オンライン広告を悪用するマルバタイジング攻撃とは? -攻撃の手法や事例、基本的な対策例を解説-

Share

Security NEWS TOPに戻る
バックナンバー TOPに戻る

企業の広告戦略において、オンライン広告の活用は今や不可欠です。しかし、近年ではそうしたオンライン広告の信頼性を悪用した「マルバタイジング(Malvertising)」攻撃の脅威が高まっており、企業のブランド毀損や利用ユーザへの被害が懸念されています。本記事では、企業の情報システム部門やデジタルマーケティング担当者に向けて、マルバタイジング攻撃の仕組み・手口・具体的な事例、そして取るべき対策について解説します。

マルバタイジング攻撃とは

マルバタイジングの概要

「マルバタイジング」という言葉は悪意のある広告を意味します。そして「マルバタイジング攻撃」とは、正規のオンライン広告ネットワークを利用して、悪意のあるコンテンツやマルウェアを配布するサイバー攻撃です。攻撃者は主要なネットワークを通じて、広告利用者や顧客となるユーザを偽のサポートページ、フィッシングサイト、マルウェア配布ページなどに誘導します。

主な手法・特徴

・検索エンジン広告の上位表示を利用し、正規サイトよりも上に悪意のある広告を掲載させる
・クローキング技術で、広告審査時には正常なページを見せ、ユーザには悪意あるコンテンツを表示
・多段階リダイレクトを通じ、攻撃の追跡や遮断を困難にする
・マルウェアをダウンロードするように誘導する

さらに不正なストリーミングや違法コンテンツを利用し、ユーザの心理的なガードが下がっているタイミングを狙って攻撃者が攻撃を仕掛ける点や、偽の著名人広告を使ってリアリティを演出する点など、ソーシャルエンジニアリング攻撃としてのアプローチも確認できます。

攻撃手法(広告主のアカウントの乗っ取り)

近年特に問題視されているのが、広告アカウント自体の乗っ取りや悪用です。Malwarebytesの報告によれば、攻撃者はまず広告主を狙い、偽のGoogle広告やフィッシングページを通じて、認証情報を詐取します。これにより、正規の広告主のアカウントが乗っ取られ、「偽の広告出稿に使われる(正規アカウントゆえ審査を通過しやすい)」や「広告費が犯罪活動に使われ、別の被害につながる」「違法な目的で利用されたことで、正規アカウントのブランド価値が毀損される」といったことに繋がります。また、広告主からすると、被害者であると同時に加害者になってしまうリスクがあるため、その点にも留意が必要です。

攻撃手法(広告主のアカウントの乗っ取り)イメージ画像
出典:Malwarebytes,https://www.malwarebytes.com/blog/news/2025/01/the-great-google-ads-heist-criminals-ransack-advertiser-accounts-via-fake-google-ads

ClickFix

マルバタイジング攻撃の中核ともいえるのが、広告から遷移した先での悪意ある操作です。最近では「ClickFix」と呼ばれる手法が注目されています。これは一見してCaptcha画面やトラフィック認証のように見えるページで、ユーザ自身に悪意あるコマンドをコピー&ペーストさせ、実行させるというものです。

代表的な手法

こうして細工されたページは、一見、信頼感のあるドメインやUIを装い、ユーザを安心させることで、警戒心をくぐり抜けています。企業が提供している正規ブランドやツールの名前が使われるケースも多く、こうした事情を知った上での警戒が必要です。

マルバタイジング攻撃の事例

2023年、米セキュリティ企業SentinelOneは、攻撃者がGoogle広告を利用して、Amazon Web Services(AWS)のログインページを模倣したフィッシングサイトへの誘導を行ったとの報告を行いました。手順は下図の通りです。

攻撃の流れ

フィッシングサイトには「Webページのコンテンツコピーを阻害するためにマウスクリックが無効とされている」「キーボードショートカットを無効にするために、ショートカットを押すと『#』にリダイレクトされる」「ブラジル納税者番号等を装うためにポルトガル語を使用している」といった細工が施されていました。

その他にも様々な攻撃事例があります。その一部を参考までに以下に記載します。

事例1:米Yahoo広告ネットワークを悪用した大規模感染(2014年)
2014年、米Yahooの広告ネットワークを通じて配信されたマルバタイジング攻撃では、ユーザが広告をクリックしなくても、広告が表示されるだけでマルウェアが自動的にインストールされる事例が報告されました。この攻撃は、数百万人のユーザに影響を及ぼしました。*3

事例2:日本を標的とした「Cinobi」マルバタイジングキャンペーン(2021年)
2021年8月、トレンドマイクロは、日本のユーザを標的としたマルバタイジングキャンペーンを報告しました。この攻撃では、「Cinobi」と呼ばれるトロイの木馬型マルウェアが使用され、暗号通貨関連のWebサイトを模倣した広告を通じて感染が拡大しました。

事例3:Google広告アカウントの乗っ取りとフィッシング(2025年)
2025年3月、Malwarebytesにより、SEOツール「Semrush」を装ったフィッシング広告がGoogle検索結果に表示され、ユーザを偽のログインページに誘導する事例が報告されました。これらの広告は、正規のSemrushサイトを模倣し、Googleアカウントの認証情報を盗み取ることを目的としていました。*4

マルバタイジング攻撃への対策

マルバタイジング攻撃は、攻撃者が合法的な広告経路を悪用する、ユーザに攻撃を実行させる、という手法を取る性質上、防御が難しい面があります。しかし、基本的な対策の徹底と、いくつかの技術的および運用上の対策により、そのリスクを大きく軽減することが可能です。

マルバタイジング攻撃対策の基本

  • すべてのソフトウェア(特にウェブブラウザとその拡張機能)を常に最新の状態に保つ
  • アンチマルウェアソリューションや広告ブロッカーの導入によって攻撃リスクを抑制
  • FlashやJavaなどのプラグインを無効化し、ウェブ上で自動実行されないようにする*5
  • WAF(Web Application Firewall)を導入し、広告を通じた外部からの侵入リスクを防ぐ
  • 多要素認証(MFA)の導入により、アカウント乗っ取り被害を防止
  • API連携部分も含めたセキュリティ設計を検討

多層防御とインシデント対応

・資産管理、脆弱性管理、ネットワーク分離などの複数対策を組み合わせた「多層防御」体制の構築
・攻撃の「侵入を前提」とした対応方針の確立と運用(ゼロトラスト)
・インシデントが発生した場合の備えとして、CSIRTの整備や初動手順の明文化を推奨

サイバーインシデント緊急対応

サイバーセキュリティ緊急対応電話受付ボタン
SQAT緊急対応バナー

関連記事:
侵入前提でのセキュリティ対策のポイント-サイバー攻撃への対策3-

企業が行うべきセキュリティ対策の実効性評価

ランサムウェア対策総点検

「ランサムウェア対策総点検」では現状のリスクの棚卸を行うことが可能です。システム環境の確認や、環境内で検知された危険度(リスクレベル)を判定いたします。

ランサムウェア対策総点検サービス概要図
BBSecランサムウェア総点検サービスへのバナー

ペネトレーションテスト

まとめ

広告はもはや「見せるもの」というだけでなく、「狙われるもの」である
――そのような認識が今、求められています。

オンライン広告の世界における「信頼」は、もはや絶対的なものではありません。広告インフラを突いたマルバタイジング攻撃は、今後も進化を続けていくと考えられ、企業・広告主・マーケターはより一層の警戒が求められます。

本記事で紹介した事例や対策は、すべてのWebマーケティングに関わる組織が当事者であるといえる内容となります。攻撃の侵入を前提として何も信用しない「ゼロトラスト」の思考と、多層的なセキュリティ戦略のもと、日々の業務と広告展開の両面において、安全性を担保する取り組みが不可欠です。

BBSecでは

サイバー保険付帯脆弱性診断サービスの紹介

サイバー保険付帯の脆弱性診断サービスへのバナー
※外部サイトにリンクします。

サイバー保険付帯の対象となる脆弱性診断

BBSecのSQAT® 脆弱性診断サービスすべてが対象となります。また、複数回脆弱性診断を実施した場合、最新の診断結果の報告日から1年間有効となります。

脆弱性診断とは、企業・組織のシステムに存在する既知のセキュリティ上の欠陥(=脆弱性)を検出するための検査です。情報漏洩やサービス停止などの重大なセキュリティインシデントを未然に防ぐため、システム全体の問題点を可視化します。これにより、リスクに優先順位をつけて対策を講じることが可能です。また、継続的な診断の実施により、新しい脅威や構成変更、経年による新たな脆弱性の発露といった脅威にも柔軟に対応できるため、企業のセキュリティレベルを継続的に改善する基盤として重要な役割を果たします。

関連記事:
脆弱性診断の必要性とは?ツールなど調査手法と進め方

Security NEWS TOPに戻る
バックナンバー TOPに戻る

ウェビナー開催のお知らせ

  • 2025年5月21日(水)14:00~15:00
    Webサイト改ざん攻撃の手口と防御策とは?リアルタイム検知で守るセキュリティ
  • 2025年5月28日(水)13:00~14:00
    脆弱性診断の新提案!スピード診断と短納期で解決する「SQAT® with Swift Delivery」セミナー
  • 2025年6月4日(水)13:00~14:00
    知っておきたいIPA『情報セキュリティ10大脅威 2025』~セキュリティ診断による予防的コントロール~
  • 最新情報はこちら


    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。

    Security Serviceへのリンクバナー画像
    BBsecコーポレートサイトへのリンクバナー画像
    セキュリティ緊急対応のバナー画像

    CVEとは?共通脆弱性識別子の基本と管理方法を徹底解説

    Share

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    お問い合わせ

    お問い合わせはこちらからお願いします。後ほど、担当者よりご連絡いたします。

    はじめに

    情報セキュリティにおいて“CVE”は必ずといっていいほど登場するキーワードです。本記事では「CVEとはなにか?」という基本的な疑問に答えながら、脆弱性管理の観点で知っておきたいCVE番号の仕組みや運用方法を解説します。

    CVEの概要

    • CVE(Common Vulnerabilities and Exposures) は、ソフトウェアやハードウェアの脆弱性に一意の識別番号を付与する仕組みです。
    • 米国政府支援のMITRE社が運営し、世界中のセキュリティ関係者が共通の脆弱性情報を参照できます。 (CVE – Mitre, Common Vulnerabilities and Exposures)
    • 目的:脆弱性情報の共有とトラッキングを標準化し、誤解や情報の断絶を防ぐこと。

    CVE識別子の構造

    CVE番号は以下のような形式を取ります。

    例:CVE-2025-22457

    項目説明
    プレフィックスCVE一意の脆弱性識別子の接頭辞
    発行年2025脆弱性が登録された西暦年
    識別番号22457当該年に発行された通し番号

    CVEの仕組みと運用フロー

    1. 発見・報告
      セキュリティリサーチャーやベンダーが脆弱性を発見し、MITREに報告
    2. 分析・番号割当
      MITREが報告内容を審査し、CVE番号を割り当て
    3. 公表・共有
      NVD(National Vulnerability Database)や各国CERTなどで情報公開
      (Vulnerabilities – NVD – National Institute of Standards and Technology)
    4. 対応策検討
      ベンダーは修正プログラム(パッチ)を開発・公開
    5. 適用・監視
      利用者はCVE番号を基にリスク評価し、パッチ適用や対策を実施

    CVE情報の取得方法

    CVEを活用した脆弱性管理

    1. 脆弱性スキャンとの連携
      スキャンツールが検出した脆弱性にCVE番号を紐付け、一覧化
    2. 優先順位付け(プライオリティ設定)
      CVSSスコア(Common Vulnerability Scoring System)や影響範囲から対応の緊急度を判断 (Common Vulnerability Scoring System SIG)
    3. パッチ管理プロセス
      定期的にCVEリストを更新し、パッチ適用状況を追跡
    4. 報告・監査
      CVE番号を用いたレポートでセキュリティ監査に対応

    よくある質問(FAQ)

    Q1. CVEとCWEの違いは?

    • CVE:脆弱性そのものを識別する番号
    • CWE:脆弱性の種類や原因を分類する共通項目(例:CWE-79=クロスサイトスクリプティング) (Common Weakness Enumeration: CWE – Mitre)

    Q2. CVE番号はどこで確認できる?

    Q3. CVE情報の更新頻度は?

    • NVDは原則毎日更新
    • 各ベンダーは脆弱性発見後数日〜数週間でアドバイザリ公開

    まとめ

    CVEは、全世界で共通の脆弱性識別子として脆弱性管理の基盤を支えています。番号の仕組みや運用フローを理解し、定期的に情報を取得・対応することで、自社システムのセキュリティを大幅に向上させることが可能です。まずはNVDやJPCERT/CCを定期チェックし、CVE番号による脆弱性トラッキングを始めましょう。

    【参考情報】

    以上の参考情報を活用し、CVEを軸とした脆弱性管理を強化していきましょう。

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    ウェビナー開催のお知らせ

  • 2025年5月21日(水)14:00~15:00
    Webサイト改ざん攻撃の手口と防御策とは?リアルタイム検知で守るセキュリティ
  • 2025年5月28日(水)13:00~14:00
    脆弱性診断の新提案!スピード診断と短納期で解決する「SQAT® with Swift Delivery」セミナー
  • 2025年6月4日(水)13:00~14:00
    知っておきたいIPA『情報セキュリティ10大脅威 2025』~セキュリティ診断による予防的コントロール~
  • 最新情報はこちら


    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。

    Security Serviceへのリンクバナー画像
    BBsecコーポレートサイトへのリンクバナー画像
    セキュリティ緊急対応のバナー画像

    企業のためのデジタルフォレンジック入門
    第1回:デジタルフォレンジック調査とは?企業が知っておくべき基本情報

    Share

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    サイバー攻撃や情報漏えいが発生した際、企業が最初に取るべき行動は、被害の拡大を防ぎ、原因を迅速に特定することです。この初動対応において重要なのが「デジタルフォレンジック調査」です。企業がサイバー攻撃に遭ってしまった場合に再発防止策を講じるためにも、デジタルフォレンジックの役割は非常に重要です。

    今回は「デジタルフォレンジック」を全3回にわたって取り扱います。シリーズ第1回目となる本記事では、デジタルフォレンジック調査とは何か、その基本的な概要と企業が知っておくべき基本情報を解説します。

    デジタルフォレンジックとは?

    デジタルフォレンジックとは、サイバー攻撃や情報漏えい、不正アクセスなどのインシデントが発生した際に、関係するデジタル機器やシステムのデータを解析し、事実関係を明らかにする調査手法です。英語の「forensic(法医学的)」という言葉が示す通り、調査結果は裁判などの法的手続きにも利用されることがあります。

    デジタルフォレンジック調査とは、単なる技術調査ではなく、証拠の保全・改ざん防止、攻撃経路や被害範囲の特定、さらには再発防止のための分析までを含む手法です。調査には高度な専門知識と技術が求められ、ログ解析(アクセス履歴や操作記録の確認)、端末解析(PCやスマートフォン内のデータ確認)、ネットワーク解析(通信記録の追跡)など、複数の調査対象に対して総合的に分析を行います。これにより、インシデントの真相を明らかにし、企業の信頼回復と再発防止に貢献します。

    企業でのデジタルフォレンジック調査が必要になる場面とは?

    企業が直面するセキュリティインシデントは様々ですが、その中でもデジタルフォレンジックの実施が必要となるのは、被害の全容を把握し、適切な対応を行う必要がある場合です。

    たとえば、外部からの不正アクセスにより社内システムに侵入された可能性があるときや、顧客情報が漏えいしていると通報を受けたときには、早急な事実確認が求められます。また、従業員による機密データの持ち出しや不正なファイル操作が疑われるケースでは、客観的な証拠に基づいた調査が不可欠です。近年では、特定の企業を狙う標的型攻撃も増加しており、攻撃の手口が巧妙化・長期化する傾向にあります。こうした背景から、フォレンジック調査は単なるトラブル対応にとどまらず、経営判断や法的対応にも直結する手法として、多くの企業が重要視しています。

    デジタルフォレンジック調査の対象例

    デジタルフォレンジック調査の対象は事案の内容により異なりますが、主に以下のようなデータに分類されます。

    調査対象 内容・例 主な目的・得られる情報
    アクセスログ
    (ログ解析)
    サーバやシステムの操作・認証履歴 不正アクセスの有無、アクセス日時・端末・ユーザーの特定
    端末内部のデータ
    (端末解析)
    PCやスマートフォンのストレージ内の情報 削除ファイルの復元、USB接続履歴、操作の痕跡分析
    ネットワーク通信
    (ネットワーク解析)
    通信ログ、送受信先IP、パケットデータ 異常通信の把握、外部へのデータ送信の確認
    電子メール
    (メール分析)
    送受信履歴、添付ファイル、リンククリック記録 フィッシングや標的型攻撃メールの特定、なりすましの検出
    クラウドサービスのログ Microsoft 365、Google Workspaceなどの操作記録 クラウド上での不正アクセスやデータの共有・編集履歴の確認

    デジタルフォレンジックの調査フロー

    社内では、平時からのログ保存体制の整備や、緊急時の連絡フロー構築が不可欠です。また、関係部門の責任範囲や判断フローも事前に明確にしておくことで、インシデント発生時の混乱を最小限に抑えられます。

    まとめ:企業対応に不可欠な「証拠を残す力」

    サイバー攻撃に対して企業が取るべき対応は、ただ防御策を実施するだけでは不十分です。被害が発生した後、何が起きたのかを正しく究明し、再発を防ぐための対策を講じることが、将来的な企業の信頼性維持と経営層の判断基準につながります。デジタルフォレンジック調査は、証拠を明らかにし、被害の全容を把握するための手法です。調査の効果を最大化するには、「どのように進めるか」「誰に任せるか」が重要な鍵となります。次回第2回の記事では、フォレンジック調査の進め方と費用の目安について解説します。

    第2回「デジタルフォレンジック調査の流れと費用とは?」へ続く―

    【連載一覧】

    ―第2回「デジタルフォレンジック調査の流れと費用とは?」―
    ―第3回「デジタルフォレンジックは誰に任せるべきか?」―

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る


    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。

    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。


    Security Serviceへのリンクバナー画像

    BBsecコーポレートサイトへのリンクバナー画像

    セキュリティ緊急対応のバナー画像

    IoTセキュリティのリスクと対策 -安全な運用のための5つのポイント-

    Share

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    急速に普及が進むIoT(モノのインターネット)は、私たちの生活やビジネスに大きな利便性をもたらしています。一方で、サイバー攻撃や情報漏えいなど、IoT特有のセキュリティリスクも急増しています。本記事では、IoTセキュリティの基本的な考え方から、総務省・経産省が示すガイドラインに基づく5つの対策ポイントまでを解説。安全なIoT活用のために、今押さえておくべきポイントを整理します。

    IoTとは

    IoT(アイオーティー)とは「Internet
    of Things」の略称で「モノのインターネット」という意味です。これまでインターネットは、コンピュータやサーバ同士を接続するためのものでしたが、IoTでは、工場の制御システム、各種社会インフラ、医療機器、自動車、住宅、情報家電など、さまざまな「モノ」同士がインターネットを介して情報のやりとりを行うことで、新たな付加価値を創造します。また、IoTはAIなどと同様、デジタルトランスフォーメーションの核となる技術領域のひとつとして期待されています。

    IoTの活用事例

    現在研究が進んでいる、5Gネットワークを活用した自動運転車は、IoT技術をクルマに活用した例です。その他にもIoTのセンサーを設置することで水道管の漏水や工場設備の故障を検知したり、ネットワークカメラでペットの様子を確認したりなど、私たちの周囲にも徐々にIoT機器・サービスが登場しはじめています。

    IoTのセキュリティリスク

    IoTの利便性の裏で、セキュリティ対策が後回しにされがちである点が大きな課題です。IoT機器が増えるほど、サイバー攻撃のリスクも高まり、IoTセキュリティの重要性は急速に高まっています。

    IoT機器の多くはインターネットに常時接続されており、不適切な管理や設定によってサイバー攻撃の標的になりやすいという特性を持っています。加えて、IoT機器は小型・低コストであるがゆえに、セキュリティ対策が十分に施されていないまま市場に出回るケースも少なくありません。

    特に企業においては、IoTデバイスが業務システムや重要データと連携している場合も多く、
    ひとたびセキュリティ侵害が発生すれば、企業全体の業務停止や情報漏えいといった重大な被害につながる恐れがあります。このため、IoTセキュリティは単なる機器保護の枠を超えて、組織全体のリスクマネジメントとして取り組むべき重要課題なのです。

    ITと異なるIoT特有のセキュリティリスク

    IoTデバイスには、IT機器とは異なる脅威が存在します。例えば、長期運用を前提とした機器が多く、更新やパッチの適用が困難であること、また、処理性能や記憶領域が限られているため、従来のセキュリティソフトを導入できないケースもあります。さらに、ネットワーク経由で接続されるため、第三者による不正アクセスや悪用の可能性も高まります。

    2016年7月に総務省・経済産業省・IoT推進コンソーシアムによって公開された『IoTセキュリティガイドライン』によれば、セキュリティを確保しながらIoTを利活用するには、下記のような「IoT特有の性質」を理解して対策を講じることが重要です。

    1.脅威の影響範囲・影響度合いが大きい

    2.IoT機器のライフサイクルが長い

    3.IoT機器に対する監視が行き届きにくい

    4.IoT機器側とネットワーク側の環境や特性の相互理解が不十分である

    5.IoT機器の機能・性能が限られている

    6. あらゆるIoT機器が通信機能を持つため、開発者が想定していなかった接続が行われる可能性がある

    IoTを狙ったサイバー攻撃の実例と脅威

    IoT機器・サービスを狙ったサイバー攻撃はその急速な普及を背景に増加の一途をたどり、潜在するリスクも続々と報告されています。上記に挙げたようなIoT特有の性質から、ひとたび攻撃や悪用が起こると、その影響範囲はこれまでと比較にならないほど大きくなる恐れがあります。

    有名な事例の一つに、IoTマルウェア「Mirai」の登場があります。MiraiはネットワークカメラやルーターなどのIoT機器に感染し、それらを踏み台にして大規模なDDoS攻撃を引き起こしました。

    また、2019年には、アメリカで、防犯・監視カメラに攻撃者がアクセスし、子供や寝ている人に話しかけるという事件*4が起きました。同じメーカーが提供する玄関チャイムに、接続されているWi-Fiのパスワードが盗聴により漏えいする脆弱性があったことも報告*5されています。2020年には、音声アシスタントサービスを提供するAmazon Alexaに、音声履歴や個人情報等を盗み出せる脆弱性*6が存在することがイスラエルのセキュリティ企業の研究部門によって明らかになりました。

    上記はいずれも家庭で使用されているIoT機器の例ですが、このような攻撃により、個人だけでなく企業やインフラ全体が深刻な影響を受ける可能性があります。IoTセキュリティは、社会的インフラの防衛にも直結する課題です。

    総務省・経産省が提示するIoTセキュリティガイドライン:5つの基本方針

    前掲の『IoTセキュリティガイドライン』では、IoT機器やIoTを使ったサービスを手掛ける事業者に対して、下記「IoTセキュリティ対策の5指針」に沿った対策を講じるように促しています。

    1.IoTの性質を考慮した基本方針を定める

    2.IoTのリスクを認識する

    3.守るべきものを守る設計を考える

    4.ネットワーク上での対策を考える

    5.安全安心な状態を維持し、情報発信・共有を行う

    IoT機器・サービスを手掛ける事業者は、IoT機器のライフサイクルを踏まえながら、上記指針に沿って設計や製造、サービス提供のあり方を見直し、必要な措置をとることが求められます。

    実装すべきセキュリティ機能を『IoTセキュリティチェックリスト』で把握

    押さえておきたいリソースとして、もう1つ、セキュリティ専門機関である一般社団法人JPCERTコーディネーションセンターが2019年に公開した『IoTセキュリティチェックリスト』をご紹介しましょう。これは、IoT機器の開発や製造、IoTサービス提供に関わる事業者を対象にしたもので、IoTデバイスを安全に運用するために実装しておきたいセキュリティ機能がチェックリスト形式でまとめられています。

    リストには、「ユーザ管理」「ソフトウェア管理」「セキュリティ管理」「アクセス制御」「不正な接続」「暗号化」「システム設定」「通知」の8つのカテゴリに分類された39の機能が記載されています。さらに、それぞれの機能が、Sensor(センサー)、Aggregator(センサーからのデータを集約する機能)、Communication Channel(通信チャネル)といった、IoTシステムを構成する基本単位のいずれに対応するのかも一目でわかるようになっており、自組織のIoTセキュリティ対策に取り組むうえでぜひ活用することをお勧めします。

    IoTセキュリティの落とし穴

    なお、IoTのセキュリティでは、自組織で対策を講じるだけでは十分ではありません。IoTサービスにおいては、IoT機器を開発製造する企業、それを活用したサービスを設計する企業、サービスを提供するためのアプリケーションを開発する企業、サービスの運用を行う企業など、複数の当事者が存在、相互に依存しあっており、それぞれの当事者にリスクが存在します。つまり、複数の企業間で、共通した同水準のセキュリティレベルを維持することが求められるのです。これは、従来のITサービスの場合に比べても決して楽なことではなく、最もセキュリティ対策の手薄な企業がいわば「弱い鎖」となって、攻撃を許すことにもなりかねません。

    また、自社で対応が難しい場合は、第三者機関による脆弱性診断の実施やセキュリティコンサルティングの活用も検討すべきです。IoT診断を通じて、IoTデバイスのセキュリティリスクを複数の当事者が理解し、適切な対策を講じることで、サイバー攻撃のリスクを最小化することができます。

    さらに、国や地域によって異なる法規制への対応が必要になることもあります。IoTによって企業間のつながりが特定の地域を超える可能性があるためです。例えば、日本国内での販売やサービス提供はOKでも、ヨーロッパではGDPR(EU一般データ保護規則)、アメリカではCCPA(カリフォルニア州消費者プライバシー法)等のプライバシー関連法規に抵触するケースなどもありえます。日本の個人情報保護法もグローバルな動きの影響を受け今後変更される可能性もあります。法規制対応に関する注意も怠ってはなりません。

    IoTセキュリティ診断、相場料金の現状は?

    IoTは、Webアプリケーションやイントラネットのようないわば均質化した診断対象とは異なり、その利用用途がスマート家電から工場、社会インフラまで実に幅広いという特徴があります。OSやファームウェア、ASIC、FPGA、各種モジュール、アプリケーションの組み合わせはほぼ無限です。この点が、IoTのセキュリティ診断とその他のセキュリティ診断を分かつ最大の違いといえます。例えば、Webアプリケーション診断のように「1リクエストいくら」といった形で料金が提示されることはめったにありません。

    IoTのセキュリティ診断を実施するにあたっては、実施の都度、対象の機器、システムの構成を踏まえたうえで、目的や予算、期間を考慮して診断内容を決定することが求められます。専門業者の診断サービスを利用する場合には、「さまざまな診断手法を熟知しているか」、「十分な診断実績はあるか」、といった点を判断指標に選定することをお勧めします。

    IoTセキュリティ対策の第一歩は「見える化」から

    多くの企業で問題となっているのは、現状のIoT機器の稼働状況やリスクが把握できていない点です。まずは社内で使用されているIoTデバイスを洗い出し、ネットワークのどこに、どのような機器が接続されているのかを「見える化」することが、対策の出発点となります。現状を可視化することで、どこに脅威があるのかが明確になり、優先順位をつけたセキュリティ対策が可能になります。

    IoTセキュリティ診断サービスバナー

    まとめ

    • IoTとは、「モノのインターネット」のことです。クルマや家電などのモノがインターネットに接続され、情報をやり取りすることで、生活やビジネスに新たな価値をもたらします。
    • IoT機器はライフサイクルが長く、インシデント発生時の影響も大きいため、IT機器とは異なる視点でセキュリティ対策を講じる必要があります。
    • マルウェア感染や家庭用監視カメラへの不正アクセス、産業用機器への攻撃など、IoTを狙ったサイバー攻撃が多発しています。
    • IoTセキュリティには、機器の設計・製造から運用まで、関係者それぞれが責任を持って対策を進めることが求められます。
    • IoTのセキュリティ診断は、OSやファームウェアなど構成が多様なため、目的・予算・期間を事前に明確にして実施する必要があります。

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    ウェビナー開催のお知らせ

  • 2025年4月30日(水)13:00~13:30
    CVSSとSSVCで実践する次世代脆弱性管理:サイバー攻撃対策セミナー2024
  • 2025年5月14日(水)14:00~15:00
    クラウド利用の落とし穴と対策とは?今こそ見直すべきクラウドセキュリティ対策-セキュリティ設定診断の活用方法をご紹介-
  • 2025年5月21日(水)14:00~15:00
    Webサイト改ざん攻撃の手口と防御策とは?リアルタイム検知で守るセキュリティ
  • 最新情報はこちら


    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。

    Security Serviceへのリンクバナー画像
    BBsecコーポレートサイトへのリンクバナー画像
    セキュリティ緊急対応のバナー画像

    脆弱性診断の効果を最大化するポイント解説 – やりっぱなしを防ぐサイバー保険による脆弱性管理と診断サイクルの作り方

    Share

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    2025年3月13日「脆弱性診断、やりっぱなしになっていませんか?高精度診断と充実サポートでリスクを最小化〜サイバー保険で安心 診断から守るまでを徹底解説〜」というセミナーを開催しました。今回はその講演内容のポイントについてご紹介します。

    登壇者:株式会社ブロードバンドセキュリティのセキュリティサービス本部 サービス支援部 支援課 課長代理 木下祐希

    サイバー攻撃の実態と脆弱性管理の重要性

    まず脆弱性診断を実施する背景として、近年のサイバー攻撃の実態について理解する必要があります。かつては愉快犯も少なくなかったサイバー攻撃は、現在では金銭目的や企業・個人に対する悪意を持った攻撃が主流となっており、その手口も高度化・巧妙化しています。こうした環境において脆弱性とは何か、そしてなぜ脆弱性管理が重要なのかを把握することが対策の第一歩となります。

    サイバー攻撃の変化は明確です。以前は「愉快犯」と呼ばれる、いたずら目的のハッカーやクラッカーも少なからずおり、DDoS攻撃で嫌いな企業のサーバーを落としたり、不特定多数にフィッシングメールを送りつけたりするような行為が中心でした。しかし現在は、より直接的な、個人情報や機密情報を盗み出して金銭化することを目的とした攻撃者が増えています。

    ダークウェブの出現により、盗んだ情報を売却する市場ができました。攻撃者にとっては明確な金銭的利益を得る手段となり、より悪質で深刻な攻撃が増えているのです。

    脆弱性の検出実態についても驚くべき数字が示されました。ブロードバンドセキュリティによる脆弱性診断を受けた企業の統計では、Webアプリケーションでは約90%、ネットワークでは約55%の企業で何らかの脆弱性が検出されています。さらに深刻なのは、リスクレベルが「高」以上の重大な脆弱性がWebアプリケーションで16.7%、ネットワークで21.6%も検出されているという事実です。

    これは一度も診断を受けたことがない企業だけではなく、定期的に脆弱性診断を実施している企業も含めた数字です。攻撃手法は日進月歩で進化していますので、定期的な診断が必須なのです。

    脆弱性とは、不正アクセスやコンピュータウイルスなどの攻撃により、システムの機能や性能を損なう原因となり得るセキュリティ上の問題箇所のことです。脆弱性が悪用されると、内部データの盗取や改ざん、削除、さらには他のコンピュータへの攻撃の踏み台にされるなど様々な被害が発生します。

    「無知は最大の脆弱性」という言葉があるように、まず自社のシステムの状態を知り、必要な対策を講じることが何よりも重要です。脆弱性診断により、日々変化する脅威に対する自システムのセキュリティ状態を確認できるため、適時・適切な対策が可能になります。

    脆弱性診断のやり方と診断実施時の課題

    次に脆弱性診断の具体的なやり方と、企業が診断を実施する際に直面する課題について解説します。

    脆弱性診断を住宅に例えると、ネットワーク脆弱性診断は土地や地盤の検査、Webアプリケーション脆弱性診断は建物自体の検査に相当します。企業が脆弱性診断を実施する際には、コスト面や専門知識の必要性など様々な課題がありますが、これらを適切に解決することが重要です。

    脆弱性診断とは、窓のひび割れや水道管の老朽化など、故障・欠陥箇所を探すことに似ています。ネットワーク脆弱性診断は地盤や土壌など土地に関する検査、Webアプリケーション脆弱性診断は土地の上に建っている家を検査するイメージです。

    この二つの診断タイプには共通する項目もありますが、視点が異なります。ネットワーク脆弱性診断は宅外から宅内に入るまでの故障・欠陥箇所を見つけるのに対し、Webアプリケーション脆弱性診断は宅内の方から見た観点での指摘となります。

    企業が脆弱性診断を実施する際に直面する主な課題として、以下の4点が挙げられます。

    1. コストの問題:脆弱性診断は専門的な技術とツールを要するため、実施コストが高くなりがちです。
    2. 専門知識の必要性:診断結果を適切に解釈し、対策を講じるには専門的な知識が不可欠です。セキュリティの専門家が不足している企業では対応が遅れがちになります。
    3. 診断後のサポート不足:診断後に必要な修正や対策を行うためのサポートが不十分な場合が多く、結果的に脆弱性が放置されるリスクが高まります。
    4. 手動診断と自動診断のバランス:手動診断は時間とコストがかかる一方、自動診断は検出精度に限界があるため、両者の適切なバランスが求められます。

    これらの課題に対処するため、「かかりつけ医」のような存在としてセキュリティベンダーとの関係構築が推奨されます。いざという時だけでなく、日頃からかかりつけ医のような存在としてセキュリティベンダーとの関係を構築することで、結果的に自社のセキュリティレベルの向上と維持が図れます。

    「かかりつけ医」のメリットとしては、まず、病歴や体質(システム環境や脆弱性の状況)を把握しており、素早く適切に対応できること。そして、気軽に相談できるので、問題が早期発見しやすいこと。結果として、必要に応じて他の専門医(専門的なセキュリティサービス)への連携もスムーズになることも含め、メリットは多々あると言えます。

    高精度な脆弱性診断とサイバー保険を含む継続的なサポート体制

    脆弱性診断を効果的に行うためには、精度の高い診断と充実したサポート体制が不可欠です。高品質な脆弱性診断サービスには、有資格者による手動検査、網羅性の高い診断内容、わかりやすい報告書の提供、診断後のサポートなどの特徴があります。特に重要なのは、診断結果に基づいた対策の実施と、定期的な診断による継続的な脆弱性管理サイクルの確立です。

    ブロードバンドセキュリティのSQAT®(Software Quality Analysis Team)脆弱性診断サービスを例に、効果的な脆弱性診断の要素が説明されました。まず「Quality(品質)」として、情報処理安全確保支援士やCISSP、CEH等の有資格者による手動/ツール検査を実施していること、OWASP TOP10やNIST SP 800シリーズ、IPAの「安全なWebサイトの作り方」などの標準を踏襲した網羅性の高い診断内容を提供していることが特徴です。

    次に「Communication(コミュニケーション)」の観点では、診断実施部門だけでなく報告書のレビューを専門とする部門やツール開発部門が各役割に集中する体制を整え、専用ポータルサイトを通じた効率的な情報共有を実現しています。

    さらに「Support(サポート)」面では、診断結果に関する問い合わせを診断実施後も受け付け、報告書納品日から3ヶ月間は再診断を無償で提供するなど、継続的なサポート体制を整えている点が強調できます。

    付け加えると、同社の脆弱性診断サービスの特徴として、豊富な診断シグネチャ(検査パターン)、スピーディな報告(診断終了後4営業日以内の報告書納品)、情報収集力に裏打ちされた分析、多彩なオプションメニューなどが挙げられます。

    手動診断とツール診断のそれぞれの特徴と使い分けについても説明します。

    手動診断は網羅性、検査の深度、精度が高い一方でコストも高くなります。一方、ツール診断は低コストで実施できますが、検出できない項目もあります。両者の適切な組み合わせとして、「リリース時や年に一度は手動診断、日常的な監視はツール診断」といった使い分けが効果的です。

    特に注目すべき点として、ブロードバンドセキュリティは三井住友海上火災保険株式会社との提携により、「サイバー保険付帯の脆弱性診断サービス」を提供しています。このサービスは、脆弱性診断契約日から1年間、情報漏えいやサイバー攻撃に起因する賠償損害および事故発生時に対策を講じた場合の費用損害を最大1,000万円まで補償するものです。

    実際の初動対応には平均して1,000万円程度必要であると想定されています。この補償は脆弱性診断サービスにオプションとして付けるのではなく、対象となる診断サービスを受けると自動的に付帯します。

    脆弱性診断を活かす継続的なセキュリティ対策

    最後に、脆弱性診断を単発で終わらせるのではなく、継続的なセキュリティ対策として活用するためのポイントを紹介します。脆弱性は日々増加し、攻撃手法も進化し続けるため、一度の診断だけでは十分な対策とは言えません。診断対象の特徴や検査目的に合わせた適切な診断手法の選定と、定期的な脆弱性の洗い出しと棚卸が重要です。

    脆弱性診断は一度実施したらそれで終わりというものではありません。脆弱性は日々新たな手法や種類が増加し続けるため、診断実施後に適切なセキュリティ対策を行っていたとしても、形を変えて再び脆弱性が生じる可能性は十分にあります。

    継続的なセキュリティ対策のサイクルとして、以下のステップが推奨されています。

    1. 脆弱性診断の実施
    2. セキュリティ対策の実施
    3. 新たな脆弱性・攻撃手法の登場に注意
    4. 自組織の環境やシステム特性に適した診断の選定

    このサイクルを繰り返すことで、持続的にセキュリティレベルを向上させることができます。また、診断対象の特徴や検査目的に応じて、手動診断とツール診断を適切に組み合わせることも重要です。

    まとめ:効果的な脆弱性管理で高まるセキュリティ体制

    脆弱性診断を「やりっぱなし」にせず、継続的な脆弱性管理の一環として活用することが、組織のセキュリティ体制強化には不可欠です。サイバー攻撃が高度化・巧妙化する現代においては、脆弱性診断の実施、診断結果に基づく対策の実施、新たな脆弱性への対応という一連のサイクルを確立することが重要です。自社の環境やシステム特性に合わせた適切な診断手法を選定し、定期的な診断を通じて継続的にセキュリティレベルを向上させていきましょう。

    脆弱性をなくすこと(攻撃の的をなくすこと)が最も重要です。攻撃者は実際の攻撃行動に移る前に、クローリングツールなどを使って脆弱性をスキャンします。脆弱性の少ないシステムは攻撃者にとって「コストパフォーマンスが悪い」ターゲットとなり、結果的に攻撃を受けにくくなります。

    サイバー保険も含めた総合的な脆弱性対策を構築することで、万が一の事態にも備えることができます。ブロードバンドセキュリティのように、高精度な診断と充実したサポート体制を持つセキュリティベンダーと連携することで、より効果的な脆弱性管理が可能になります。

    脆弱性管理は単なるコスト要素ではなく、企業の競争力維持やリスク管理のための重要な投資です。サイバー保険の付帯のある脆弱性診断サービスを受けていても、被害があったときかかってしまう損害額を考えると費用対効果は決して悪くないと言えます。

    最終的に、脆弱性診断を含む継続的なセキュリティ対策サイクルの確立は、お客様に安心して自社サービスを利用し続けてもらうための基盤となるのです。これからのデジタル時代において、適切な脆弱性管理は企業の信頼性と持続可能性を支える重要な要素であると言えるでしょう。

    Webアプリケーション脆弱性診断バナー

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    ウェビナー開催のお知らせ

  • 2025年4月23日(水)14:00~15:00
    今知るべき!サポート切れのソフトウェアへのセキュリティ対策ガイド
  • 2025年4月30日(水)13:00~13:30
    CVSSとSSVCで実践する次世代脆弱性管理:サイバー攻撃対策セミナー2024
  • 2025年5月14日(水)14:00~15:00
    クラウド利用の落とし穴と対策とは?今こそ見直すべきクラウドセキュリティ対策-セキュリティ設定診断の活用方法をご紹介-
  • 最新情報はこちら


    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。

    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。


    Security Serviceへのリンクバナー画像

    BBsecコーポレートサイトへのリンクバナー画像

    セキュリティ緊急対応のバナー画像

    【重要】楽天証券・SBI証券をかたるフィッシングメールにご注意!

    Share

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    お問い合わせ

    お問い合わせはこちらからお願いします。後ほど、担当者よりご連絡いたします。


    フィッシングメールは、信頼ある金融機関を装ってユーザーから個人情報やログイン情報を盗み出す手口です。近年、楽天証券やSBI証券をかたる不正なフィッシングメールが多発しており、被害拡大が懸念されています。本記事では、各社を装ったフィッシングメールの実例と、被害を防ぐための具体的な対策を解説します。

    フィッシングメールとは?

    フィッシングとは、公式サイトそっくりの偽サイトやメールを利用して、利用者にログインID、パスワード、口座情報などを入力させ、不正に情報を入手する詐欺手法です。

    主な特徴:

    • 正規のロゴやデザインを巧みに模倣
    • 緊急性を煽る件名や文面でユーザーを惑わせる
    • メール内のリンクをクリックさせ、偽サイトへ誘導

    【関連記事】
    フィッシングについては以下の記事でもご紹介しています。こちらもあわせてご参照ください。

    フィッシングとは?巧妙化する手口とその対策

    楽天証券フィッシングメールの実例

    <メール件名の例>

    • 【重要】オンラインサービスご利用条件の変更について(要確認)
    • 【楽天証券】お客様の安全を守るために
    • 【緊急・重要】フィッシング詐欺にご注意ください!
    • 【重要】証拠金維持率低下 強制ロスカットの恐れ
    • 【重要】50,000円入金ボーナスは2025年4月5日に期限切れとなります

    上記以外にも複数のパターンがあることが報告されています。

    【手口と注意点】

    • 偽サイトの作成:本物の楽天証券の画面をほぼそのままコピーし、偽サイトに誘導。
    • 情報入力のリスク:ログインIDやパスワードを入力すると、不正利用される可能性が非常に高いです。
    • 公式サイト以外からのアクセス禁止:メールやSMS内のリンクはクリックせず、必ず公式アプリやブックマークからアクセスしてください。

    SBI証券フィッシングメールの実例

    <メール件名の例>

    • 【重要】3月28日(金)以降のオンラインサービスログイン時の確認画面表示について【SBI証券】
    • 【重要なお知らせ】SBI証券による注意喚起あり
    • 【SBI証券セキュリティ】口座情報更新のご案内
    • 【重要】オンラインサービスご利用条件の変更について(要確認)

    こちらも様々なパターンの件名があることが報告されています。

    【手口と注意点】

    • 巧妙な偽装:SBI証券の公式サイトと見分けが付かないほどのデザインや文面でフィッシングを実施。
    • 情報漏洩のリスク:ユーザーネーム、パスワード等の入力により、個人情報が盗まれる恐れがあります。
    • アクセス方法の徹底:メールに記載されたリンク経由でのアクセスは避け、普段利用している公式アプリまたは直接ブックマークからログインすることが推奨されます。

    フィッシングメール対策のポイント

    メールの送信元を確認

    • 認証マークの有無:多くのメールサービスでは、正規の送信元にはロゴや認証アイコンが表示されます。
    • ドメインチェック:楽天証券やSBI証券からのメールであれば、公式ドメインからの送信か確認する習慣をつけましょう。

    リンク先のURLを必ず確認

    • 直接入力:メール内のリンクをクリックせず、ブラウザのアドレスバーに公式サイトのURLを直接入力してアクセスする。
    • ブックマークの活用:公式サイトはブックマークに登録し、安全なアクセス経路を確保する。

    迷惑メールフィルターの活用

    • フィッシングメール抑止:各メールサービスの迷惑メールフィルターを適切に設定し、疑わしいメールを自動的に振り分けるようにする。

    情報漏洩時の対応策

    • メールアドレスの再構築:フィッシングメールが大量に届く場合は、漏洩した可能性があるため、新たなメールアドレスの作成も検討しましょう。
    • 通報・報告:不審なメールや偽サイトを発見した場合は、フィッシング対策協議会(info@antiphishing.jp)等に迅速に通報する。

    安全なオンライン取引のために

    • 公式アプリの利用
      スマートフォンの公式アプリや、信頼できるブラウザのブックマークからアクセスして、偽サイトに誤誘導されないように注意することが重要です。
    • セキュリティ意識の向上
      定期的にセキュリティ情報の最新動向をチェックし、疑わしいメールを受け取った場合は冷静に対処してください。
    • 公式情報の確認
      楽天証券やSBI証券からの重要なお知らせは、必ず公式サイトで直接確認しましょう。

    まとめ

    楽天証券およびSBI証券をかたるフィッシングメールは、巧妙な偽装技術を用いて個人情報の窃取を狙っています。安心してオンライン取引を続けるためにも、日頃から正しい情報と対策を確認し、万が一不審なメールやサイトに遭遇した場合は、速やかに関係機関に通報しましょう。

    重要なポイント

    • メールに記載されたリンクや添付ファイルは決してクリックせず、公式のアクセス方法を必ず利用してください。
    • 迷惑メールフィルターの設定や、送信元の認証マークの確認を行い、セキュリティ対策を徹底することが、被害防止につながります。

    【参考情報】

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    サイバーインシデント緊急対応

    サイバーセキュリティ緊急対応電話受付ボタン
    SQAT緊急対応バナー

    ウェビナー開催のお知らせ

  • 2025年4月23日(水)14:00~15:00
    今知るべき!サポート切れのソフトウェアへのセキュリティ対策ガイド
  • 2025年4月30日(水)13:00~13:30
    CVSSとSSVCで実践する次世代脆弱性管理:サイバー攻撃対策セミナー2024
  • 2025年5月14日(水)14:00~15:00
    クラウド利用の落とし穴と対策とは?今こそ見直すべきクラウドセキュリティ対策- セキュリティ設定診断の活用方法をご紹介 –
  • 最新情報はこちら


    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。

    Security Serviceへのリンクバナー画像
    BBsecコーポレートサイトへのリンクバナー画像
    セキュリティ緊急対応のバナー画像

    WordPressサイトの安全対策:SureTriggersプラグインの脆弱性に学ぶ対策方法

    Share

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    お問い合わせ

    お問い合わせはこちらからお願いします。後ほど、担当者よりご連絡いたします。


    近年、サイバー攻撃が多様化する中で、WordPressのプラグインに潜む脆弱性が企業や個人のウェブサイトに深刻なリスクをもたらしています。特に、業務でサイトを利用している方にとって、定期的なメンテナンスとセキュリティ対策は必須です。ここでは、最近話題となった「SureTriggers」プラグインの脆弱性を例に、誰にでも実践できる対策方法を分かりやすく解説します。

    なぜWordPressプラグインに注意が必要なのか?

    WordPressは世界中で人気のCMS(コンテンツ管理システム)です。WordPressの利用に関しては以下のようなメリットと注意点が挙げられます。

    メリット:多様な機能をプラグインで簡単に追加できる
    注意点:プラグインのコードに不備があると、サイトのセキュリティが危険にさらされる可能性がある

    実際、普段は便利な機能を提供しているプラグインも、正しく管理されなければ攻撃者の格好の侵入ルートとなってしまいます。

    SureTriggersプラグインの事例

    2025年4月初旬、WordPress向けの自動化ツールとして利用されている「SureTriggers」プラグインに重大な脆弱性が発見されました。この脆弱性の主なポイントは以下の通りです。

    • 攻撃方法: 攻撃者は、十分な認証チェックが行われない隙を突き、管理者権限を持つアカウントを不正に作成できる可能性がありました。
    • 迅速な悪用: 公開からわずか数時間で実際に不正アクセスの試みが記録され、早期の対策が求められる事態となりました。

    脆弱性の背景と仕組み

    シンプルに説明すると、問題の発端はプラグイン内の認証チェックが不十分だった点です。通常、プラグインはユーザーからのリクエストに対して「この操作は許可されたユーザーからのものか?」を確認する仕組みを持っています。しかし、SureTriggersでは、HTTPヘッダーによる認証のチェックで、必要な検証が十分になされず、条件次第では不正なリクエストを正当なものとしてしまう欠陥がありました。このため、攻撃者は特定のリクエストを送ることで、管理者アカウントを勝手に作成するリスクがあったのです。

    基本のセキュリティ対策

    セキュリティに詳しくなくても、以下のポイントを守ることでリスクを大幅に減らすことができます。

    • 定期的なアップデート:プラグインやWordPress本体の最新バージョンへの更新は必須です。アップデートには、セキュリティの向上や不具合の修正が含まれており、脆弱性対策に直結します。
    • 公式・信頼のプラグインを利用:評判が良く、開発元がしっかりしているプラグインを使用しましょう。不明なサイトからダウンロードしたプラグインはリスクが高まります。
    • セキュリティプラグインの導入:WordPress向けのセキュリティ強化プラグイン(例:WordfenceやSucuri Securityなど)を利用し、サイトへの不審なアクセスを自動的にブロックする仕組みを取り入れましょう。
    • 定期的なバックアップ:万が一攻撃に遭ってしまったしまった場合の被害に備え、サイト全体のバックアップを定期的に取ることで、迅速な復旧が可能になります。
    • ログの監視:自分では気付きにくい異常なアクセスやアカウントの作成がないか、サーバのログを時折確認する習慣をつけると安心です。

    まとめ

    早めの対策で安心なサイト運営を

    SureTriggersプラグインの事例は、セキュリティ脆弱性がもたらすリスクを再認識するきっかけとなります。日頃からのアップデート・管理、そして信頼できるツールの利用は、サイト運営における最も基本的かつ重要な対策です。技術的な知識がなくても、今回の記事でご紹介した基本の対策を実践することで、多くのリスクを未然に防ぐことができます。今後もセキュリティの最新情報に注意を払い、安心してサイト運営を続けるための対策を怠らないようにしましょう。

    【参考情報】

    Windows10のサポート終了-その影響とリスクを考える-

    Share

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    2025年10月、Windows 10のサポートが終了します。サポート切れのソフトウェアを使用し続けることで、企業はセキュリティリスクにさらされる可能性が高まります。そして脆弱性が放置され、攻撃者に狙われやすくなることで、情報漏洩や業務停止の危険が増大します。本記事では、Windows 10のサポート終了に伴う影響や、企業が取るべきセキュリティ対策を解説します。実際に脆弱性を悪用した攻撃事例を紹介し、どのようにしてリスクを最小化できるのか、具体的な対応策を提案します。

    【関連ウェビナー開催情報】
    弊社では4月23日(水)14:00より、「2025年10月 Windows10サポート終了へ 今知るべき!サポート切れのソフトウェアへのセキュリティ対策ガイド」と題したウェビナーを開催予定です。2025年10月にサポート終了を迎えるWindows10の脆弱性とサポート切れのソフトウェア製品への対応策について解説します。ご関心がおありでしたらぜひお申込みください。詳細はこちら

    記事に関連したわかりやすい解説動画も公開しております。
    是非こちらもご覧ください!

    2025年10月、Winodws10のサポートが終了

    Microsoftは2025年10月14日、Windows 10のサポートを終了します。最終バージョンは22H2となっており、このバージョンを含め、すべてのエディションはこの日をもってサポートが終了します。サポート終了後は、以下のサービスが提供されなくなります。

    • テクニカルサポート
    • セキュリティ更新プログラム
    • バグ修正(パッチの提供)
    • 機能更新プログラム

    Windows10搭載PCは引き続き動作しますが、セキュリティ更新プログラムを受け取れなくなるため、このため、企業のシステムは新たな脅威に対して脆弱になり、マルウェアに感染するリスクが非常に高まります。

    Windows10サポート終了の背景

    MicrosoftがWindows 10をサポート終了するに至った背景には、主に次のようなものがあります。

    • 新技術の導入の必要性 最新のセキュリティ技術やパフォーマンス向上のための新機能を取り入れるため、古いOSから新しいOSへの移行が必要になりました。
    • 市場の変化への対応 ユーザーのニーズが変化し、より高いセキュリティや新機能が求められるようになったことから、古いOSでは対応しきれなくなりました。

    当初Windows10は「最後のバージョンのWindows」と位置付けられていましたが、セキュリティ環境の変化や新技術の進展により、Windows11への移行を推奨する流れとなりました。

    Windows10サポート終了後の影響 企業が直面するリスク

    サポートが終了したソフトウェアの継続利用は、重大なセキュリティリスクを伴います。Windows10の場合、セキュリティ更新が行われなくなることで、新たに発見される脆弱性に対して無防備な状態となってしまいます。日々進化するサイバー攻撃において、攻撃者はこうしたサポート終了後のソフトウェアを格好の標的としています。システムへの主な影響としては、以下が挙げられます。

    システムへの影響

    1. 脆弱性を突かれるリスクの増加
      サポート終了後に発見された脆弱性は、修正されないまま放置されることになります。攻撃者はこの未修正の脆弱性を悪用し、システムへの不正アクセスやデータの窃取を試みる可能性が高まります。特に企業のネットワーク環境では、1台の更新されていないPCが、システム全体にとっての弱点となりかねません。
    2. ソフトウェアの互換性における課題
      最新のアプリケーションやハードウェアは、サポートの終了したOSでの動作保証を行いません。Windows10のサポート終了後は、新しいソフトウェアやデバイスが正常に機能しなくなる可能性が高く、業務効率の低下が懸念されます。

    企業への主な影響

    運用リスク

    • システム故障による業務中断
    • セキュリティ侵害やマルウェア攻撃によるダウンタイムの増加
    • ソフトウェアの互換性や技術サポートに関する課題
    • 古いソフトウェアを使い続けると、最新のアプリケーションやハードウェアとの互換性が失われる可能性があります。例えば、最新のクラウドサービスが利用できなかったり、新しいデバイスとの接続ができなかったりすることで、業務の効率が低下します。

    コンプライアンス上の問題

    • コンプライアンス規制を満たさないことによる法的罰則
    • 個人情報保護に関する政府機関等からの監視強化

    近年、多くの業界で求められる各種規制やコンプライアンス要件では、最新のセキュリティ対策の実施が必須となっています。サポート終了したWindows10の使用は、これらの基準に抵触する恐れがあり、企業の信用失墜や法的制裁につながる可能性があります。

    Windows 10に存在する脆弱性とその脅威

    Windows 10は定期的にセキュリティアップデートが提供されていますが、過去にはいくつかの深刻な脆弱性が発見され、修正されています。以下は、Windows10における代表的な脆弱性です。

    CVE-2017-0144(EternalBlue)

    • 概要:CVE-2017-0144(EternalBlue)は、Windows7、8、10、XPを対象にした脆弱性で、サーバーメッセージブロック(SMBv1)を通じて悪用されます。この脆弱性はMicrosoftから提供されたセキュリティパッチで修正済みですが、パッチ未適用のシステムでは依然としてリスクがあります。
    • 影響:この脆弱性が悪用されると、攻撃者はリモートコード実行ができるため、サーバやクライアントPCを完全に制御できるようになります。ランサムウェアの「WannaCry」や「NotPetya」は、この脆弱性を悪用した例です。

    CVE-2019-0708(BlueKeep)

    • 概要:CVE-2019-0708(BlueKeep)は、Windows7、Windows Server2008 R2などのバージョンに影響を与えるリモートデスクトッププロトコル(RDP)の脆弱性です。Windows10でも一定の影響を受ける可能性があり、リモートデスクトップサービスにおいて攻撃者が未検証のリクエスト送信することにより、任意のコードを実行できる危険性があります。
    • 影響:攻撃者がこの脆弱性を悪用すると、リモートでシステムを完全に制御でき、感染したコンピュータを他のシステムに拡大させることができます。この脆弱性は、深刻なセキュリティインシデントを引き起こす可能性があります。

    Windows 10の脆弱性を悪用した攻撃の事例

    攻撃者はWindows10の脆弱性を悪用して、システムへの不正侵入や情報漏洩、マルウェアの拡散を行います。以下は、脆弱性を悪用した攻撃の事例です。

    Windows MSHTMLの脆弱性

    Microsoftは2024年7月の更新プログラムでWindows MSHTMLの脆弱性「CVE-2024-38112」へ対応したプログラムを公開しました。この脆弱性はInternet Explorer(通称:IE)の一部を構成するMSHTMLブラウザエンジンの欠陥によるものです。本脆弱性については1年半にわたって悪用されていたことが確認されており、米CISAのKnown Exploited Vulnerability Catalogにも新規追加されました。

    攻撃の概要
    今回報告・悪用されたWindows MSHTMLの脆弱性「CVE-2024-38112」はMSHTMLを悪用し、現行OSで無効化されているはずのIEを呼び出すものです。IEモードやMSHTMLなどのドライバ類は、レガシーサイトへのアクセスの要望に応えるために残存していますが、2024年7月のセキュリティ更新まではショートカットファイル内でインターネットショートカット用にMSHTMLが使用できたため悪用されました。攻撃の概要は下図のとおりです。マルウェアのダウンロードが主目的となっていることがわかります。

    サポート切れソフトウェアのセキュリティリスク

    1. セキュリティの脆弱性が修正されない
      サポートが終了したソフトウェアには、新たに発見された脆弱性に対するセキュリティパッチが提供されません。そのため、ハッカーにとって格好の標的となり、マルウェア感染や不正アクセスのリスクが高まります。
    2. ランサムウェアやマルウェア攻撃の増加
      近年、サポート終了ソフトウェアを狙ったランサムウェア攻撃が増加しています。例えばWindows XPのサポート終了後、「WannaCry」というランサムウェアが流行し、多くの企業が被害を受けました。これと同様の攻撃が、サポート終了後のWindows 10やその他の古いソフトウェアでも発生する可能性があります。
    3. 法規制やコンプライアンス違反
      企業がサポート終了ソフトウェアを使い続けることは、法的リスクを伴います。特にGDPR(EU一般データ保護規則)や日本の個人情報保護法では、適切なセキュリティ対策を講じることが求められています。サポートが終了したソフトウェアを利用することは、これらの規制違反となる可能性があり、企業の信頼性が損なわれる要因となります。
    4. ソフトウェアの互換性問題
      古いソフトウェアを使い続けると、最新のアプリケーションやハードウェアとの互換性が失われる可能性があります。例えば、最新のクラウドサービスが利用できなかったり、新しいデバイスとの接続ができなかったりすることで、業務の効率が低下します。
    5. ITコストの増加
      一見すると、古いソフトウェアを使い続けることはコスト削減につながるように思えますが、実際にはその逆です。セキュリティの問題が発生すれば、データ漏えいやシステム停止による損害が発生し、結果的に大きなコストがかかる可能性があります。

    サポート終了後のソフトウェアへの対応策

    1. 速やかなアップグレード
      最も安全な対策は、最新のソフトウェアへアップグレードすることです。例えば、Windows 10のサポート終了が迫っているため、企業や個人はWindows 11への移行を検討することが推奨されます。
    2. 仮想環境での隔離
      どうしてもサポートが終了したソフトウェアを使い続ける必要がある場合は、**仮想マシン(VM)**を利用し、ネットワークから切り離して運用する方法もあります。これにより、セキュリティリスクを最小限に抑えることが可能です。
    3. セキュリティ対策の強化
      古いソフトウェアを使用する場合、ファイアウォールの強化や最新のエンドポイントセキュリティを導入することで、攻撃のリスクを軽減できます。また、多要素認証(MFA)を導入することで、不正アクセスのリスクを低減できます。
    4. 定期的な脆弱性診断
      企業では、定期的な脆弱性診断を実施し、セキュリティの問題を早期に発見することが不可欠です。セキュリティ専門家による診断を受けることで、サイバー攻撃のリスクを軽減できます。
    5. クラウドサービスへの移行
      古いソフトウェアの代替として、クラウドベースのサービスを活用する方法もあります。例えば、Microsoft 365やGoogle Workspaceといったクラウドサービスに移行することで、常に最新のセキュリティアップデートを受けられます。

    Windows11へのアップグレード

    最も推奨される対策は、Windows 11へのアップグレードです。

    Windows11への移行がもたらすメリット

    リスクを回避するためには、最新のOSへのアップグレードが不可欠です。現時点では、Windows11への移行が最も現実的な選択肢となっています。Window11では、セキュリティ機能の強化に加え、パフォーマンスの向上や最新テクノロジーへの対応が図られています。主なメリットは以下の通りです。

    • 最新のセキュリティ更新が継続的に提供され、新たな脅威からシステムを保護
    • ハイブリッドワークやAI活用に最適化された機能により、業務効率が向上
    • 各種セキュリティ要件への準拠により、コンプライアンスリスクを軽減

    企業向けの対応策

    1. 現在の環境の把握:
      ・使用中のWindows 10バージョンとハードウェア構成を調査
      ・Windows11へのアップグレード可能性を評価
    2. 移行計画の策定:
      ・Windows11への段階的な移行スケジュールの作成
      ・互換性のないアプリケーションの特定と対応策の検討
    3. セキュリティ対策の強化:
      ・ESUの導入検討
      ・多層防御の実装
    4. PCライフサイクル管理の見直し:
      ・PC管理台帳の作成・更新
      ・計画的な買い替え・更新サイクルの確立
    5. 従業員教育とサポート体制の整備:
      ・移行に関する情報提供と教育
      ・移行期間中のサポート体制の確立

    Windows10のサポート終了に向けて、綿密な移行計画の策定が求められます。まずは現行のPCやシステムがWindows11の動作要件を満たしているか確認し、必要に応じて機器の更新計画を立てましょう。また、重要なデータのバックアップや、新システムに関する従業員向けトレーニングの実施も欠かせません。企業はIT部門と緊密に連携しながら、段階的な移行スケジュールを組むことで、業務への影響を最小限に抑えることができます。

    情報資産の棚卸

    組織内に存在する情報に関し、機密とするもの、公知であってよいものを分類し、それらがどこに格納されて、どのように利用されているかを可視化した上で、防御の対応をする機器・人・組織といったリソースを適切に振り分けて防御する仕組みを構築することが求められます。

    これにより、システムへのマルウェアの侵入等の早期発見にも繋がり、事業活動の継続を左右する重要情報へのアクセスを遮断することで、万一侵入を許しても被害を最小限に抑えられます。

    信頼できる第三者機関の脆弱性診断サービスを実施

    企業として実施できるサイバー攻撃への対策として、信頼できる第三者機関による脆弱性診断が挙げられます。第三者の専門家からの診断を受けることで、現状の問題点や対応の優先順位などリスクを可視化することができるため、早急に効率よく対策を実施するのに役立ちます。

    サイバー攻撃手法は日々更新されており、さらに取引先や子会社などを含むサプライチェーンを踏み台にした攻撃など、どんなにセキュリティ対策を実施していても自組織のみではインシデント発生を防ぎきれないのが実情です。脆弱性診断の定期的な実施といった基本的なセキュリティ対策を行うとともに、万が一インシデントが発生してしまった場合の備えとして信頼できる第三者の専門企業に相談することをおすすめします。

    まとめ

    Windows 10のサポート終了は2025年10月14日に迫っています。セキュリティリスクを回避するためには、Windows 11へのアップグレード、または代替策の導入が必要です。企業の担当者は、計画的な移行準備を早期に開始することを推奨します。

    サイバーインシデント緊急対応

    サイバーセキュリティ緊急対応電話受付ボタン

    SQAT緊急対応バナー

    アタックサーフェス調査サービス

    インターネット上で「攻撃者にとって対象組織はどう見えているか」調査・報告するサービスです。攻撃者と同じ観点に立ち、企業ドメイン情報をはじめとする、公開情報(OSINT)を利用して攻撃可能なポイントの有無を、弊社セキュリティエンジニアが調査いたします。

    詳細・お見積りについてのご相談は、お問い合わせフォームからお気軽にお問い合わせください。お問い合わせはこちら。後ほど、担当者よりご連絡いたします。

    SQAT脆弱性診断サービス

    自ステムの状態を知る

    サイバー攻撃に対する備えとして、BBSecが提供する、SQAT脆弱性診断サービスでは、攻撃者の侵入を許す脆弱性の存在が見逃されていないかどうかを定期的に確認することができます。自組織の状態を知り、適切な脆弱性対策をすることが重要です。

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    ウェビナー開催のお知らせ

  • 2025年4月16日(水)14:00~15:00
    知っておきたいIPA『情報セキュリティ10大脅威 2025』~セキュリティ診断による予防的コントロール~
  • 2025年4月23日(水)14:00~15:00
    今知るべき!サポート切れのソフトウェアへのセキュリティ対策ガイド
  • 2025年4月30日(水)13:00~13:30
    CVSSとSSVCで実践する次世代脆弱性管理:サイバー攻撃対策セミナー2024
  • 最新情報はこちら


    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。

    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。


    Security Serviceへのリンクバナー画像

    BBsecコーポレートサイトへのリンクバナー画像

    セキュリティ緊急対応のバナー画像

    2025年春のAI最新動向第3回:
    生成AIの未来と安全な活用法 -私たちはAIをどう使うべきか?-

    Share

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    本記事では全3回のシリーズを通して、2025年春時点でのAIをめぐる様々な事象をまとめています。連載第3回目となる今回は、生成AIを私たちはどのように活用すべきか、今後の展望について解説します。

    OWASP Top 10でみる生成AIのセキュリティリスク

    AIをめぐるセキュリティリスクを簡便にまとめた情報がOWASP Top 10 for LLM Applications 2025として公開されています。2024年11月に公開された2025年版では、以下の10項目がトップ10に挙げられています。

    • LLM01:2025 プロンプトインジェクション
      概要:ユーザーが入力したプロンプトが、意図しない形で LLM の挙動や出力に影響を与える脆弱性
    • LLM02:2025 センシティブ情報漏洩
      概要:LLMとそのアプリケーションのコンテキストにおいて、個人情報、金融情報、機密ビジネスデータ、セキュリティ認証情報などのセンシティブな情報が漏洩するリスク
    • LLM03:2025 サプライチェーン
      概要:LLMのサプライチェーンにおける脆弱性が、トレーニングデータ、モデル、デプロイメントプラットフォームの完全性に影響を与え、バイアスのある出力やセキュリティ侵害を引き起こすリスク
    • LLM04: データとモデルの汚染
      概要:事前学習、ファインチューニング、または埋め込みデータが操作され、脆弱性、バックドア、またはバイアスが導入されることによって、モデルのセキュリティ、パフォーマンス、または倫理的行動が損なわれるリスク
    • LLM05:2025 不適切な出力処理
      概要:LLMによって生成されたコンテンツの検証、サニタイズ、および処理が不十分なまま、他のコンポーネントやシステムに渡されることによって生じる脆弱性
    • LLM06:2025 過剰な代理権
      概要:LLMベースのシステムが、プロンプトに応答してアクションを実行するために、他のシステムと連携する機能を与えられることによるリスク
    • LLM07:2025 システムプロンプトリーク
      概要:LLMアプリケーションのシステムプロンプトが漏洩することにより、攻撃者がアプリケーションの内部動作を理解し、悪用するリスク
    • LLM08:2025 過度な信頼
      概要:LLMの出力の正確さや適切さに対する過度な依存によって生じるリスク。ユーザーがLLMの出力を効果的に評価できない場合、誤情報や不適切なアドバイスを受け入れる可能性が高まる
    • LLM09:2025 誤情報の生成
      概要:LLMが誤った情報や偏った情報を生成・拡散するリスク
    • LLM10:2025 無制限の消費
      概要:LLMが入力クエリまたはプロンプトに基づいて出力を生成するプロセスにおいて、リソース管理が不適切であることによって生じるリスク。モデルの窃取やシャドウモデルの作成につながる可能性もある

    Top10には実際にジェイルブレイクの手法として用いられるものも含まれています。また、AIによるサービスを提供する側がガードレールによって回避すべき問題も多く含みますが、LLM08:2025 過度な信頼のようにユーザ側の問題も含まれています。

    生成AIの利用用途 -私たちはAIをどう使うべきか?-

    生成AIサービスであり基盤モデルでもある「Claude」を提供するAnthropic社が、2025年2月10日、「The Anthropic Economic Index」という分析レポートを公開しました。同レポートでは、Claudeの利用データ(匿名データ)を用いて私たちが普段どのようにAIを使っているかを具体的に分析しています。

    生成AIの主な利用用途

    • ソフトウェア開発とテクニカルライティングが主要な利用用途
    • 生成AIが人間の能力と協力して強化・拡張(Augumentation)する目的で使用されることが57%を占めており、AI が直接タスクを実行する自動化(Automation, 43%)を上回っている
    • 生成AIの使用はコンピュータープログラマーやデータサイエンティストなどの中~高程度の賃金を得られる職業※ で一般的
      ※Claudeのユーザーの利用用途をタスク別に割り当て、そのタスクが実行される可能性が高い職業を割り当てている点に注意
    • 最高賃金帯と最低賃金帯のタスクで利用頻度が低い

    ここまで書いてきましたが、生成 AI・基盤モデル(LLM含む)をめぐっては2025年3月現在、以下のような問題があります。

    • 過度な信頼や誤情報に対する警戒(OWASP Top 10 for LLM Applications 2025やEU AI法)
    • 機微情報や著作物の取り扱いに関するルール作り(日本をはじめとする各国法制度)

    機微情報や著作物に影響されない分野としてソフトウェア開発やテクニカルライティングがあり、その中でもある程度誤情報の検知や生成AIの出力に対して過度に期待しない一定程度の経験のある層が生成AIを使いやすいという状況の結果として、現時点での利用方法があると考えられるかもしれません。

    AIの安全な利用に向けて

    機微情報や著作物の扱いに関する問題やジェイルブレイクによる危険な情報の出力、誤情報といった具体的な問題がある一方、生成AIに限らずAI全般において安全性をどう保証するのか、インシデントをどのように調査し報告するのかといった面については現在も議論が続いています。EUでAI法は施行されてはいるものの、実際の法規制はこれからとなります。容認できないリスクに当たるAIへの規制はすでに2025年2月2日から始まっていますが、そのほかのAIシステムについてはこれから規則が適用されることになっています。EUのAI法のアプローチによる安全性の保証がどう効果をもたらすかは1年以上を経ないとわからないのが実情です。また、2025年2月4日に内閣府のAI戦略会議から公開された「中間とりまとめ(案)」でも、安全性については制度・施策の中で透明性・適正性の確保と並んで課題として挙げられています。

    まとめ

    2025年春、生成AIは急速に進化し、私たちの日常やビジネスに大きな影響を与えています。しかし、その一方でジェイルブレイク、情報漏洩、誤情報生成など、数多くのセキュリティリスクも指摘されています。各国の政府や監督機関は、これらのリスクに対応するための法規制やガイドラインを整備しつつあり、利用者としても安全対策の強化が求められています。今後、生成AIを安全に活用するためには、最新の規制情報やガイドラインに基づいた対策を実施し、脆弱性診断などを通じてシステムの弱点を常に把握することが必要です。SQAT.jpでは、今後も生成AIの安全性に関する問題に注視し、ご紹介していきたいと思います。

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    【連載一覧】

    ―第1回「生成AIとは? -生成AIの基礎知識と最新動向-」―
    ―第2回「生成AIをめぐる政府機関および世界各国の対応」―


    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。

    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。


    Security Serviceへのリンクバナー画像

    BBsecコーポレートサイトへのリンクバナー画像

    セキュリティ緊急対応のバナー画像

    2025年春のAI最新動向第2回:生成AIをめぐる政府機関および世界各国の対応

    Share

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    生成AIの普及が進む中、その安全性やセキュリティリスクについての議論が活発になっています。2025年春時点でのAIをめぐる様々な事象をまとめた本連載第2回目となる今回は、生成AIをめぐる政府機関および世界各国の対応についてご紹介します。

    DeepSeekに対する各国の反応

    DeepSeekは個人情報の保護を定める自国の法律に適合しないという理由から、韓国*7やイタリア*2では監督官庁が禁止措置などを講じています。また、日本では2025年2月3日、個人情報保護委員会から「DeepSeekに関する情報提供」という形で以下の点について周知がされました。

    - 同社の生成AIサービスについては、日本国内でサービス提供体制が構築されている他のサービスとは異なり、留意すべき点がありますが、同社が公表するプライバシーポリシーは中国語と英語表記のもののみとなっています。このため、同社が公表するプライバシーポリシーの記載内容に関して、以下のとおり、情報提供を行います。

    1. 当該サービスの利用に伴いDeepSeek社が取得した個人情報を含むデータは、中華人民共和国に所在するサーバに保存されること
    2. 当該データについては、中華人民共和国の法令が適用されること

    参考情報:
    ・個人情報保護委員会事務局「DeepSeek に関する情報提供」(令和7年2月3日)

    DeepSeek R-1は公開からわずか1カ月ほどでそのモデルの公開方法や安価な料金によって注目を浴びました。しかし一方で、セキュリティ上の問題や個人情報の保護の観点から多くの問題を巻き起こしています。

    生成AI全般に関する政府機関からの注意喚起

    国内では前述した個人情報保護委員会からの周知に引き続き、デジタル庁から生成AIの業務利用に関して注意喚起が行われました。この注意喚起はDeepSeekに関する周知をきっかけに、生成AI全般の利用について政府機関が再度注意喚起を行ったものです。

    • DeepSeekに関する個人情報保護委員会からの情報提供
    • 生成AIの業務利用に関する申し合わせの再周知
    • 他の生成AIサービスも含めて生成AIサービスは約款型サービスであることから、原則として用機密情報を取り扱わない
    • 機密情報を取り扱わない場合でもリスクを考慮したうえで必要な手続きを行い、申請・許可を要する
      (上記は2023年(令和5年)9月15日デジタル社会推進会議幹事会申合せ「ChatGPT等の生成AIの業務利用に関する申合せ(第2版)」で申し合わせ済の事項)
    • 国外サーバへのデータの転送は利用可否判断の差異の考慮すべきリスク
    • 生成AIサービスについてもIT調達申し合わせの対象

    参考情報:
    ・デジタル社会推進会議幹事会事務局「DeepSeek等の生成AIの業務利用に関する注意喚起(事務連絡)」(令和7年2月6日)

    改めて見直すとわかる通り、政府関係機関としても、DeepSeekに限らず生成AIサービス全般に対して業務上で利用することに制限をかけています。また、IT調達申し合わせの対象となっている点にも注意が必要です。

    一方、個人情報保護委員会からは2023年6月に「生成AIサービスの利用に関する注意喚起等」で一部事業者に対する要配慮個人情報の取得及び利用目的の通知などについての注意喚起が行われています。全般の注意喚起では個人情報取扱事業者、行政機関、一般利用者それぞれに向けた注意点が記載されています。一般の利用者向けの留意点としては以下の点が挙げられています。

    • 入力された情報が機械学習の利用や他の情報との統計的な結びつきにより正確/不正確を問わず出力されるリスクがある
    • 応答結果に不正確な内容が含まれることがある
    • 推奨:利用規約やプライバシーポリシーを十分に確認し、入力情報と照らし合わせて利用について適切に判断すること

    同時に発表された一部事業者への注意喚起では以下の点について注意喚起を行ったことがわかっています。

    • 個人情報、特に要配慮個人情報の収集を含まれないような取り組みの実施
    • 学習データセットへの加工前に要配慮個人情報を削除するか、個人識別ができないような措置の実施
    • 特定のサイトまたは第三者から要配慮個人情報を収集しないよう要請・指示が本人または個人情報保護委員会からあった場合、正当な理由がない限りは従うこと
    • 機械学習に利用されないことを選択してプロンプトに入力したよう配慮個人情報について正当な理由がない限り取り扱わないこと
    • 利用者及び利用者以外のものを本人とする個人情報の利用目的について、日本語を用いて双方に対して通知または公表すること

    2年前に注意喚起が行われて以降、注意喚起が行われた事業者のサービスを含む一部のサービスでは学習データへの再利用のオプトアウトメニューが実装されましたが、一部の事業者のみが実装するにとどまっているのが現状です。

    生成AIサービス利用に関する契約チェックリスト

    生成AIサービスの利用全般については2025年2月18日に経済産業省から「生成AIサービスの利用・開発に関する契約チェックリスト」が公開されています。チェックリストはインプット・アウトプット、またそれぞれの処理成果に対して設定されています。セキュリティに関してはチェックリスト内に、以下の観点でのチェック項目が設けられています。

    • 対象システム(AIサービス)のセキュリティ水準
    • 監査条項等
    • ログの保存
    • 規約改定に関する留意点
    AIの利用・開発に関する契約チェックリスト画像
    チェックリストの対象となる条項
    出典:経済産業省「AIの利用・開発に関する契約チェックリスト」p.11より抜粋

    全体としてデータが不適切に利用されないよう、利用者が不利益を被らないよう、チェックが行えるようなリストとなっています。生成AIサービスを利用されている場合、利用する予定がある場合には一度チェックしてみることをおすすめします。

    AIの安全性を確保するための法整備

    現在、各国でAIの安全性を確保するための法整備が進められています。

    欧州データ保護委員会(EDBP) Opinion

    EUでは個人情報保護についてGDPRがあり、その監督機関である欧州データ保護委員会(EDBP)が 2024年12月17日に「Opinion 28/2024 on certain data protection aspects related to the processing of personal data in the context of AI models」を公開しています。EDBPのOpinionには法的拘束力はありませんが、EUにおけるAIへの個人情報保護法制の今後を推測するものといえます*3。同資料では以下の3点について考察が行われています。概要を記載しますが、詳細は本文や引用元をご覧ください。

    1.AIモデルを匿名と見なすことができる場合と方法

    • AIモデルが匿名であるかどうかは、DPAがケースバイケースで評価すべきだとしている
    • 匿名化の結果、再度個人データを抽出できる可能性が非常に低い必要があるとされている

    2.AIモデルを開発または使用するための法的根拠として正当な利益を使用できるかどうか、およびどのように使用できるか

    • 従来から GDPR を回避するために正当な利益のみを法的根拠としてきた事業者に対して、正当な利益と主張しているものが本当に正当かどうかを確認するよう求められているもの
    • EDPBは[三段階のテスト]を用いて正当な利益の仕様であるかどうかを評価するよう求めている
      STEP1. 管理者または第三者に正当な利益はあるか
      STEP2. 正当な利益のために処理が本当に必要か
      STEP3. 個人の利益や基本的な権利と自由は、正当な利益によって覆されうるのか
      参考情報:https://www.edpb.europa.eu/system/files/2024-10/edpb_summary_202401_legitimateinterest_en.pdf

    3.違法に処理された個人データを使用してAIモデルが開発された場合に何が起こるか

    • AIモデルが違法に処理された個人データを使用して開発された場合、モデルが適切に匿名化されていない限り、そのデプロイの合法性に影響を与える可能性があるとされている

    EU AI法

    また、EUではAI全般をリスクベースで管理するためのAI法(『EU AI Act: first regulation on artificial intelligence』)が2024年に施行されました。

    EUではリスクレベルを以下のように定義し、それぞれに要件を設けています。

    許容できないリスク

    • 人や特定の脆弱なグループの認知行動操作(例えば、子供の危険な行動を助長する音声作動玩具)
    • ソーシャルスコアリング AI(行動、社会経済的地位、または個人の特性に基づいて人々を分類します)
    • 人々の生体認証と分類
    • 公共スペースでの顔認識などのリアルタイムおよびリモート生体認証システム
      法執行目的では一部例外が認められる場合がある。

    ハイリスク

    以下が該当し、規制の対象となる。

    (1). EUの製品安全法に該当する製品に使用されているAIシステム(玩具、航空、自動車、医療機器、リフトなど)
    (2). 特定の分野に分類されるAIシステム

    • 重要インフラの管理・運用
    • 教育と職業訓練
    • 雇用、労働者管理
    • 自営業へのアクセス
    • 必要不可欠な民間サービス
    • 公共サービス
    • 福利厚生へのアクセスと享受
    • 法執行機関
    • 移民、庇護、国境管理管理
    • 法律の解釈と適用に関する支援

    すべての高リスクAIシステムは、市場に投入される前、およびそのライフサイクル全体を通じて評価される。人々は、AI システムに関する苦情を指定された国家当局に申し立てる権利がある。

    透明性リスク

    • General-purpose AI(GPAI)として定義される生成AIサービス全般が該当
    • ミニマルリスクやハイリスクでも該当する場合がある
    • 許容できないリスクやハイリスクに分類されない場合でも、透明性要件とEUの著作権法に準拠する必要がある
      ・コンテンツがAIによって生成されたことを開示する
      ・不正なコンテンツが生成されないようにモデルを設計する
      ・トレーニングに使用した著作権で保護されたデータの概要の公開
    • システミックリスクをもたらす可能性のある影響の大きい汎用AIモデルは、徹底的な評価を受け、重大なインシデントが発生した場合は欧州委員会に報告する必要がある。
    • AIの助けを借りて生成または変更されたコンテンツ(画像、オーディオ、ビデオファイル(ディープフェイクなど))は、ユーザーが認識できる形で AI 生成であることをラベル付けする必要がある。

    ミニマルリスク

    スパムフィルターなどのリスクが最小限にとどまるAIサービスが該当

    なお、AI法はGDPR同様に日本の事業者がAIサービスをEU圏で提供する場合にも適用される*4とのことです。

    韓 AI基本法

    韓国ではAI基本法が2024年末に国会で議決*5されています。主な内容は以下の通りです。

    • AIの発展と信頼基盤造成のための推進体系の構築:競争力強化のためのAI基本計画の策定、AI安全研究所の運営など
    • AI産業の育成支援:AI研究開発・標準化・学習用データ施策の策定・AIの導入および活用に対する政府支援、AI集積団地の指定、専門人材の確保、中小企業のための特別支援など
    • 影響度の高いAI(人の生命・安全・基本的な権利に重大な影響を及ぼす可能性があるAI)・生成型AIに対する安全・信頼基盤の構築:透明性・安全性確保義務の規定、事業者の責務規定、AIの安全性・信頼性の検証・認証に対する政府支援、影響評価に対する政府支援など

    英国AISI

    英国では2025年2月14日に発表されたAnthropicとの協力関係を元にAISI(AI Security Insititute)を中心に国家安全保障やサイバー攻撃、詐欺や児童性的虐待などの国民に被害を及ぼす犯罪や治安問題に関連するリスク保護を強化し、経済の成長を支援する目的でのAI活用の推進を進めるとしています*6

    ―第3回「生成AIの未来と安全な活用法 -私たちはAIをどう使うべきか?-」へ続く―

    連載第2回では、生成AIに対する政府機関からの注意喚起や取り組みについてご紹介しました。次回、第3回では生成AIの安全な利用・活用方法と今後の展望についてみていきます。

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    【連載一覧】

    ―第1回「生成AIとは? -生成AIの基礎知識と最新動向-」―
    ―第3回「生成AIの未来と安全な活用法 -私たちはAIをどう使うべきか?-」―


    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。

    Security Serviceへのリンクバナー画像
    BBsecコーポレートサイトへのリンクバナー画像
    セキュリティ緊急対応のバナー画像