威の情勢等」によると、令和7年に都道府県警察から警察庁に報告のあった企業・団体等のランサムウェアの被害件数は226件でした。被害に遭った企業へ行ったアンケート調査で感染経路への質問を行ったところ、約8割以上がVPN機器・リモートデスクトップ接続からの侵入であることが報告されています*6

VPN機器やリモートデスクトップを悪用した侵入経路については、以下の記事で詳しく解説しています。
ランサムウェアの感染経路とは – 企業が見落としがちな侵入ポイントと対策

ランサムウェア対策で重要な考え方

ランサムウェア対策では、「特別な対策」だけが重要なわけではありません。むしろ、以下のような基本的なセキュリティ対策を継続できているかが重要です。

  • 脆弱性管理・アップデート
  • 多要素認証(MFA)の導入
  • アクセス権限管理
  • バックアップ運用
  • EDR
  • ウイルス対策
  • 従業員教育
  • インシデント対応体制

近年の攻撃は高度化していますが、多くの侵入は基本的な対策不足を狙っています。そのため、最新の脅威情報だけでなく、「基本を継続できる運用体制」を持つことが重要です。

まとめ

ランサムウェアは、単なるマルウェア感染ではなく、企業活動そのものを停止させる深刻な経営リスクへと変化しています。特に近年は、VPN機器やリモートデスクトップを悪用した侵入、サーバや業務システムを狙う標的型攻撃、情報公開を伴う二重脅迫型など、攻撃手法が高度化しています。だからこそ、脆弱性対策や認証管理、バックアップ運用、従業員教育といった基本的なセキュリティ対策を継続的に見直すことが重要です。

ランサムウェアによって企業にどのような被害が発生するのかについては、以下の記事で詳しく解説しています。
ランサムウェア被害の実態 – 業務停止・損害・企業が直面するリスクとは

本シリーズでは、ランサムウェアの感染経路、攻撃手法、被害リスクについても詳しく解説しています。あわせてご覧ください。


公開日:2024年2月9日
更新日:2026年5月27日

編集責任:木下


資料ダウンロードボタン
年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
お問い合わせボタン
サービスに関する疑問や質問はこちらからお気軽にお問合せください。

Security Serviceへのリンクバナー画像
BBsecコーポレートサイトへのリンクバナー画像
セキュリティ緊急対応のバナー画像

Security NEWS TOPに戻る
バックナンバー TOPに戻る

今すぐ対応を!Citrix Bleed2(CVE-2025-5777)の脆弱性情報まとめ

Share

Security NEWS TOPに戻る
バックナンバー TOPに戻る

米サイバーセキュリティ・社会基盤安全保障庁(以下CISA)は2025年7月10日、Known Exploited Vulnerability(KEV)カタログ*7(悪用が確認された脆弱性のカタログ)にCitrix NetScaler ADCおよびNetScaler Gatewayの脆弱性であるCVE-2025-5777を追加、更新しました。本脆弱性は本年6月17日に公開されたメモリ境界外読み取りの脆弱性となり、Webセッションのトークンの奪取が可能となる脆弱性となります。

2026年3月、CitrixBleed 3(CVE-2026-3055)の脆弱性が新たに公開されました。こちらの脆弱性については以下の記事でご紹介しています。
CitrixBleed 3(CVE-2026-3055)の脆弱性:NetScaler ADC / Gatewayの影響・リスク・対策

NetScaler ADC/NetScaler Gatewayの脆弱性

NetScaler ADCはアプリケーションベースでの配信パフォーマンスの最適化やWAFの役割を果たすアプライアンスです。NetScaler Gatewayは社内および社内で使用しているSaaSなどへの単一のゲートウェイとして機能し、シングルサインオン(SSO)などの機能を持つものとなっています。いずれもDMZ上に存在することから外部からのアクセスが可能なアセットの代表格であり、過去にも脆弱性が悪用されてきたものとなります。このため特に悪用への対応が急がれるアセットといえます。

CVE-2025-5777の対象バージョン

CVE-2025-5777の対象となるバージョンは以下の通りです。いずれも更新バージョンへのアップデートが推奨されています。いずれも更新バージョンへのアップデートが推奨されています。

製品バージョン対象のビルド
NetScaler ADCおよびNetScaler Gateway14.114.1-43.56未満
13.113.1.58.32未満
NetScaler ADC13.1-FIPSおよびNDcPP13.1-37.235未満
NetScaler ADC12.1-FIPS12.1-55.328未満

詳細については以下をご確認ください。

https://support.citrix.com/support-home/kbsearch/article?articleNumber=CTX693420

CVE-2025-6543の対象バージョン

なお、CVE-2025-5777の後に公開された、同じくKEVカタログに掲載されている脆弱性CVE-2025-6543の対象バージョンは以下の通りです。こちらも併せて対応されることをおすすめします。

製品バージョン対象のビルド
NetScaler ADCおよびNetScaler Gateway14.114.1-47.46未満
13.113.1.58.32未満
NetScaler ADC13.1-FIPSおよびNDcPP13.1-37.236未満

詳細については以下をご確認ください。

https://support.citrix.com/support-home/kbsearch/article?articleNumber=CTX694788
※CVE-2025-6543はNetScaler ADC 12.1-FIPSの対象外となっています。
※NetScaler ADCおよびNetScaler Gatewayの12.1と13.0はEOL(End of Life、サポート終了)となっており、アプライアンスをサポートされたバージョンにアップグレードすることが推奨されています。

なお、NetScalerを14.1 47.46または13.1 59.19にアップグレードした際に認証関連で問題が発生する可能性があることが公開されています。以下のナレッジベースの記事を参考までに掲載します。このほかにも冗長構成でのアップデートについては注意が必要となります。詳しくはご購入された販売代理店のサポート窓口やCitrixまでご相談ください。

https://support.citrix.com/support-home/kbsearch/article?articleNumber=CTX694826

SQAT.jpではKEV Catalogについて以下の記事でも取り上げています。ぜひあわせてご参照ください。
2024年のサイバーセキュリティ振り返り-KEVカタログが示す脆弱性の実態- | SQAT®.jp
2025年Q1のKEVカタログ掲載CVEの統計と分析 | SQAT®.jp

CVE-2025-5777(Citrix Bleed2)の脆弱性の概要とリスク

  • リモートから認証なしで悪用可能
  • 2023年に公開され、のちに悪用が確認された同様の脆弱性・Citrix Bleed(CVE-2023-4966)と同様にメモリ境界外読み取りの脆弱性であり、Citrix Bleed2と名付けられている
  • 複数のセキュリティ企業から脆弱性公開後、脆弱性の再現などを含む分析や侵害に関する情報が公開されている
    ただしCitrixは公に侵害事例や攻撃兆候について認めていない(日本時間2025年7月11日正午時点)

脆弱性公開からKEVカタログ掲載までの時系列まとめ

日付経緯
2025年6月17日CitrixによるCVE-2025-5777の公開
2025年6月20日Reliaquestによる侵害事例の公開
2025年6月24日セキュリティ研究者によるCVE-2023-4966との類似性の指摘を含む注意喚起
2025年6月25日CitrixによるCVE-2025-6543とCVE-2025-6543の悪用兆候の公開
2025年6月26日CitrixによるCVE-2023-4966との類似性の指摘の否定・CVE-2025-5777の悪用の否定
2025年7月4日Watchtowrによる再現と原因分析、注意喚起を含む情報の公開
2025年7月7日Horizon3.aiによる、同時に修正・公開された脆弱性を含む分析、注意喚起を含む情報の公開
2025年7月9日Health-ISACが公開PoCの存在を根拠とする脅威情報の注意喚起を公開
2025年7月10日CISAがKEVカタログにCVE-2025-5777を追加

【参考情報】

Citrixからの情報

  • CVE-2025-5777関連:https://support.citrix.com/support-home/kbsearch/article?articleNumber=CTX693420
  • CVE-2025-6543関連:https://support.citrix.com/support-home/kbsearch/article?articleNumber=CTX694788
  • アップデート時の認証関連の問題:https://support.citrix.com/support-home/kbsearch/article?articleNumber=CTX694826
  • ブログ

  • https://www.netscaler.com/blog/news/critical-security-updates-for-netscaler-netscaler-gateway-and-netscaler-console/
  • https://www.netscaler.com/blog/news/critical-severity-update-announced-for-netscaler-gateway-and-netscaler/
  • https://www.netscaler.com/blog/news/netscaler-critical-security-updates-for-cve-2025-6543-and-cve-2025-5777/
  • セキュリティ各社・研究者による分析および侵害事例報告

  • https://reliaquest.com/blog/threat-spotlight-citrix-bleed-2-vulnerability-in-netscaler-adc-gateway-devices/
  • https://doublepulsar.com/citrixbleed-2-electric-boogaloo-cve-2025-5777-c7f5e349d206
  • https://labs.watchtowr.com/how-much-more-must-we-bleed-citrix-netscaler-memory-disclosure-citrixbleed-2-cve-2025-5777/
  • https://horizon3.ai/attack-research/attack-blogs/cve-2025-5777-citrixbleed-2-write-up-maybe/
  • Health-ISACの注意喚起(American Hospital Associationから配信されたもの)

  • https://www.aha.org/system/files/media/file/2025/07/h-isac-tlp-white-threat-bulletin-poc-exploits-available-for-citrix-netscaler-adc-and-netscaler-gateway-flaw-cve-2025-5777-7-9-2025.pdf
  • BBSecでは

    当社では様々なご支援が可能です。お客様のご状況に合わせて最適なご提案をいたします。

    アタックサーフェス調査バナー
    ペネトレーションテストバナー

    公開日:2025年7月14日
    更新日:2026年4月22日

    編集責任:木下

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    ウェビナー開催のお知らせ

  • 2026年5月13日(水)13:00~14:00【好評アンコール配信】
    攻撃は本当に成立するのか?ペネトレーションテストで検証する実践的セキュリティ対策(デモ解説)
  • 2026年5月20日(水)14:00~15:30 <BBSec/Future/ハンモック共催>
    脆弱性管理の最適解 ― ASM・IT資産管理・脆弱性管理を分けて考え、統合するという選択
  • 2026年5月27日(水)14:00~15:00
    ~取引先から求められる前に押さえる~ SCS評価制度への対応準備と現実的な進め方
  • 最新情報はこちら


    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。

    Security Serviceへのリンクバナー画像
    BBsecコーポレートサイトへのリンクバナー画像
    セキュリティ緊急対応のバナー画像

    マルウェアとウイルスの違いとは?種類・特徴・感染経路をわかりやすく解説

    Share

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    近年、サイバー攻撃はますます高度化し、企業や個人を狙った被害が増えています。その中心的な脅威が「マルウェア」と呼ばれる悪意あるソフトウェアです。しかし、「マルウェアとウイルスの違いがわからない」という方も多いのではないでしょうか。本記事では、両者の違いをわかりやすく解説し、代表的な種類や感染経路、被害事例、そして防ぐための対策まで詳しく紹介します。

    マルウェア(malware)とは?意味と基本的な仕組み

    マルウェアとは、「Malicious(マリシャス=悪意のある)」と「Software(ソフトウェア)」を組み合わせた造語で、コンピュータやネットワークに害を与える悪意のあるプログラムの総称です。具体的には、ユーザの意図しない動作を引き起こし、情報の窃取や破壊、システムの乗っ取りなどを目的とするプログラムを指します。代表的なものにコンピュータウイルス(=ウイルス)、ワーム、トロイの木馬、スパイウェア、ランサムウェアなどがあります。

    マルウェアは、メールの添付ファイルや不正なWebサイト、ソフトウェアの脆弱性などを通じて感染し、個人情報の漏洩や金銭的被害、業務妨害など深刻な問題を引き起こす可能性があります。そのため、日常的なセキュリティ対策が非常に重要です。

    マルウェアとウイルスの違い

    マルウェアは、悪意のあるソフトウェアの総称で、コンピュータウイルスはその一種です。ウイルスは自己複製し、他のプログラムやファイルに感染して広がる特徴を持つのに対し、マルウェアには様々な種類があり、必ずしも自己複製しません。つまり、全てのウイルスはマルウェアですが、全てのマルウェアがウイルスというわけではありません。マルウェアは、より広範な脅威を指す用語です。

    比較項目マルウェアコンピュータウイルス
    定義悪意のあるソフトウェア全般マルウェアの一種
    自己複製しないものもある自己複製する
    感染方法メール・Web・USBなど多様他ファイルやプログラムに感染
    代表例ワーム、トロイの木馬、ランサムウェアなどMichelangelo、ILOVEYOUなど

    主なマルウェアの分類

    1. ウイルス
      コンピュータウイルスは、自己複製する悪意のあるプログラムです。ユーザがプログラムやファイルを実行することで動作し、自己複製して他のプログラムやファイルに感染します。感染したファイルが開かれるたびに広がり、データの破壊やシステムの動作不良を引き起こします。ウイルスは通常、ファイルやプログラムを破壊する目的で作成され、感染拡大によるシステムの停止を引き起こす可能性があります。
    2. ワーム
      ワームは、自己複製する悪意のあるプログラムです。ユーザの操作なしに、ネットワークの脆弱性を利用して感染したコンピュータからネットワーク内の他のコンピュータに拡散し、ネットワークの帯域を消費してシステムのパフォーマンス低下や停止を引き起こすことがあります。ワームはウイルスと異なり、ホストプログラムを必要としません。特に企業や大規模ネットワークに対して深刻な脅威です。
    3. トロイの木馬
      トロイの木馬は、通常のソフトウェアやファイルに見せかけてユーザにインストールさせる悪意のあるプログラムです。ユーザのコンピュータに侵入したあと、何かのトリガーが起こった場合に、バックドアの作成や情報窃取などを自動的に実行します。自己複製能力はありませんが、一度実行されると重大な被害をもたらす可能性があります。

    マルウェアの主な種類と特徴

    マルウェアにはいくつか種類があります。以下に代表的なマルウェアの特徴をご紹介します。

    ランサムウェア

    ランサムウェアは、ユーザのデータやファイルを暗号化し、アクセスを不能にするマルウェアです。サイバー攻撃者は暗号化されたデータやシファイルの暗号化解除と引き換えに、身代金の支払いを要求します。攻撃者は、データの復元やアクセスの回復のために身代金を要求します。「Ransom(ランサム=身代金)」と「Software(ソフトウェア)」を組み合わせた造語で、これが名称の由来です。多くの場合、身代金は暗号通貨で支払うことが要求され、支払ったとしてもデータが復元される保証はありません。このため、ランサムウェアは組織にとって非常に深刻な脅威となっています。

    近年、二重脅迫型の攻撃も増加しており、支払いに応じなければデータを公開すると脅迫されます。被害者は重要データへのアクセスを失い、業務停止や金銭的損失に直面します。感染経路には、メール添付ファイル経由、VPN経由、リモートデスクトップ接続経由など様々なものがあります。

    スパイウェア

    スパイウェアは、ユーザの個人情報を収集し、ユーザが意図しないうちに外部に送信するマルウェアです。収集するデータには、キーロガーやスクリーンキャプチャー機能を持つものもあり、パスワードやクレジットカード情報などを窃取します。スパイウェアは、一般的に無意識のうちにインストールされることが多く、主にダウンロードしたソフトウェアや悪意のあるリンクを介して広がります。正規ソフトウェアに偽装して侵入することが多いため、検出が困難です。感染してしまうと、個人のプライバシー侵害だけでなく、企業の機密情報漏洩にも繋がる危険性があります。

    スケアウェア

    スケアウェアとは、虚偽のセキュリティ警告を表示し、無駄なソフトウェアを購入させる詐欺的なソフトウェアです。実際にはセキュリティ問題がないにもかかわらず、感染していると偽り、解決策として高額なソフトウェアをすすめます。ユーザの不安を煽り、冷静な判断を妨げることにより、被害を拡大させるのが特徴です。

    アドウェア

    アドウェアは、ユーザの同意なしに広告を表示するソフトウェアです。主にウェブブラウザにインストールされ、ポップアップ広告やバナー広告を表示します。ユーザのオンライン行動を追跡し、広告のターゲティングに利用することもあります。アドウェアそのものは必ずしも悪意があるわけではありませんが、システムのパフォーマンス低下やプライバシー侵害の原因となることがあります。一部のアドウェアは悪質な広告を表示し、マルウェアの配布を促すこともあります。

    ファイルレスマルウェア

    ファイルレスマルウェアは、ディスク上にファイルを残さずに、システムのメモリやプロセスに直接感染するマルウェアです。これにより、従来のウイルス対策ソフトウェアでは検出しにくくなります。ファイルレスマルウェアは、通常、システムの脆弱性を利用して実行され、バックドアとして機能することが多いです。

    トロイの木馬のタイプ

    マルウェアの分類の一つである「トロイの木馬」は動作によりいつくかのタイプに分けることができます。

    • ダウンローダー型:一見無害にみえるファイルを通じてマルウェアをダウンロードし感染させます。
    • ドロッパー型:侵入後に複数のマルウェアを一度にシステムにダウンロードし、展開します。
    • バックドア型:攻撃者がシステムに不正アクセスするための裏口を作り、遠隔操作や情報窃取を行います。
    • キーロガー型:ユーザのキーボード入力を記録し、パスワードなどの個人情報を盗み取ります。
    • パスワード窃盗型:システムやアプリケーションに保存されているパスワードを探索し、盗み出します。
    • プロキシ型:感染したPCをプロキシサーバとして使い、他のシステムへの攻撃を隠蔽します。
    • ボット型:感染したPCをボットネットの一部として使用し、大規模なDDoS攻撃などに利用します

    マルウェア感染による被害と企業リスク

    マルウェアに感染することで、次のような被害が発生します。

    • 情報漏洩:個人情報や機密データが攻撃者に盗まれ、企業の信用や顧客の信頼が損なわれます。
    • Webサイトの改ざん:攻撃者が不正なコードを埋め込み、訪問者を悪意あるサイトにリダイレクトさせたり、偽情報を掲載したりすることで、Webサイト利用者に被害を与えます。
    • PC動作不能:マルウェアがシステムを破壊・損傷し、PCやサーバが動作不能に陥り、業務が停止するリスクがあります。
    • デバイスの乗っ取り:マルウェアがデバイスを遠隔操作可能な状態にし、攻撃者が不正操作などの行為を実行します。
    • 金銭損失:ランサムウェアなどの攻撃により、身代金の支払いを強要され、システムの復旧コストや顧客対応などにより多額の金銭的な損害が発生します。

    マルウェアの主な感染経路と予防策

    マルウェアの感染経路としては、大きくわけて以下のようなものが挙げられます。

    ・メール

    マルウェアの感染経路として最も一般的なのがメールです。特に「フィッシングメール」と呼ばれる手法で、信頼できる企業やサービスを装ったメールが送られてきます。受信者がメール内のリンクをクリックしたり、添付ファイルを開いたりすると、マルウェアが自動的にダウンロードされ、システムに侵入します。これにより、個人情報の盗難やランサムウェアの感染が発生することがあります。メールのリンクや添付ファイルを開く前に、その送信元が信頼できるかを必ず確認することが重要です。

    ・Webサイト

    不正なWebサイトもマルウェアの感染源となります。特に不正な広告やフィッシングサイトなどは、利用者がサイトを訪れただけでマルウェアが自動的にダウンロードされることがあります。これを「ドライブバイダウンロード攻撃」と呼びます。また、信頼できるWebサイトであっても、第三者によって改ざんされている可能性があるため、Webサイトを利用する際は、最新のウイルス対策ソフトによるスキャンの実行、ブラウザのセキュリティ設定を適切に行うことなどが重要になります。

    ・ファイル共有ソフト

    ファイル共有ソフトを使用することも、マルウェア感染のリスクを高めます。ユーザがダウンロードしたファイルにマルウェアが含まれていることが多く、特に海賊版ソフトウェアや違法に共有されたコンテンツには注意が必要です。これらのファイルを実行すると、システムが感染し、データが破壊されたり、外部に漏洩したりする可能性があります。正規のソフトウェアやコンテンツを使用し、不明なファイルはダウンロードしないことが推奨されます。

    ・外部ストレージ(USBメモリ)

    外部ストレージ(USBメモリ)は、便利である反面、マルウェアの感染経路としても広く利用されています。感染したUSBメモリをパソコンに挿入すると、システムにマルウェアが拡散し、企業内ネットワーク全体に影響を及ぼすこともあります。USBメモリを使用する際は、信頼できるデバイスのみを使用し、不必要に他人のUSBメモリを挿入しないように注意する必要があります。また、ウイルススキャンを行ってから使用することが推奨されます。

    ・クラウドストレージ

    ユーザがマルウェアに感染したファイルをアップロードし、他のユーザがそれをダウンロードすることで、マルウェア感染が広がることがあります。また、クラウドサービス自体がハッキングされることで、全てのクラウドサービス利用者に影響が及ぶ可能性もあります。クラウドストレージを利用する際は、アップロードするファイルの安全性を確認し、適切なアクセス制限と二要素認証などのセキュリティ対策を講じることが重要です。

    マルウェア感染を防ぐための基本対策

    • OS・ソフトウェアを常に最新状態に更新する
    • 信頼できないメール・リンク・添付ファイルを開かない
    • セキュリティソフトを導入し、リアルタイム保護を有効化する
    • 定期的にバックアップを取り、復旧体制を整える
    • 社員教育を実施し、セキュリティリテラシーを向上させる

    まとめ

    マルウェアは、コンピュータやネットワークに悪影響を与える悪意のあるプログラムの総称です。代表的なものには、コンピュータウイルス、ワーム、トロイの木馬、スパイウェア、ランサムウェアなどがあります。

    主な分類として、自己複製し他のファイルに感染するウイルス、ネットワークを通じて拡散するワーム、正常なソフトウェアに偽装するトロイの木馬があります。その他の種類には、データを暗号化して身代金を要求するランサムウェア、個人情報を収集するスパイウェア、偽のセキュリティ警告を表示するスケアウェア、不要な広告を表示するアドウェア、ファイルを残さずにメモリ上で動作するファイルレスマルウェアなどがあります。

    マルウェアは主にメール、不正なWebサイト、ファイル共有ソフト、外部ストレージ、クラウドストレージなどを通じて感染します。感染すると、情報漏洩、Webサイトの改ざん、システムの動作不能、デバイスの乗っ取り、金銭的損失などの被害が発生する可能性があります。マルウェアに感染すると深刻な被害を受け、企業に大きな影響を与えるため、適切なセキュリティ対策の実施が必要です。

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る


    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。

    Security Serviceへのリンクバナー画像
    BBsecコーポレートサイトへのリンクバナー画像
    セキュリティ緊急対応のバナー画像

    マルウェアの対策-マルウェア感染を防ぐための基本のセキュリティ対策のポイント-

    Share

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    マルウェアの脅威は年々増大しており、企業・組織への影響は計り知れません。本記事では、マルウェアの具体的な被害事例を紹介し、感染時の症状や対処法について解説します。そして、セキュリティ対策の基本とマルウェア対策の基本的な考え方を押さえ、日々進化するサイバー脅威から自組織を守るために必要な知識を、わかりやすく解説していきます。

    マルウェア被害事例

    ウイルスの事例

    マルウェア「Emotet」による感染被害

    マルウェア「Emotet」は主にメールを介して広がり、その被害が深刻化しています。感染経路は、悪意のあるメールの添付ファイルやリンクを開くことにより、ユーザのPCに感染します。Emotetは巧妙な手口で、正規のメールを装うことで信頼性を高め、受信者に警戒させないようにします。感染後、企業や個人のPC内の情報が盗まれ、さらに他のマルウェアをダウンロードさせることもあります。関連企業では、業務停止やデータ流出による経済的損失が報告されています。特に日本国内の企業においても影響が広がり、国内通信事業者を含む複数の企業が注意喚起を行っています。

    ワームの事例

    ランサムウェアWannaCryによる感染被害

    2017年に大規模な被害をもたらしたランサムウェア「WannaCry」は、Microsoft Windowsの未修正の脆弱性を悪用することで、世界中のコンピュータに急速に拡散しました。この脆弱性は、アメリカ国家安全保障局(NSA)が開発したとされるハッキングツールから漏洩したもので、WannaCryはこれを利用して無差別にシステムに侵入しました。攻撃の手口は、感染したコンピュータのファイルを暗号化し、被害者に身代金の支払いを要求するものでした。支払いはビットコインで行われることが多く、支払われない場合、ファイルは復号されずに失われると脅迫されました。社会への影響は甚大で、病院、学校、企業、政府機関など、世界中の数十万台のコンピュータが影響を受けました。特に医療機関では、患者の記録へのアクセスが妨げられ、治療に支障を来たす事態も発生しました。WannaCryは、サイバーセキュリティの重要性と、ソフトウェアの更新の必要性を広く認識させる契機となりました。

    トロイの木馬の事例

    GooglePlayのAndoroidアプリからマルウェア感染

    2021年11月、Google Playに登録されたアプリにバンキング型トロイの木馬が含まれていることが判明しました。このマルウェアは認証情報や金融情報を盗むことを目的とし、30万台以上の端末に影響を与えました。攻撃者は、最小限のフットプリント(アプリ稼働時に要するメモリ容量)でアプリを登録し、ドロッパー(マルウェアを感染させるプログラム)の存在を隠蔽、ダウンロード後のアップデートでマルウェアを展開するという手口を用いていました。感染経路は公式ストアからのダウンロード後のアップデートであり、完全な防御は困難とされています。影響を受けたアプリはすでに削除されています。

    PCがマルウェアに感染したら

    マルウェアに感染したときの症状には以下のようなものがあります。

    感染したときの症状

    パソコンの動作が遅い

    マルウェアに感染すると、システムリソースを過剰に消費するため、通常のタスクでもパソコンの動作が遅くなることがあります。これにより、プログラムの起動やファイルの読み込みが時間を要し、全体的なパフォーマンスが低下します。

    予期しないフリーズやクラッシュ

    マルウェアはシステムファイルを破壊したり、重要なプロセスを妨害したりすることで、突然のフリーズやクラッシュを引き起こします。これにより、作業中のデータが失われるリスクが高まります。

    原因不明のストレージ容量の減少

    マルウェアが悪意のあるプログラムをインストールし、大量のファイルをダウンロードするなど、ストレージ容量を消費します。突然、ストレージ容量が急激に減少する場合は感染が疑われます。

    迷惑なポップアップ

    アドウェアやスパイウェアなどのマルウェアは、感染後、ブラウザやデスクトップに不審なポップアップ広告を頻繁に表示させます。さらにブラウザを使用していない時でも突然表示されるため、ユーザの作業を妨げます。多くの場合、これらの広告は不適切な内容や詐欺的なオファーを含んでおり、クリックすると別のマルウェアに感染するリスクがあります。正規のウェブサイトを装った偽のポップアップにも注意が必要です。

    ポップアップによるエラーメッセージ

    マルウェアは偽のエラーメッセージを表示し、ユーザを混乱させることがあります。これらのメッセージは、実際のシステムエラーのように見えますが、偽のソフトウェアのダウンロードや個人情報の入力を促す悪意のあるプログラムを含むものです。正規のエラーメッセージとの区別が難しいため、ユーザが誤ってクリックしてしまい、別のマルウェアへの感染や情報漏洩のリスクが高まります。

    偽のウイルス警告が出力される

    突然、偽のウイルス警告が表示されることがあります。これらの警告は、ユーザを騙して不正なウイルス対策ソフトを購入させたり、さらなるマルウェアをインストールさせたりする目的で行われます。

    セキュリティ設定が変更される

    マルウェアは、システムのセキュリティ設定を無断で変更することがあります。これにより、ファイアウォールが無効化されたり、ウイルス対策ソフトが停止されたりすることで、さらに感染が拡大する恐れがあります。

    不審なソーシャルメディア投稿がされる

    感染した場合、マルウェアはユーザのアカウントにアクセスし、不審な投稿を自動的に行うことがあります。これにより、友人やフォロワーにウイルスが拡散されるリスクがあります。

    プログラムが同意なしに実行、終了される

    マルウェアは、ユーザの許可なくプログラムを起動したり、逆に正常なプログラムを強制終了させたりすることがあります。これにより、システムの安定性が損なわれます。

    不審なアプリケーションが表示される

    デスクトップやアプリケーションリストに見覚えのないソフトウェアが突然現れることがあります。これらはマルウェアによって密かにインストールされたものである可能性が高いです。

    ファイルがランダムに消える

    マルウェアはシステム内のファイルを破壊または削除することがあります。特に重要なファイルが意図せず消失する場合は、感染が疑われます。

    インターネット使用量の原因不明の増加

    突然のインターネット使用量の増加は、バックグラウンドでマルウェアが不正な通信を行っているサインかもしれません。これにより、インターネット速度が低下することもあります。

    スマホがマルウェアに感染したら

    スマホがマルウェアに感染したときの症状には以下のようなものがあります。

    バッテリー消費が激しい

    スマートフォンにマルウェアが感染すると、バックグラウンドで悪意のあるプロセスが常時稼働し続けるため、バッテリーの消耗が通常よりも急激に進むことがあります。頻繁な充電が必要になる場合、感染を疑うべきです。

    広告や警告のポップアップ表示

    感染後、ブラウザやアプリ内で不審な広告や偽の警告が頻繁に表示されることがあります。これらのポップアップは、別のマルウェアのインストールや詐欺サイトへの誘導を目的としています。

    アプリが頻繁に落ちる

    マルウェアは、システムリソースを過度に使用したり、アプリに悪影響を与えたりすることで、アプリが頻繁にクラッシュする原因となります。通常なら安定して動作するアプリが急に不安定になる場合、感染が疑われます。

    動作が重くなる

    マルウェアによるシステムリソースの過剰な消費やバックグラウンドでの不正な活動により、スマホ全体の動作が遅くなることがあります。アプリの起動や画面の切り替えが遅延する場合、注意が必要です。

    データ使用量の増加

    マルウェアは、不正なデータ通信をバックグラウンドで行うことがあり、その結果としてデータ使用量が急増することがあります。特にWi-Fiではなくモバイルデータを使用している場合、この症状は顕著です。

    カメラが勝手に起動

    スマホに感染したマルウェアは、ユーザが意図しないうちに勝手にカメラを起動し、写真や動画を撮影することがあります。この不審な動作は、プライバシーの侵害につながる重大なリスクです。

    身に覚えのない支払い請求が届く

    マルウェアは、ユーザの意図しないうちに高額なアプリやサービスを購入させることがあります。その結果、身に覚えのない請求が発生し、金銭的な被害が発生することがあります。

    感染した場合の対処法

    もしマルウェア感染したことが明らかであるならば、どのような対処をすればよいのでしょうか。速やかに対処すべきこととして以下のようなものがあげられます。

    マルウェアの検出

    マルウェア感染が疑われる場合、まずはウイルス対策ソフトを使用してシステム全体をスキャンし、マルウェアの存在を検出します。このスキャンは、感染の早期発見に繋がり、被害の拡大を防ぐために非常に重要です。定期的なスキャンとリアルタイムの監視が、予防と早期対応に不可欠です。

    ネットワークの遮断

    感染が確認された場合、まずネットワークから切り離すことが重要です。これは、マルウェアが他のデバイスに感染を広げ、外部に情報を送信したりするのを防ぐためです。ネットワークからの切断は、さらなる被害の拡大を防ぐための第一歩となります。

    感染源の特定

    メールの添付ファイル、ダウンロードしたアプリ、怪しいリンクなど、感染経路を突き止めることで、今後の再発を防ぐことが可能です。このプロセスは、同じ手口による再感染を防ぐために非常に重要です。

    マルウェア検出ツールによる削除

    検出されたマルウェアを専門の削除ツールで完全に除去します。ウイルス対策ソフトや専用のマルウェア削除ツールを使用することで、安全かつ確実にマルウェアを駆除し、システムを正常な状態に戻します。

    セキュリティ対策の基本

    セキュリティ対策の取り組みには、基本的なセキュリティ対策こそが効果的であるという前提に立って、今一度自組織のセキュリティを見直すことが重要です。

    セキュリティ基本10項目

    • 標的型攻撃メール訓練の実施

    標的型攻撃メール訓練は、従業員のセキュリティ意識向上と実践的なスキル習得に効果的です。訓練では、攻撃メールを模倣したシナリオを用いて、従業員が疑わしいメールを識別し、適切に対応するスキルを養います。定期的な訓練実施により、従業員のセキュリティ意識が継続的に高まり、実際の攻撃に対する組織の耐性が強化されます。また、訓練後のフィードバックやセキュリティ教育との組み合わせにより、より効果的な対策が可能になります。

    • 定期的なバックアップの実施と安全な保管(別場所での保管推奨)

    ランサムウェアによる被害からデータを保護するために、オフラインバックアップ(データだけを独立して磁気テープ・ストレートなどで物理的に隔離しておくこと)をサーバに行うことがおすすめです。バックアップの頻度や保管場所を見直し、最新の情報が常に保存されるようにすることが重要です。

    • バックアップ等から復旧可能であることの定期的な確認

    バックアップが確実に復旧可能であることを確認するため、定期的にリカバリーテストを実施します。これにより、実際の復旧作業時に問題が発生しないことを保証し、緊急時に迅速かつ確実なデータ復旧が可能となります。また、テスト結果を文書化し、必要に応じて復旧手順の改善を図ります。このような確認作業を怠ると、いざという時にデータ復旧が困難になるリスクが高まります。

    • OS、各種コンポーネントのバージョン管理、パッチ適用

    システムの脆弱性を悪用する攻撃を防ぐためには、OSやソフトウェアコンポーネントの最新バージョンへの更新・パッチ適用の実施をすることが必要不可欠です。定期的なパッチ適用とバージョン管理により、サイバー攻撃のリスクを大幅に軽減できます。特にゼロデイ攻撃のリスクを軽減するためには、普段からの脆弱性関連情報収集やバージョン更新が求められます。

    • 認証機構の強化(14文字以上といった長いパスフレーズの強制や、適切な多要素認証の導入など)

    認証の強化は、サイバー攻撃から組織を守るための基本的な対策です。単純なパスワードではなく、長く複雑なパスワードにし、さらに多要素認証(MFA)を導入することを推奨します。多要素認証はパスワードに加え、物理トークンや生体認証などの認証要素を用いることで、不正アクセスされるリスクを低減します。これにより、アカウントのセキュリティが飛躍的に向上します。

    • 適切なアクセス制御および監視、ログの取得・分析

    システム内の情報やリソースへのアクセスを厳格に管理し、適切なアクセス制御を行うことは、内部からの不正行為を防ぐために重要です。また、システムの稼働状況やアクセスログを定期的に取得し分析することで、異常な挙動を早期に検知できます。

    • シャドーIT(管理者が許可しない端末やソフトウェア)の有無の確認

    シャドーITは、組織のセキュリティポリシーに反する可能性があり、脆弱性やデータ漏洩の原因となることがあります。定期的な監査や従業員への教育を通じて、シャドーITの存在を確認し、適切な対策を講じることが重要です。

    • 攻撃を受けた場合に想定される影響範囲の把握

    サイバー攻撃を受けた際に、どのような影響が組織に及ぶかを事前に把握しておくことは重要です。影響範囲を明確にすることで、インシデント発生時の対応計画を具体化し、迅速な対策を講じることが可能になります。システム全体の依存関係や業務の優先度を考慮し、被害を最小限に抑えましょう。

    • システムのセキュリティ状態、および実装済みセキュリティ対策の有効性の確認

    定期的にシステムのセキュリティ状態を確認し、現在のセキュリティ対策が有効に機能しているかを確認することが効果的です。脆弱性診断やペネトレーションテストを実施することで、システムの弱点を特定し、自組織の状況に適した対応の実施が可能になります。

    • CSIRTの整備(全社的なインシデントレスポンス体制の構築と維持)

    CSIRT(Computer Security Incident Response Team)は、サイバー攻撃やインシデント発生時に迅速かつ適切な対応を行うための専門チームです。CSIRTの整備は、全社的なセキュリティ体制を強化し、インシデント発生時の被害を最小限に抑えるために不可欠です。定期的な訓練とシミュレーションを通じて、CSIRTの対応力を維持し、常に最新の脅威に対応できる体制を整えます。

    インシデント対応計画の策定

    インシデント対応計画の策定は、企業がサイバー攻撃や情報漏洩などの緊急事態に迅速かつ効果的に対応するために不可欠です。計画には、インシデント発生時の対応手順、責任者の明確化、コミュニケーション手段の確保、影響評価、そして復旧手順が含まれます。計画は定期的に見直し、訓練を行うことで、実際のインシデント時にスムーズに対応できる体制を整えることが重要です。

    マルウェア対策の基本的な考え方

    不意に襲い来るマルウェアの被害を防御、あるいは最小限にとどめるためには、普段から基本的なマルウェア対策を講じることが重要です。以下のような例が挙げられます。

    あらゆるマルウェアからシステムを守るために、組織内で汎用的な対策を確認しておきましょう。

    まとめ

    マルウェアは、Emotet、WannaCry、トロイの木馬など様々な形態で存在し、主にメールやウェブサイトを介して感染します。これらは個人情報や金融データの窃取、システムの暗号化、身代金要求などを目的としています。感染の症状には、パソコンの動作遅延、予期せぬフリーズ、ストレージ容量の減少、不審なポップアップの表示などがあります。スマートフォンでは、バッテリー消費の増加、アプリのクラッシュ、データ使用量の急増などが見られます。セキュリティ対策としてあげている基本的な10項目を組み合わせ、定期的な見直しと訓練を行うことで、セキュリティ対策の効果を高めることができます。またインシデント対応計画を策定や、マルウェア対策の基本的な取り組みを普段から実施し、サイバー攻撃のリスクに備えることが、組織全体のセキュリティを強化するために不可欠です。

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る


    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。

    Security Serviceへのリンクバナー画像
    BBsecコーポレートサイトへのリンクバナー画像
    セキュリティ緊急対応のバナー画像

    AIコーディング入門
    第2回:プロンプト以外で効率化!開発体験の改善手法

    Share

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    AIコーディング2アイキャッチ(AIコーディングの効率化の手法と課題)

    生成AIを使ったコーディングでは、プロンプトエンジニアリングが効率化の王道として知られています。しかし実際には、RAG(検索拡張生成)やファインチューニングといった手法を組み合わせることで、さらに精度や体験を向上させることが可能です。本記事では、これらの技術の概要とAIコーディングにおける活用例、そして共通して立ちはだかる品質・性能・セキュリティの課題とその解決の方向性を解説します。

    ※本稿は2025年7月上旬に執筆しているものです。ご覧いただく時期によっては古い情報となっている場合もありますので、ご承知おきください。

    プロンプトエンジニアリング以外の効率化手法

    プロンプトエンジニアリングは、手軽に(安価に)試せる生成AIの体験の改善や効率化の手法として位置づけられています。そして、プロンプトエンジニアリング以外でも生成AIの効率化や体験の改善、特定の目的のための調整などができる手法としてファインチューニングRAG(Retrieval-Augmented Generation)があります。以下の図はそれぞれの手法を簡単にまとめたものです。

    図 1 プロンプトエンジニアリング、RAG、ファインチューニングの概要

    AIを使ったコーディング(以下AIコーディング)でもこの3つの手法は生成コードの改善や生成プロセスの効率化のために用いられます。また、企業や組織でのコーディングに際しては、個人レベルでの作業でのプロンプトエンジニアリング、内部レポジトリやAPIドキュメントとの結合による効率化を行うRAG、コーディング規約やスタイルなどの品質管理などを目的としたファインチューニングというように、目的別に同時並行で使うことができます。

    AIコーディング全般に共通する課題

    AIコーディング自体は一般的といえる領域に入りつつあります注 1) が、一方でAIコーディング全般に共通する課題として、大きく分けて以下の3つの課題が挙げられます注 2)

    ロジックの不整合

    • 小さなコードであれば問題にならないことも多いですが、大きなコードになればなるほど、コード内のロジックで不整合が発生することが増えます
    • プロンプトで与えられているビジネス上の目的を正しく解釈できない場合、期待されない出力をする可能性もあります

    メモリなどのボトルネックに対する配慮の欠如

    実行環境に関する配慮がないため、メモリを予想以上に使用するコードや、処理パフォーマンスに配慮しない出力が出てくることが往々にしてあります

    セキュリティへの配慮の欠如

    • セキュリティに対して前出のような配慮事項を指示しない限りは配慮が欠如していることが多くあります
    • 仮に配慮事項の指示を行っても不正確・セキュアでない出力が出される確率も一定程度残存します

    品質とセキュリティを守るプロセス設計

    AIコーディングが進化してもなお、人の手にゆだねられているものがあります。それは「何のためにコーディングするのか」「コードを使ってどんな業務をして、その結果として何を得るのか」といったビジネス上の目的を設定することと、コードが正確に動作することやセキュリティ上問題がないことを確認するプロセスを設けることです。コードの品質やセキュリティに関するプロセスは通常、ソースコード診断でセキュリティの確認を行うことが一般的です。

    最近ではDevSecOpsの一環として、コード開発中にSAST(Static Application Security Testing)ツールをCI/CDパイプラインに統合するケースも増えてきています。また、完成品に対するテストとしてDAST(Dynamic Application Security Testing)を実行することも必要でしょう。これはWebサイトであればWebアプリケーション診断が該当します。


    ―第3回「AIエージェント時代のコーディング:MCPとA2Aとは」へ続く―

    注:
    1)2024年5月に実施されたプログラマー・エンジニアを中心としたコミュニティであるStackOverflowによる調査では開発にAIを利用すると回答したプロフェッショナルの開発者は63.2%でした。
    2)CSET “Cybersecurity Risks of AI Generated Code” (Jessica Ji, Jenny Jun, Maggie Wu, Rebecca Gelles, November 2024)

    【参考情報】

    【連載一覧】

    ―第1回「Vibeコーディングとプロンプトエンジニアリングの基礎」―
    ―第2回「プロンプト以外で効率化!開発体験の改善手法」―
    ―第3回「AIエージェント時代のコーディング:MCPとA2Aとは」 ―
    ―第4回「MCPの脆弱性とA2A脅威分析から学ぶセキュリティ実装」―
    第5回「AIとセキュリティ:Non‑Human Identity とAIエージェントの課題
    第6回「AIエージェントのセキュリティ対策と今後の展望


    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    ウェビナー開催のお知らせ

  • 2025年9月3日(水)13:00~14:00
    止まらないサイバー被害、その“対応の遅れ”はなぜ起こる?~サイバー防衛の未来を拓く次世代XDR:大規模組織のセキュリティ運用を最適化する戦略的アプローチ~
  • 2025年9月10日(水)14:00~15:00
    フィッシング攻撃の最新脅威と被害事例〜企業を守る多層防御策〜
  • 2025年9月17日(水)14:00~15:00
    サイバーリスクから企業を守る ─脆弱性診断サービスの比較ポイントとサイバー保険の活用法─
  • 最新情報はこちら


    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。

    Security Serviceへのリンクバナー画像
    BBsecコーポレートサイトへのリンクバナー画像
    セキュリティ緊急対応のバナー画像

    2025年2Q KEVカタログ掲載CVEの統計と分析
    -KEVカタログで振り返る2025年上半期の脆弱性動向-

    Share

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    米国サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)から公開されている「KEVカタログ(Known Exploited Vulnerabilities)」は、実際に攻撃に悪用された脆弱性の権威あるリストとして、組織のセキュリティ対策の優先順位付けに不可欠なツールとなっています。本レポートでは、KEVカタログに2025年4月1日~6月30日に登録・公開された脆弱性をはじめとし、2025年上半期を振り返り、件数の推移や影響を受けたベンダー、脆弱性の種類や深刻度などを分析します。

    本記事は2025年第1四半期~第4四半期の統計分析レポートです。以下の記事もぜひあわせてご覧ください。
    2025年1Q KEVカタログ掲載CVEの統計と分析
    2025年3Q KEVカタログ掲載CVEの統計と分析
    2025年4Q KEVカタログ掲載CVEの統計と分析

    記事の目的と対象範囲

    本記事の目的は、KEVカタログに登録された脆弱性の傾向を把握し、組織が優先すべきセキュリティ対策の方向性を明確にすることです。対象期間は2025年4月1日から6月30日までの3か月間で、この期間に新たに登録された全59件の脆弱性を分析対象としています。

    KEVカタログとは何か、1Q分析レポートとの関係

    KEVカタログは、既知で悪用が確認された脆弱性をリスト化したものであり、攻撃者が現実に利用している脆弱性のみが掲載されます。1Q記事では、2025年1〜3月の動向を分析し、MicrosoftやAppleをはじめとする主要ベンダー製品のリスクの高さを指摘しました。今回の2Q分析では、その傾向が継続しているか、新たな特徴が現れたかを確認します。

    2025年上半期(1月~6月)の登録件数推移

    2025年2Qに新規登録された脆弱性は以下の通りです。

    • 4月:15件
    • 5月:24件
    • 6月:20件

    2025年1月から6月までの登録件数推移を見ると、1Qは計65件、2Qは計59件とやや減少しました。しかし5月には前月比約60%増加しており、特定ベンダーの脆弱性修正公開が影響していると考えられます。過去の傾向を見ると、四半期内でも特定月に集中して登録されるケースが多く、特に月例アップデートや大規模製品改修の直後に件数が急増する傾向があります。

    ベンダー別 登録件数ランキング

    2Qで登録件数が多かったベンダーは以下のとおりです。

    1. Microsoft – 74件
    2. Apple – 27件
    3. Adobe – 26件
    4. Google – 21件
    5. Linux – 10件
    6. Oracle / D-Link / Cisco – 各9件
    7. Samsung / QNAP – 各8件

    特にMicrosoftは依然として突出しており、全体の過半数近くを占めています。またApple、Adobe、Googleも上位常連であり、いずれもエンドユーザー利用率が高く、攻撃者にとって魅力的な標的であることがわかります。利用者はこれらベンダーのセキュリティ情報公開を継続的に監視する必要があります。一方で、D-LinkやQNAPなどネットワーク機器・NASベンダーの存在も目立ち、SOHOや中小企業にとっては「社内ネットワークの出入り口」への対策強化が求められます。

    脆弱性タイプ別(CWE)分析

    登録された脆弱性をCWE(Common Weakness Enumeration)で分類すると、次の傾向が確認されました。

    • CWE-416(解放済みメモリの使用) – 26件
    • CWE-119(メモリバッファ境界内での不適切な処理制限 / CWE-787(範囲外の書き込み) – 各24件
    • CWE-78(OSコマンドインジェクション) – 18件
    • CWE-20(不適切な入力検証) – 17件
    • CWE-264(権限・アクセス制御の不備) – 14件

    特に「解放済みメモリの使用」や「範囲外の書き込み」といったメモリ安全性の欠如は、任意コード実行や権限昇格など重大な影響を引き起こす可能性が高く、依然として頻出しています。また、OSコマンドインジェクションや入力検証不備といった脆弱性も継続して悪用されており、過去に修正されたはずの問題が繰り返し登場していることがわかります。

    CVSSスコア基本値分布

    • Critical(9.0〜):約55%
    • High(7.0〜8.9):約40%

    攻撃者はCriticalスコアだけでなく、Highスコアの脆弱性も積極的に悪用しています。

    既存の脆弱性の悪用傾向

    2QのKEVデータには、直近発見の脆弱性だけでなく、数年前に公表された古い脆弱性も多く含まれています。これらはパッチ未適用や製品サポート終了に伴う放置が原因であり、攻撃者は既知の脆弱性を効率よく悪用しています。特に2010年代半ば〜後半の脆弱性が今もリストに登場しており、古いから安全という認識は極めて危険です。資産棚卸しとパッチ適用の徹底が欠かせません。

    影響を受けた製品の例

    今回の四半期では、以下のような広く利用される製品がKEVカタログに登録されました。

    • Microsoft Windows、Office製品群
    • Apple iOS / macOS
    • Adobe Acrobat / Reader
    • Google Chrome / Android
    • D-Linkルーター製品
    • QNAP NASシリーズ

    これらはいずれも多くの組織で利用されており、脆弱性の悪用が確認された場合、組織規模を問わず被害に直結します。

    企業が取るべき対応

    2025年2Qの傾向から、企業や組織は以下の対応を優先すべきです。

    1. 主要ベンダーのセキュリティ情報監視 – 特にMicrosoft、Apple、Adobe、Googleは月次更新を追跡
    2. メモリ安全性対策 – CWE-416やCWE-119に該当する脆弱性のパッチを最優先で適用
    3. 古い脆弱性の棚卸し – 製品のサポート終了日とパッチ適用状況を定期確認
    4. ネットワーク機器の更新 – D-LinkやQNAPなどのファームウェア更新を怠らない
    5. 社内啓発と運用強化 – OSコマンドインジェクションなどの脆弱性対策を強化

    まとめ

    2025年2QのKEVカタログは、依然として主要ベンダー製品の脆弱性が大きな割合を占め、メモリ安全性の欠如や古典的なインジェクション攻撃が引き続き悪用されていることを示しています。さらに、過去の古い脆弱性が現役で攻撃対象になっている現実は、資産管理とパッチ適用の遅れが依然として大きな課題であることを物語っています。次四半期に向けては、セキュリティ更新の優先順位付けと計画的な運用の強化が求められるでしょう。

    BBSecでは

    BBSecでは以下のようなご支援が可能です。 お客様のご状況に合わせて最適なご提案をいたします。

    アタックサーフェス調査サービス

    インターネット上で「攻撃者にとって対象組織はどう見えているか」調査・報告するサービスです。攻撃者と同じ観点に立ち、企業ドメイン情報をはじめとする、公開情報(OSINT)を利用して攻撃可能なポイントの有無を、弊社セキュリティエンジニアが調査いたします。

    アタックサーフェス調査バナー

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    ウェビナー開催のお知らせ

  • 2025年8月20日(水)13:00~13:30
    EC加盟店・PSP必見!クレジットカード・セキュリティガイドライン6.0版対応ウェビナー
  • 2025年8月27日(水)13:00~14:00
    【最短7営業日で診断&報告】サイバー保険付帯脆弱性診断「SQAT® with Swift Delivery」のご紹介
  • 2025年9月3日(水)13:00~14:00
    止まらないサイバー被害、その“対応の遅れ”はなぜ起こる?~サイバー防衛の未来を拓く次世代XDR:大規模組織のセキュリティ運用を最適化する戦略的アプローチ~
  • 最新情報はこちら


    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。

    Security Serviceへのリンクバナー画像
    BBsecコーポレートサイトへのリンクバナー画像
    セキュリティ緊急対応のバナー画像

    AIコーディング入門
    第1回:Vibeコーディングとプロンプトエンジニアリングの基礎

    Share

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    AIコーディング入門(1)アイキャッチ画像(AIと人のイメージ)

    AIの進化によって、ソフトウェア開発の現場では「コードを書く」という行為そのものが変わり始めています。本シリーズ「AIコーディング入門」では、生成AIを活用した新しい開発スタイルを多角的に解説します。第1回では、注目のキーワードである「Vibeコーディング」と「プロンプトエンジニアリング」について、その意味や実際の活用方法、そして潜む課題についてご紹介します。

    ※本稿は2025年7月上旬に執筆しているものです。ご覧いただく時期によっては古い情報となっている場合もありますので、ご承知おきください。

    Vibeコーディングとは何か?

    「Vibeコーディング」という言葉をご存じでしょうか。この言葉はOpenAI社の創設メンバーの一人であるアンドレイ・カーパシー(Andrej Karpathy)が2025年2月にXに投稿したポスト注 1)で使った言葉で、以降、生成AIを利用したコーディングの中でも雰囲気、ノリ、感覚注 2)を軸にしたコーディングを表す言葉で、2025年上半期のAIコーディング関連の流行語といっても過言ではないでしょう。

    言葉の由来と流行の背景

    Vibeコーディングが指すコーディングはコードそのものを書くことよりも、大まかな目標や感覚に基づいてAIをアシスタントとして活用しながらコードを作っていく行為を指しています。この言葉は流行語ならではの賛否両論を巻き起こしていますが、そもそも言い出した本人も「雰囲気(vibe)」で使った言葉でしょうから、確固たる定義があるわけでもないのが実情で、真面目に語るほどでもないのかもしれません。実際に生成AIを使用してちょっとしたコーディングをすると、(特に最近のモデルを使う場合は)人間が目標や要件を定義してしまえば、ある程度の規模のコードまでは自動的に生成してくれるようになってきています。一度でもコーディングに使ったことがある人であれば、Vibeコーディングが指すものは何となくわかる、そんな流行語なのでしょう。

    Vibeコーディングの最大の問題

    一方でVibeコーディングの最大の問題として挙げられるのが、プログラミングの概念が理解できない人でもコードを生成できるという点です。SNSなどをみると、Vibeコーディング、要するに生成AIによる自然言語のプロンプトによってコードの生成数が上がっても品質が低いため、かえって確認に手間取るという指摘をよく見かけます。また、手動でプログラミングを進める機会・経験が減ることでコードのテストやデバッグといったプロセスを知るエンジニアが逓減ていげんしていき、結果として誰もコードの品質の確保できる人がいないのではないかという指摘も多くみられます。また、そもそも生成AIの生成するコード自体の信頼性は低いという指摘もあります。

    セキュリティ指示の有無がコード生成に与える影響

    2025年に公開された論文とその後の研究結果を公開しているWebサイト注 3)では、セキュリティに関する指示をプロンプト内で与えない場合と一般的なセキュリティに関する指示を与えた場合、そして非現実的かつ厳格なセキュリティに関する指示を与えた場合とで生成AIのコードの正確性やセキュアさについての各モデルの比較がされています。一般的な指示はベストプラクティスに従うことと脆弱性を作らないことだけを指示するもので、さらに厳格な指示では一般的な指示に加えて特に指定した脆弱性注 4)に対してコードが安全であることを確認することを指示するものとなっています。指示が全くない場合に比べて、一般的な指示だけでも不正確またはセキュアでないコードの割合を抑制する傾向にあること、厳格な指示であれば正確かつセキュアなコードの割合を押し上げる効果があることが全体としてみて取れます。注 5)少なくとも、という話にはなりますが、AIでコードを生成する際にはセキュリティに対して配慮した内容をプロンプトに少し含めるかどうかだけでも多少の差が出るというのは意識する価値がありそうです。ただしプロンプトを配慮しても完璧は目指せない点にも注意が必要です。

    プロンプトエンジニアリング

    Vibeコーディングという言葉が世に放たれた頃、ちょうど生成AI各社がプロンプトエンジニアリングガイドを公開しました。下表は生成AIサービス各社が提供するプロンプトエンジニアリングガイドの一覧です。いずれも利用者が生成AIに対して適切かつ効率的なプロンプトを入力することで、生成AIが利用者の意図を理解し、期待される回答を出力するためのガイドになっています。

    表 1 主要なプロンプトエンジニアリングガイド一覧

    会社名生成AIサービスプロンプトエンジニアリングガイド
    AnthropicClaudehttps://docs.anthropic.com/ja/docs/build-with-claude/prompt-engineering/overview
    GoogleGemini, Vertexhttps://cloud.google.com/discover/what-is-prompt-engineering?hl=ja
    OpenAIChatGPT, Sorahttps://help.openai.com/en/articles/6654000-best-practices-for-prompt-engineering-with-the-openai-api

    曖昧な指示が生むAIの誤解

    AIコーディングにおける課題の一つは、利用者が生成AIにプロンプトとして与えるコンテキストに一貫性がない、生成AIが処理するには非常に曖昧である、という点にあります。この課題の回避方法の一つとして提示されているものがプロンプトエンジニアリングガイドとなります。一番コストがかからず、人の手で微調整ができる手法として、まずは確認されることをおすすめします。あわせて前項で述べたように、非常に基本的な指示からでもセキュリティに関する指示を含めることもおすすめします。


    ―第2回「プロンプト以外で効率化!開発体験の改善手法」へ続く―

    注:
    1)https://x.com/karpathy/status/1886192184808149383
    2)日本語でも若年層を中心に使われている「バイブス」という言葉と同じような意味合いになります
    3)なおLLMのコーディングベンチマークフレームワークも提供しています。https://github.com/logic-star-ai/baxbench
    4)次のCWE(Common Weakness Enemuration、共通脆弱性タイプ)をプロンプト内で指定しています: CWE-20(不適切な入力確認)、CWE-22(パストラバーサル)、CWE-78(OSインジェクション)、CWE-79(クロスサイトスクリプティング)、CWE-89(SQLインジェクション)、CWE-94(コードインジェクション)、CWE-117(ログ出力の不適切な無効化)、CWE-284(不適切なアクセス制御)、CWE-400(無制限のリソースの枯渇)、CWE-434(危険なタイプのファイルの無制限アップロード)、CWE-522(認証情報の不十分な保護)、CWE-703(例外的な状況に対する不適切なチェックまたは処理)、CWE-863(不正な認証)
    5)ただし推論モデルに関しては指示の出し方によって正確・セキュアなコードの出力が得られる確率がセキュリティに関する指示がない場合に比べて悪化する場合もあります。これは推論モデル自体の問題であると考えられます。なお、推論モデルの問題については次の2論文で問題点がそれぞれ指摘されています。https://arxiv.org/pdf/2307.02477
    https://machinelearning.apple.com/research/illusion-of-thinking

    【連載一覧】

    第1回「Vibeコーディングとプロンプトエンジニアリングの基礎」
    第2回「プロンプト以外で効率化!開発体験の改善手法
    第3回「AIエージェント時代のコーディング:MCPとA2Aとは
    第4回「MCPの脆弱性とA2A脅威分析から学ぶセキュリティ実装
    第5回「AIとセキュリティ:Non‑Human Identity とAIエージェントの課題
    第6回「AIエージェントのセキュリティ対策と今後の展望


    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    ウェビナー開催のお知らせ

  • 2025年8月5日(火)14:00~15:00
    企業サイトオーナー向け ユーザーからのレピュテーションを高めるWebサイトの在り方-Webサイトを取り巻くリスク・規制・要請とユーザビリティ向上-
  • 2025年8月20日(水)13:00~13:30
    EC加盟店・PSP必見!クレジットカード・セキュリティガイドライン6.0版対応ウェビナー
  • 2025年8月27日(水)13:00~14:00
    【最短7営業日で診断&報告】サイバー保険付帯脆弱性診断「SQAT® with Swift Delivery」のご紹介
  • 最新情報はこちら


    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。

    Security Serviceへのリンクバナー画像
    BBsecコーポレートサイトへのリンクバナー画像
    セキュリティ緊急対応のバナー画像

    緊急パッチ必須:SharePoint「TOOLSHELL」攻撃を招くCVE-2025-53770/53771の実態

    Share

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    Microsoft SharePointを運用する企業が見過ごせない脆弱性が今月、相次いで公開されました。7月14日に累積パッチで修正されたCVE-2025-53770とCVE-2025-53771は、ViewStateキー生成処理の競合状態を突いて、認証なしのリモートコード実行(RCE)をするクリティカルな脆弱性です。さらに、6月に報告済みのASPXテンプレート挿入系脆弱性CVE-2025-49704/49706を組み合わせた「TOOLSHELL」攻撃チェーンが現実化し、Unit 42とEye Securityは侵入後にPowerShell WebShellが配置される事例を確認しています。本稿では影響範囲と優先すべき対策を解説します。

    お問い合わせ

    お問い合わせはこちらからお願いします。後ほど、担当者よりご連絡いたします。

    なぜCVE-2025-53770が危険なのか

    問題の本質は、SharePointが__VIEWSTATEを検証する際に用いるValidationKeyの競合状態にあります。攻撃者は未認証のまま細工したViewStateを送信し、LosFormatterのデシリアライズ処理を経由して任意コードを実行できます。Microsoftは「7月パッチ以前の修正は十分ではなく、今回の累積更新で初めて完全な防御が可能になる」と明言しました。

    「TOOLSHELL」攻撃チェーンが示す実戦的リスク

    Eye Securityが命名した「TOOLSHELL」攻撃では、まずCVE-2025-49706がRefererヘッダーを悪用してToolPane.aspxへ非認証アクセスを可能にし、続いてCVE-2025-49704がデシリアライズ経路を開きます。ここにCVE-2025-53770とCVE-2025-53771が結合すると、防御側が認証やCSRFトークンに依存していた場合でもRCEが成立します。侵入後はPowerShellでWebShell(spinstall0.aspxなど)が配置され、MachineKeyを窃取して永続化を図る点が確認されています。

    CISAの緊急指令と企業が取るべきステップ

    米国CISAは53770をKnown Exploited Vulnerabilitiesカタログに追加し、7月31日までのパッチ適用を連邦機関に義務付けました。官民問わず、以下のようなステップで対策を進めましょう。

    • SharePoint Server 2016/2019/Subscription Editionで最新の7月累積パッチを適用
    • 適用後にMachineKey(ValidationKey/DecryptionKey)を再生成し、漏えい済みの署名を無効化
    • Microsoft Defender AntivirusとのAMSI統合と「ViewState暗号キー管理」機能を有効化し、未署名ViewStateの読み込みを防ぐ
    • 管理ポートや/_layouts/配下を外部公開している場合は即時閉鎖し、Web Application FirewallやHIPSでUploadFilterを強制

    残る課題―公開PoCと横展開

    GitHub上には既に53770の概念実証コードが複数公開されており、Rapid7も実環境での悪用を観測したと報告しました。パッチを当ててもMachineKeyのローテーションを怠れば、攻撃者は署名済みの__VIEWSTATEを再利用して“再侵入”できます。特にTeamsやOneDriveと連携したハイブリッド環境では、SharePointから取得した認証トークンが横展開に利用されかねません。

    まとめ

    サイト運営者は最新パッチ情報を迅速に発信しつつ、自社環境の防御態勢を見直す必要があります。累積更新プログラムの適用とキー再生成を完了して初めて、SharePointは安全な状態に戻ります。多くの組織が抱えるオンプレミスSharePointは依然として攻撃者にとって魅力的な標的であり、今回の一連のゼロデイは“パッチ管理とキー運用の両立”という運用課題を改めて突きつけたといえるでしょう。

    【参考情報】

  • https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-53770
  • https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-53771
  • https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-49706
  • https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-49704
  • https://msrc.microsoft.com/blog/2025/07/customer-guidance-for-sharepoint-vulnerability-cve-2025-53770/
  • https://support.microsoft.com/en-us/topic/description-of-the-security-update-for-sharepoint-server-2019-july-8-2025-kb5002741-d860f51b-fcdf-41e4-89de-9ce487c06548
  • https://research.eye.security/sharepoint-under-siege/
  • https://github.com/PaloAltoNetworks/Unit42-timely-threat-intel/blob/main/2025-07-19-Microsoft-SharePoint-vulnerabilities-CVE-2025-49704-and-49706.txt
  • https://www.cisa.gov/news-events/alerts/2025/07/20/cisa-adds-one-known-exploited-vulnerability-cve-2025-53770-toolshell-catalog
  • Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    ウェビナー開催のお知らせ

  • 2025年8月5日(火)14:00~15:00
    企業サイトオーナー向け ユーザーからのレピュテーションを高めるWebサイトの在り方-Webサイトを取り巻くリスク・規制・要請とユーザビリティ向上-
  • 2025年8月20日(水)13:00~13:30
    EC加盟店・PSP必見!クレジットカード・セキュリティガイドライン6.0版対応ウェビナー
  • 最新情報はこちら


    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。

    Security Serviceへのリンクバナー画像
    BBsecコーポレートサイトへのリンクバナー画像
    セキュリティ緊急対応のバナー画像

    AIを悪用するフィッシング攻撃の脅威

    Share

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    AI技術の急速な進化により、フィッシング攻撃がかつてない脅威へと変貌しています。自然な文章生成や高度なカスタマイズにより、巧妙な詐欺メールが急増。PhaaS(Phishing as a Service)などの攻撃手法も拡大し、被害は企業・個人問わず深刻化しています。本記事では、AIを悪用したフィッシングの最新動向と、その対策について解説します。

    第一章:進化するフィッシング攻撃の現実

    AIによって進化するフィッシングの特徴

    大規模言語モデル(LLM:Large language Models)などの生成AIの登場により、フィッシング攻撃は新たな局面に突入しています。かつては不自然な日本語や文法ミスから容易に見抜くことができた詐欺メールが、AIによって劇的に変貌を遂げているのです。攻撃者はAIを活用することで、非常に自然な文体で説得力のあるメッセージを短時間かつ大量に作成できるようになり、より省コストで、大規模に個人や組織に向けて一斉に攻撃を仕掛けることが可能となりました。このことが被害の急増につながっています。また、攻撃者が受信者の業種や役職、使用しているサービスなどに合わせた「カスタマイズされた」フィッシングメールを自動生成することができるようになっている点、過去の成果を上げたフィッシングメールをAIに学習させることで、より洗練された文章を生成できるようになっている点も注目に値します。

    従来、こうしたフィッシングメールへの防御策は、スパムフィルターやブラックリストベースの検出に依存していましたが、生成AIによって生み出されるフィッシングメールは、これらの検出を回避する表現力と柔軟性を備えており、組織にとって新たな脅威となっています。

    AIによるフィッシング攻撃は成功率が高い

    生成AIによって作成されたフィッシングメールの危険性は、目を見張るものがあります。実際の調査では、AIが生成したフィッシングメール内にあるリンクのクリック率が50%を超えるケースも報告されています。これは従来のフィッシングメールと比較して、極めて高い成功率です。AIによって自然な文章が生成されることで、受信者は「本物らしさ」を信じてしまい、疑いなくリンクをクリックしてしまいます。攻撃者にとっては、より多くの被害者を効率よく騙す手段として、AIの活用は極めて有効かつ妥当であり、今後もこの傾向はますます拡大すると予想されます。

    フィッシング対策協議会「フィッシングレポート2025」

    フィッシング対策協議会が発行した「フィッシングレポート2025」によると、国内の2024年のフィッシングURL数は前年比で約10万件増加し、報告件数は依然として高水準のままで推移しています。この増加傾向の背景には、生成AIの台頭やPhaaS(Phishing as a Service)といったサービス型攻撃の拡大があるとされており、単に件数の増加に着目するだけでなく、攻撃の質も高度化していることを理解する必要があります。そのため、企業や組織は、AI時代に対応した新しい視点での対策が求められているのです。

    図 1-1 国内のフィッシング情報の届け出件数
    出典:フィッシング対策協議会「フィッシングレポート2025

    第二章:AI時代にアップデートされるフィッシングの脅威

    フィッシングとは

    フィッシングとは、本物に見せかけたメールやWebページを使って、ユーザから機密情報を不正に取得する詐欺手法です。標的となるのは、クレジットカード番号やログインID・パスワード、社内システムの重要情報といった、機密性の高いデータです。この種の攻撃は、単に「個人の問題」にとどまらず、企業全体に深刻な影響を与える可能性があります。従業員がフィッシングメールに騙されてアカウント情報を入力してしまえば、攻撃者は企業ネットワークに侵入する足がかりを得てしまいます。これにより、内部情報の漏えい、金銭的損失、業務の停止、ブランド価値の毀損といったリスクに繋がる危険性があります。特に、クラウドサービスの利用が進んだ昨今では、従業員の判断ミスひとつが甚大な被害に直結するケースが増えており、改めて「フィッシングとは何か」を経営層も含めて正しく理解し、組織として備える必要があります。

    AIで生成したフィッシングメールの実例

    AI技術の導入により、フィッシングメールの文面は劇的に洗練されつつあります。以下に紹介する実例は、生成AIを用いて作成されたとみられるもので、見た目・構成ともに極めて完成度が高く、詐欺であることを文面から見破るのは非常に困難です。

    「●●証券」から送信されたとされる二要素認証の案内メールは、緊急性と不安を巧みに演出し、受け取った人にクリックを促す構成になっています。しかも、文法的な破綻や不自然な日本語表現は一切見られず、いかにも“それらしく”見える表現で構成されています。

    さらにこのメールをソーシャル・エンジニアリング的目線で見ると、ソーシャル・エンジニアリングフレームワークの権威であるクリストファー・ハドナジー氏が提唱するところの心理誘導テクニック──「権威」「言質と一貫性」「希少性」など──が緻密に盛り込まれており、クリックさせることに特化した設計が施されていることがわかります。生成AIは、こうした心理的トリガーを大量に組み合わせた文章を容易に生み出し、単なる誤認ではなく“心理的にクリックしてしまいやすい”状況を作り出すのです。

    Phishing-as-a-Service(PhaaS)とは

    フィッシング攻撃が増加傾向にある状況を生み出している要因の一つが、「Phishing-as-a-Service(PhaaS)」です。PhaaSとは、フィッシング攻撃を「サービス」として提供するビジネスモデルです。PhaaSを利用すれば、攻撃者自身が高度な技術や知識を持っていなくても、容易に本格的なフィッシング攻撃を実行できるようになります。

    たとえば、近年注目を集めているのが、「Darcula Suite」と呼ばれるAI搭載型のフィッシング支援ツールです。Darcula Suiteは、Telegram上で操作可能なPhaaS型のツールで、生成AIを活用することで、フィッシングページの自動生成や、複数ブランドの模倣、さらには複数チャネルへの同時展開が可能になっています。特筆すべきは、こうしたPhaaSが、生成AIを利用して自然な文章を瞬時に作成する機能を有しており、言語面の完成度を飛躍的に高めている点です。これにより、フィッシング攻撃の“敷居”が著しく低下すると同時に、フィッシングがより広範に、効率的に、高品質に展開されることにつながっています。

    第三章:フィッシング攻撃への対策

    組織側の基本対策

    AIを悪用したフィッシング攻撃の脅威に対抗するためには、組織としての技術的・運用的な備えが欠かせません。ここでは、フィッシング対策協議会のガイドラインや、最近のフィッシング攻撃の傾向にもとづき、企業が取るべき具体的な対策を整理します。

    多要素認証(MFA)の導入

    IDとパスワードだけに依存せず、物理的なデバイスや生体認証などを組み合わせることで、不正アクセスのリスクを大幅に軽減できます。特に、FIDO2やWebAuthnに対応したパスワードレス認証方式の採用は、フィッシング耐性の高い選択肢として注目されています。

    送信ドメイン認証技術(SPF、DKIM、DMARC)の導入と運用

    これらは、メールの正当性を検証し、なりすましメールを排除するための基本的な仕組みです。たとえば、DMARCはSPFやDKIMの結果にもとづき、認証に失敗したメールを破棄・隔離するポリシーを設定できます。大手企業では導入率が8割を超えていますが、ポリシー設定が「none(監視のみ)」のままであるケースも少なくありません。今後は、段階的に「quarantine(隔離)」や「reject(拒否)」への移行を進める必要があります。

    URLフィルタリングやブランド偽装への対策も

    自社ブランドが悪用されるリスクを下げるため、使用していないドメイン・サブドメインの維持管理や、廃止予定ドメインの防衛的保有などを検討すべきです。ドロップキャッチ(廃止ドメインの悪用)によるなりすましを防ぐためには、ブランドドメインを「資産」として捉え、組織的に管理する視点が求められます。

    受信チャネルごとの監視とログ分析の体制整備

    メールやWebだけでなく、SMSやメッセンジャー、SNSといった多様なチャネルに対応したセキュリティ監視が不可欠となっています。

    AIを用いたフィッシング攻撃は、単に「文面が巧妙」というだけでなく、規模・速度・多様性という点で従来型攻撃を凌駕しています。組織が対抗するには、技術・体制の両面から「AI時代の防御モデル」へのアップデートが求められているのです。

    フィッシング対策ガイドライン重要5項目

    フィッシング対策協議会のガイドラインには重要5項目が掲げられています。

    重要項目[1] 利用者に送信するメールでは送信者を確認できるような送信ドメイン認証技術等を利用すること
    重要項目[2] 利用者に送信する SMS においては、国内の携帯キャリアに直接接続される送信サービスを利用し、事前に発信者番号等を Web サイトなどで告知すること
    重要項目[3] 多要素認証を要求すること
    重要項目[4] ドメイン名は自己ブランドと認識して管理し、利用者に周知すること
    重要項目[5] フィッシングについて利用者に注意喚起すること

    利用者側の基本対策

    フィッシング被害を防ぐうえでは、システム的な対策と並行して、従業員一人ひとりの行動変容も不可欠です。以下に、利用者が日常業務で実践すべき基本的な対策を紹介します。

    セキュリティ対策製品(メールフィルタ、ウイルス対策ソフト、URLチェック機能付きブラウザ等)の導入・活用

    「見覚えのないメールのリンクを直接クリックしない」といったような、基本姿勢の徹底が重要です。正規のログインページをブックマークし、メール内のリンクを使わずにアクセスする習慣を身につけるだけでも、多くの被害を未然に防ぐことができます。

    社員へのセキュリティ教育・定期的な訓練

    実際のフィッシングメールを模した「模擬訓練(フィッシングシミュレーション)」を通じて、従業員が経験を得ることは非常に効果的です。こうした訓練を定期的に実施することで、判断力が鍛えられ、攻撃への耐性が強化されます。

    フィッシング攻撃は巧妙化し続けており、「注意していれば引っかからない」という従来の感覚はすでに通用しません。企業は、利用者のリテラシー強化も含めて、組織全体で「守る力」を底上げしていく必要があります。

    最後に

    生成AIの進化により、国内のフィッシング被害は急増していますが、その背景には「言語の壁が崩れたこと」と、「危険に対する認識のアップデート不足」があると感じます。運営側も利用者側も、古い知識や信頼性の低い情報に頼らず、まずはフィッシング対策協議会が示すガイドラインに正しく向き合うことが重要です。ネット上のよくわからない情報やSNSの“有識者”の意見を鵜呑みにせず、信頼できる情報源にもとづいて、地に足のついた対策を進めていきましょう。

    BBSecでは

    標的型攻撃メール訓練サービス

    https://www.bbsec.co.jp/service/training_information/mail-practice.html
    ※外部サイトへリンクします。

    ペネトレーションテストサービス

    ペネトレーションテストバナー

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    ウェビナー開催のお知らせ

  • 2025年7月30日(水)13:00~13:50
    Webサイトの脆弱性はこう狙われる!OWASP Top 10で読み解く攻撃と対策
  • 2025年8月5日(火)14:00~15:00
    企業サイトオーナー向け ユーザーからのレピュテーションを高めるWebサイトの在り方-Webサイトを取り巻くリスク・規制・要請とユーザビリティ向上-
  • 2025年8月20日(水)13:00~13:30
    EC加盟店・PSP必見!クレジットカード・セキュリティガイドライン6.0版対応ウェビナー
  • 最新情報はこちら


    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。

    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。


    Security Serviceへのリンクバナー画像

    BBsecコーポレートサイトへのリンクバナー画像

    セキュリティ緊急対応のバナー画像