ランサムウェア攻撃グループ「8Base」関係者逮捕へ― 400社以上が標的に!企業はランサムウェア対策を徹底しましょう―

Share

Security NEWS TOPに戻る
バックナンバー TOPに戻る

お問い合わせ

お問い合わせはこちらからお願いします。後ほど、担当者よりご連絡いたします。

事件概要

国際的な法執行機関が連携し、ランサムウェア攻撃グループ「8Base」の中核メンバーが摘発されたと報じられています。今回の国際捜査は欧米や日本を含む全14カ国の協力の下、EuropolおよびEurojustが中心となって実施されました。これにより、同グループが攻撃対象としていた企業に対する脅威が回避されたとみられます。

「8Base」は、ランサムウェア「Phobos」のインフラを活用しながら、独自の亜種を展開していたとされ、今回の作戦で運営されていたサーバー27台が押収されました。摘発された主要関係者はロシア国籍であったとの情報もあり、今回の国際共同作戦は、グローバルなサイバー犯罪対策の一環として大きな成果を上げたといえるでしょう。

この事件は、ランサムウェア攻撃が企業に与える被害の大きさと、国際的なセキュリティ連携の重要性を浮き彫りにしています。企業は、自社の防御策を再確認し、最新のセキュリティ対策を講じることが求められます。

事件の背景と脅威

ランサムウェア「Phobos」は、2018年以降、特にセキュリティ対策の甘い中小企業を中心に攻撃を展開しており、過去にも欧州や韓国、米国で主要な関係者の逮捕が報告されていました。ランサムウェア攻撃を受けてしまった場合、企業の業務停止、データの暗号化、情報漏洩など、甚大な被害をもたらします。今回の逮捕は、これまでの捜査活動の延長線上にあり、ランサムウェア攻撃が国際的な脅威であることを再確認させるものとなっています。

ランサムウェア対策の例

今回の「8Base」逮捕事件を踏まえ、万が一の攻撃に備えるために講じるべきランサムウェア対策の一例をあげます。

1.セキュリティパッチとアップデートの迅速な適用

  • 最新パッチの適用
    ソフトウェアやシステムの脆弱性は、攻撃者にとって格好の的となります。最新のセキュリティパッチを迅速に適用することが、被害拡大を防ぐ最も基本的な対策です。

2.多層防御体制の構築

  • ネットワーク分離とアクセス制御
    管理者アカウントの権限を必要最低限に制限し、ネットワークのセグメンテーションや多要素認証の導入で、攻撃の拡大を防ぎます。
  • エンドポイントセキュリティの強化
    最新のウイルス対策ソフトや侵入検知システムを導入し、攻撃が行われた際に即座に検知できる体制を整えましょう。

3.定期的なバックアップと脆弱性診断

  • バックアップの徹底
    重要データの定期的なバックアップは、攻撃によるデータ暗号化や消失に対して迅速な復旧を可能にします。バックアップはオフラインであることが求められます。オフラインバックアップは、ネットワークから完全に切り離された状態でデータを保存するため、攻撃者がネットワークを通じてアクセスできず、万が一の攻撃時にも安全性が確保されます。
  • 脆弱性診断の実施
    定期的なシステムの脆弱性スキャンとペネトレーションテストにより、潜在的な脆弱性を早期に発見し、対策を講じることが重要です。

4.インシデントレスポンス計画の策定

  • 迅速な対応体制の確立
    万が一の攻撃発生時には、速やかに対応できるよう、事前にインシデントレスポンス計画を策定し、定期的な訓練を実施してください。

5.情報共有と業界連携

  • 最新情報の取得と共有
    セキュリティ専門家や業界団体との情報交換を活発に行い、最新の攻撃手法や対策を常にアップデートしましょう。

まとめ

ランサムウェア攻撃グループ「8Base」の主要メンバー逮捕は、世界各国で展開されているサイバー攻撃の深刻さを象徴しています。400社以上の企業が標的となる可能性があったこの事件は、企業にとってランサムウェア対策の徹底が不可欠であることを再認識させます。企業は、最新のセキュリティパッチ適用、多層防御体制の構築、定期的なバックアップと脆弱性診断、そして迅速なインシデント対応を実施することで、サイバー攻撃による被害を最小限に抑えることが求められます。さらに、もし自社に対する攻撃や不審な活動が確認された場合は、直ちに弊社の緊急対応窓口までご連絡ください。迅速な調査と対策で、被害拡大を防止いたします。

サイバーインシデント緊急対応

サイバーセキュリティ緊急対応電話受付ボタン
SQAT緊急対応バナー

【参考情報】

この記事は、ランサムウェア攻撃グループ「8Base」逮捕事件を踏まえ、企業が直面するセキュリティリスクと、ランサムウェア対策の重要性を解説しています。最新パッチの適用や多層防御体制、定期的なバックアップと診断、さらに迅速なインシデント対応体制の構築を通じて、企業は安全な環境を確保することが不可欠です。

Security NEWS TOPに戻る
バックナンバー TOPに戻る

ウェビナー開催のお知らせ

  • 2025年4月9日(水)13:00~14:00
    今さら聞けない!スマホアプリのセキュリティあれこれ
  • 2025年4月16日(水)14:00~15:00
    知っておきたいIPA『情報セキュリティ10大脅威 2025』~セキュリティ診断による予防的コントロール~
  • 2025年4月23日(水)14:00~15:00
    今知るべき!サポート切れのソフトウェアへのセキュリティ対策ガイド
  • 2025年4月30日(水)13:00~13:30
    CVSSとSSVCで実践する次世代脆弱性管理:サイバー攻撃対策セミナー2024
  • 最新情報はこちら


    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。

    Security Serviceへのリンクバナー画像
    BBsecコーポレートサイトへのリンクバナー画像
    セキュリティ緊急対応のバナー画像

    2025年春のAI最新動向
    第1回:生成AIとは? -生成AIの基礎知識と最新動向-

    Share

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    2025年春、生成AIが注目を集めています。そこで、本記事では全3回のシリーズを通して、2025年春時点でのAIをめぐる様々な事象をまとめました。連載第1回目となる今回は、生成AI関連で現在注目されている主要用語の解説、そしてDeepSeek R1の登場に伴う生成AIのセキュリティ上の課題について解説します。

    はじめに

    生成AIは、膨大なデータからパターンを学習し、文章や画像、音声などのコンテンツを自動生成する技術です。私たちの日常生活の中では、車載カメラでの画像認識や農業での生育・病害予測など、深層学習・機械学習を用いたAI技術がすでに利用されていますが、生成AIはさらにその範囲を拡大し、さまざまな業界に革新をもたらしています。

    生成AI、エージェントAI、大規模言語モデル(LLM)、基盤モデル

    昨今注目されているのは私たちの問いかけに対して何かを生成・出力する生成AIですが、日進月歩の分野でもあることから様々な用語が出てきています。本記事ではジョージタウン大学のCSET(Center for Security and Emerging Technology)やインド工科大学カンプール校(IITK)による定義から以下のように定義して話を進めていきたいと思います。

    生成AIとは

    コンテンツの生成を主な機能とするあらゆるAIシステム。膨大なデータセットからパターンを発見し、出力するもの

    例:

    • 画像生成ツール(Midjourney(ミッドジャーニー)、Stable Diffusionなど)
    • 大規模言語モデル(LLM)(GPT-4、PaLM、Claudeなど)
    • コード生成ツール(Copilotなど)
    • オーディオ生成ツール(VALL-E、resemble.aiなど)

    エージェントAI(Agentic AI・AIエージェント)とは

    事前に設定された目標に対して、人間の継続的な監視なしに、自律的に決定とアクションの実行を行うもの

    LLM(大規模言語モデル)とは

    言語と連携するAIシステムの一種
    – 過去数年間にわたって多くのパラメータでモデルをトレーニングすることでパフォーマンスが向上されるといわれている
    – 「言語」のターゲットとしてどこまでが含まれるかの定義は明確ではない(プログラミングコードはカウントされるのか、主に言語で動作するが画像を入力として受け入れるものはどうか、など)

    例:OpenAIのGPT-4、GoogleのPaLM、MetaのLLaMAなど

    基盤モデルとは

    より多くの具体的な目的に適応できる、幅広い機能を備えたAIシステム。多くのLLMが含まれる

    例:初代ChatGPTにおける GPT-3.5(LLM、基盤モデル)

    出典:
    ・CSET
    What Are Generative AI, Large Language Models, and Foundation Models?
    ・E&ICT Academy, IIT Kanpur
    gentic AI vs. Generative AI: Key Differences and Use Cases in 2025

    機密情報、個人情報とAI

    DeepSeekショック

    2025年に入って注目を浴びたニュースのひとつに、中国のAI研究所DeepSeekが公開した「DeepSeek-R1」があります。DeepSeekは商用利用可能なオープンソースとして公開され、チャットボットが無料であることで注目される一方で、多くのブログやレポートでセキュリティ上の問題点が指摘されています。指摘された問題は大きく分けて以下の3点になります。

    1. ジェイルブレイク脆弱性
      武器や有害物質、悪意のあるスクリプトやマルウェアの生成などが可能となるジェイルブレイク脆弱性の存在*1
    2. 通信の安全性や機密情報の取り扱いに関する問題*2
    3. データの送信先
      データをチャイナテレコム(中国電信)やバイトダンス(TikTok運営企業)に送信していること*3

    AIにおける「ジェイルブレイク」とは

    AIジェイルブレイクとは、AIに設定されたガードレール(緩和策)の故障を引き起こす可能性のある手法です。これにより、システムがオペレーターのポリシーに違反したり、1人のユーザーに過度に影響を受けた決定を下したり、悪意のある指示を実行したりするなど、回避されたガードレールから被害が生じます。

    参考情報:
    ・Microsoft「AI jailbreaks: What they are and how they can be mitigated

    このように、悪意のあるスクリプトやマルウェアの生成が容易に行われることは、MaaS/RaaS/PhaaSなどのサービス化したサイバー脅威の普及に匹敵するレベルで、犯罪のすそ野を広げていく可能性があります。実際の攻撃のうち、マルウェアキャンペーンに関しては2024年時点でAIは直接的に大量に使用されていないというレポート*4がありますが、DeepSeekのようなガードレールが機能しない生成AIがこの状況を変える可能性もあります。

    関連記事:
    RaaSの台頭とダークウェブ~IPA 10大セキュリティ脅威の警告に備える
    IPA 情報セキュリティ10大脅威からみる -注目が高まる犯罪のビジネス化-

    また、通信の安全性やデータの取扱いに問題があるサービスを利用することで、うっかり入力した個人情報や機密情報が漏洩し、二次被害を招く可能性も、サイバーセキュリティの観点から注意すべきでしょう。

    ジェイルブレイクとガードレール(緩和策)

    ここで主要な基盤モデルとそれぞれのジェイルブレイクや情報漏洩の報告の有無をみてみましょう。

    表1 主な基盤モデルとジェイルブレイク・情報漏洩の報告の有無

    基盤モデル ジェイルブレイク 情報漏洩
    OpenAI GPT-4 あり 該当なし
    OpenAI GPT-4o あり 該当なし
    OpenAI GPT-4o-mini あり 該当なし
    Google Gemini Flash あり 該当なし
    Google Gemini Pro あり 該当なし
    Anthropic Claude3.5 Sonnet あり 該当なし
    Anthropic Claude3.5 Opus あり 該当なし
    Meta Llama 3.1 あり 該当なし
    Meta Llama 3 8B あり 該当なし
    Grok 3 あり 該当なし
    DeepSeek R1 あり あり

    情報漏洩に関して現行の基盤モデルで問題となったのはDeepSeek R1だけとなっていますが、ジェイルブレイクに関してはどの基盤モデルも何らかの形で(悪いほうの)実績があります。多くは論文で報告されているものであり、実際の被害が報告されているものではありません。しかし、かつてサイバーセキュリティにおける脆弱性も同様に論文や実証レベルでの問題が大半で悪用されていなかったものが、組織的に悪用するための武器化や武器化したツールのサービス化などであっという間に広く悪用され、社会を揺るがす問題になっていることを考えると、AIにおいて同じことが起きないとは言い切れません。

    もちろん、基盤モデルを提供する事業者各社もジェイルブレイクに対するガードレールは設けていますが、実際にジェイルブレイクを狙った試行も報告*5されています。脅威アクターによるAIの悪用が今後なんらかの被害をもたらす可能性は否定できません。

    ―第2回「生成AIをめぐる政府機関および世界各国の対応」へ続く―

    連載第1回では、生成AIにまつわる基本用語とセキュリティ上の課題について解説しました。次回、第2回では、生成AIに関して政府機関や世界各国はどのような取り決めをしているかについて詳しくみていきます。

    参考情報:
    ・「GPT-4 Jailbreaks Itself with Near-Perfect Success   Using Self-Explanation」
      https://openreview.net/pdf?id=SMK34VBntD
    ・「ChatGPT-4o contains security bypass vulnerability through time and search functions called “Time Bandit”」
      https://kb.cert.org/vuls/id/733789
    ・「BEST-OF-N JAILBREAKING」
      https://arxiv.org/pdf/2412.03556
    https://github.com/haizelabs/llama3-jailbreak
    https://adversa.ai/blog/grok-3-jailbreak-and-ai-red-teaming/

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    【連載一覧】

    ―第2回「生成AIをめぐる政府機関および世界各国の対応」―
    ―第3回「生成AIの未来と安全な活用法 -私たちはAIをどう使うべきか?-」―


    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。

    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。


    Security Serviceへのリンクバナー画像

    BBsecコーポレートサイトへのリンクバナー画像

    セキュリティ緊急対応のバナー画像

    【緊急】Apache Tomcatの脆弱性 CVE-2025-24813-PoC公開&攻撃実例、迅速な対応を!-

    Share

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    お問い合わせ

    お問い合わせはこちらからお願いします。後ほど、担当者よりご連絡いたします。


    はじめに

    Apache Tomcatは、多くのWebアプリケーションで利用されている人気のサーブレットコンテナですが、最新の脆弱性CVE-2025-24813が重大なリスクとして報告されています。既にPoC(Proof of Concept)が公開され、実際に攻撃に悪用されている事例も確認されています。これにより、リモートコード実行(RCE)や情報漏洩といった深刻な被害が発生する可能性が高まっています。

    脆弱性の詳細

    CVE-2025-24813の概要

    ・概要

    Apache Tomcatに存在する脆弱性で、ファイルパスの正規化の不備を突くことで、攻撃者が悪意のあるファイルをアップロードし、シリアライズ済みセッションのデシリアライズ処理時に任意のコード実行が可能となります。

    ・攻撃シナリオ

    攻撃者は、PUTリクエストを利用して、悪意のあるシリアライズ済みJavaセッションファイル(PoCとして公開済み)をTomcatのセッションストレージにアップロードします。その後、GETリクエストでJSESSIONIDを指定することで、Tomcatがこの不正なセッションファイルをデシリアライズし、悪意のあるコードが実行されます。

    ・リスク

    認証不要でリモートからコード実行が可能なため、攻撃者によってシステム全体が乗っ取られるリスクが高いです。さらに、アップロードされたファイルは、従来のセキュリティ対策(WAF等)で検知されにくいという特徴があります。

    • CVSSベーススコア

    ※現状の具体的な数値は各セキュリティ情報サイト等をご確認ください。(本記事ページ下部【参考情報】ご参照)

    推奨対策

    1. パッチ適用とアップグレード
      • アップグレードの実施
      脆弱性が修正された最新バージョンへのアップグレードを速やかに実施してください。Apache Tomcat のバージョンアップにより、脆弱性を根本的に解消できます。
    2. 設定変更による一時的な対策
      • デフォルト設定の見直し
      Webアプリケーションの設定ファイル(例:web.xml)で、デフォルトの書き込み機能を無効化するなど、一時的なセキュリティ強化策を講じることも有効です。
    3. セキュリティ管理の強化
      • 脆弱性管理プログラムの導入
      定期的な脆弱性診断と評価を行い、システムに内在する脆弱性を早期に検出し修正してください。
      • 管理者アクセスの制御
      管理者アカウントには多要素認証などの追加対策を実施し、アクセス権限を最小限に絞ることが重要です。

    緊急対応窓口のご案内

    万が一、CVE-2025-24813に関連する攻撃や不審な活動が自社内で確認された場合は、直ちに弊社緊急対応窓口までご連絡ください。迅速な対応と調査を通じて、被害の拡大を防ぐお手伝いをいたします。

    サイバーインシデント緊急対応

    サイバーセキュリティ緊急対応電話受付ボタン
    SQAT緊急対応バナー

    まとめ

    Apache Tomcatの脆弱性CVE-2025-24813は、既にPoCが公開され攻撃に悪用されている深刻な問題です。お使いのTomcat環境が影響を受けている場合、速やかに最新パッチの適用やアップグレード、必要な設定変更を実施してください。また、万一の攻撃が確認された際には、弊社緊急対応窓口までお知らせいただくことで、迅速な支援を受けることが可能です。

    【参考情報】

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    ウェビナー開催のお知らせ

  • 2025年3月26日(水)13:00~14:00
    予防で差がつく!脆弱性診断の話~脆弱性による脅威とその対策~
  • 2025年4月2日(水)13:00~14:00
    今さら聞けない!PCI DSSで求められる脆弱性診断-いよいよ未来日付要件が有効に!PCI DSSv4.0での脆弱性診断実施におけるポイントとは-
  • 2025年4月16日(水)14:00~15:00
    知っておきたいIPA『情報セキュリティ10大脅威 2025』~セキュリティ診断による予防的コントロール~
  • 最新情報はこちら


    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。

    Security Serviceへのリンクバナー画像
    BBsecコーポレートサイトへのリンクバナー画像
    セキュリティ緊急対応のバナー画像

    脆弱性診断の基礎と実践!手動診断とツール診断の違いを徹底解説第3回:手動診断とツール診断、どちらを選ぶべきか?最適な診断方法の選び方

    Share

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    手動診断とツール診断、どちらが自社に最適なのか?本記事では、「脆弱性診断の基礎と実践」をテーマに全3回のシリーズのうちの最終回として、手動診断とツール診断の両者の特性や違いを比較し、診断方法を選ぶポイントを解説します。最適な診断方法を見極め、継続的なセキュリティ対策を実現しましょう。

    手動診断とツール診断の違い

    脆弱性診断には「手動診断」と「ツール診断」の2つの手法があり、それぞれに検出できる脆弱性の範囲、診断の精度、コストや時間といった違いがあります。適切な診断方法を選ぶためには、それぞれの特性を理解することが重要です。

    検出可能な脆弱性の範囲

    診断手法 検出可能な脆弱性の範囲
    ツール診断 CVE、OWASP Top 10などに基づき脆弱性を自動検出。ただし、システム固有の処理に関連する脆弱性の検出や複雑な攻撃手法には対応が難しい。
    手動診断 ツール診断では発見が難しいカスタムアプリの脆弱性や認証回避の脆弱性も検出可能。

    ツール診断はパターンマッチングに基づく脆弱性スキャンが主であり、定型的なセキュリティホールの発見に優れています。一方、手動診断はシステムごとの特性を考慮した診断が可能で、セキュリティエンジニアによる最新の攻撃手法に基づいたシナリオでの診断にも対応できます。

    診断の精度

    診断手法 精度
    ツール診断 短時間で広範囲の診断が可能だが、誤検知(False Positive)や見落とし(False Negative)が発生することがある。
    手動診断 セキュリティエンジニアが攻撃者視点で分析するため、より正確な脆弱性の特定が可能。誤検出を減らし、実際のリスクを精密に評価できる。

    ツール診断は効率的に多くのシステムをスキャンできるメリットがありますが、誤検出や見落としのリスクがあるため、結果を精査する必要があります。手動診断は攻撃手法を考慮したテストを実施できるため、リスクの深刻度を正確に判断しやすいのが特長です。

    コストと時間の違い

    診断手法 コスト 時間
    ツール診断 比較的低コストである。 短時間で診断可能(数時間~1日程度)。規模が小さいシステムであれば、数時間程度で診断が完了するため、定期的なスキャンが容易。場合によっては24時間いつでも診断が可能
    手動診断 専門のエンジニアが対応するためコストが高い。診断の範囲や内容によって費用が変動 時間がかかる(数日~数か月)。対象システムの複雑さにより診断期間が変動

    ツール診断は、コストを抑えて素早く診断ができる点が魅力ですが、ツールの設定や診断結果の解釈には専門知識が必要です。手動診断はコストや時間がかかるものの、外部のセキュリティ専門企業などに委託することによって、より精密な脆弱性評価が可能です。特に重要なシステムや高度なセキュリティ対策が求められる場面では有効です。

    診断方法を選ぶ際のポイント

    以下のポイントを考慮し、適切な診断方法を選ぶことが重要です。

    組織の規模やセキュリティ方針に合わせた選択

    組織の特徴 推奨される診断方法
    スタートアップ・中小企業(コストを抑え、効率的に診断したい場合) コストを抑えつつ効率的な診断を行いたい場合は、ツール診断が適している。自動化により定期的なチェックが可能。
    大企業・金融・医療・官公庁 高度なセキュリティ対策が求められるため、手動診断+ツール診断の組み合わせが効果的。特に重要システムには手動診断を推奨。
    クラウド環境を利用する組織 クラウド環境特有のリスクに対応するため、クラウドセキュリティに特化したツール診断と、必要に応じた手動診断の併用が理想的。

    どのような診断が必要か

    診断対象 推奨される診断方法
    WEBアプリケーション ツール診断で基本的な脆弱性をチェックし、重要な部分に手動診断を実施。特に、認証機能や決済機能の診断には手動診断が有効
    ネットワークセキュリティ ネットワークスキャンツール(例:Nmap、Nessus)を活用し、必要に応じて手動で詳細な分析を実施。ファイアウォールの設定やアクセス制御の確認が重要
    クラウド環境(AWS、AZURE、GCPなど) クラウド専用の脆弱性診断ツールを活用し、アクセス制御や設定ミスをチェック。特に、IAM(Identity and Access Management)の監査が必要な場合は手動診断も推奨

    ポイント:

    • Webアプリケーションの診断では、ツール診断でOWASP Top 10の脆弱性をスキャンし、カスタムアプリの診断には手動診断を追加するのが理想的
    • ネットワーク脆弱性診断では、ツール診断でポートスキャンを行い、不審な通信や設定の誤りを手動診断で確認する方法が有効
    • クラウド環境は設定ミスが原因の脆弱性が多いため、ツール診断を活用して広範囲をスキャンし、リスクの高い設定には手動診断を組み合わせることが推奨される

    手動診断とツール診断の組み合わせ

    手動診断とツール診断にはそれぞれメリットと限界があり、両者を適切に組み合わせることで、より高精度なセキュリティ対策が可能になります。ツール単独での診断では見落とされるリスクを補完し、組織のセキュリティレベルを向上させる戦略的なアプローチが求められます。

    両者を組み合わせることで得られるメリット

    スキャンの自動化と専門家による精査が両立

    • ツール診断で迅速に広範囲をスキャンし、重大なリスクが懸念される部分のみ手動診断を実施
    • 手動診断でツールの誤検出を精査し、実際のリスクを正確に判断

    費用対効果の向上

    • 低コストでツール診断を定期的に実施し、大きな問題が発覚した場合のみ手動診断を適用することで、予算を最適化

    診断結果の精度向上

    • ツール診断のスキャン結果を専門家が分析し、追加の手動診断を行うことで、より正確な脆弱性評価が可能

    効果的なセキュリティ診断戦略の構築

    手動診断とツール診断を組み合わせることで、組織ごとのセキュリティ要件に応じた診断戦略を構築できます。

    (1) 定期的なスキャン+詳細なリスク分析

    • ツール診断を月次・四半期ごとに実施し、継続的にセキュリティ状況を監視
    • 重大なリスクが検出された場合のみ、対象システムの手動診断を実施して詳細分析

    (2) システムの重要度に応じた診断手法の選択

    • 基幹システム・決済システムなどの重要システム
      手動診断を優先し、高精度な診断を実施
    • 一般的なWebアプリ・社内システム
      ツール診断で定期的にチェックし、基本的なリスクを管理

    (3) インシデント対応と診断の連携

    • 過去のセキュリティインシデントの発生状況を分析し、手動診断で重点的にチェックすべき領域を特定
    • ツール診断のログを蓄積し、将来の診断方針に反映

    適切な脆弱性診断サービスの選び方

    診断会社を選ぶ際のポイント

    脆弱性診断を外部に委託する場合、診断会社の選定は重要な要素となります。まず、診断の実績を確認し、自社の業界やシステムに適した経験があるかをチェックしましょう。特に、金融・医療・ECなどの高いセキュリティが求められる分野では、業界特有のリスクを理解している診断会社が望ましいでしょう。次に、対応範囲を確認し、Webアプリ、ネットワーク、クラウド環境など、自社のシステム構成に適した診断を提供できるかを見極めます。また、診断後のサポート体制も重要なポイントです。診断結果のレポート提供だけでなく、脆弱性修正のアドバイスや再診断が可能かどうかも確認し、長期的なセキュリティ強化に役立つパートナーを選びましょう。

    費用対効果を考慮した最適な診断プランの検討

    脆弱性診断のコストは組織にとって大きな課題ですが、単純に安価なサービスを選ぶのではなく、費用対効果を考慮した診断プランの選定が重要です。まず、診断の頻度と範囲を明確にし、必要最低限のコストで最大の効果を得られるプランを検討します。たとえば、定期的な診断が必要な場合はツール診断を活用し、重大なシステムについては手動診断を実施する組み合わせが有効です。また、診断会社ごとに料金体系や提供サービスが異なるため、複数社のプランを比較し、自社に最適なものを選択することが求められます。さらに、初回診断の割引や無料トライアルなどを活用することで、コストを抑えつつ診断の質を確認する方法も有効です。

    まとめ:企業にとって最適な診断方法を選択する

    脆弱性診断を効果的に活用するためには、自社のシステムやセキュリティ方針に適した診断方法を見極めることが重要です。コストを抑えながら広範囲をスキャンできるツール診断、高度な攻撃手法にも対応可能な手動診断、それぞれの特性を理解し、適切に使い分けることが求められます。また、企業の業種やシステムの重要度によって、手動診断とツール診断の組み合わせを検討することが望ましいです。

    さらに、脆弱性診断は一度実施すれば終わりではなく、継続的なセキュリティ対策が必要です。サイバー攻撃の手法は日々進化しており、新たな脆弱性が発見される可能性があるため、定期的な診断と適切なセキュリティ対策の実施が欠かせません。企業のセキュリティレベルを維持・向上させるために、継続的な診断計画を立て、適切な対策を講じることが重要です。

    BBSecでは

    当社では様々なご支援が可能です。お客様のご状況に合わせて最適なご提案をいたします。

    <SQAT診断サービスの特長>

    Webアプリケーション脆弱性診断バナー

    <デイリー自動脆弱性診断 -Cracker Probing-Eyes®->

    CPEサービスリンクバナー

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    ―第1回「手動診断のメリットとは?」はこちら―
    ―第2回「ツール診断のメリットとは?」はこちら―


    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。

    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。


    Security Serviceへのリンクバナー画像

    BBsecコーポレートサイトへのリンクバナー画像

    セキュリティ緊急対応のバナー画像

    【セキュリティガイドライン6.0】実践!脆弱性診断で守るクレジットカード決済セキュリティ対策ガイド

    Share

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    本記事は2025年8月20日開催「EC加盟店・PSP必見!クレジットカード・セキュリティガイドライン6.0版対応ウェビナー」のフォローアップコンテンツです。

    本ウェビナーの再配信予定にご関心のある方はこちらからお問い合わせください。

    お問い合わせ

    お問い合わせはこちらからお願いします。後ほど、担当者よりご連絡いたします。


    はじめに

    昨今、キャッシュレス化の推進とともにクレジットカード決済の利用が急増しています。日本ではキャッシュレス決済全体のうち、約83.5%をクレジットカード決済が占めており、消費者や加盟店にとって非常に重要な決済手段です。しかし、その一方で情報漏えいや不正利用、特にECサイトなど非対面取引における不正利用被害は深刻な問題となっています。本記事では、「クレジットカード・セキュリティガイドライン【6.0版】」に基づく対策のうち、特に「脆弱性診断」の視点に着目し、決済システムやWebサイトにおけるリスクの検出とその対策の必要性、具体的な診断手法についてご紹介します。

    クレジットカード決済の現状とセキュリティリスク

    利用環境の変化とリスクの多様化

    政府のキャッシュレス化推進施策により、決済手段が多様化する中、クレジットカードは依然として主要な決済手段です。一方、EC加盟店やMO・TO取扱加盟店では、Webサイトの設定不備や既知の脆弱性を悪用した第三者による不正アクセス、フィッシング攻撃によってカード情報が窃取される事例が相次いでいます。このような背景から、決済システムやWebサイトの脆弱性診断が不可欠となっており、早期にリスクを把握し対策を講じる必要があります。

    ガイドラインの役割

    クレジットカード・セキュリティガイドライン【6.0版】」は2025年3月、クレジット取引セキュリティ対策協議会によって公開されたガイドラインで、PCI DSSをはじめ、割賦販売法などの法令に基づく実務上の指針や各種技術・運用対策をまとめたものです。その中では、EC加盟店のシステムおよびWebサイトに対して「脆弱性対策」を講じることが強調されており、脆弱性診断やペネトレーションテストの実施が推奨されています。

    脆弱性診断の視点から見るセキュリティ対策の現状

    脆弱性診断の目的

    脆弱性診断は、以下の点でセキュリティ対策の強化に貢献します。

    • 設定ミスや構成不備の検出
      システム管理画面のアクセス制限やデータディレクトリの設定不備、ログイン試行回数制限の設定など、運用上の細かな不備を早期に発見。
    • ソフトウェアやプラグインの脆弱性の把握
      SQLインジェクションやクロスサイト・スクリプティングなど、Webアプリケーションの脆弱性診断を通じて、最新の攻撃手口に対応した対策が必要かどうかを判断。
    • 実際の攻撃リスクの定量評価
      ペネトレーションテストによって、実際に悪意ある攻撃者が侵入可能なポイントを実証し、リスクの深刻度を数値化することで、対応の優先順位を明確にします。

    ガイドラインに基づく対策と脆弱性診断の連携

    ガイドラインでは、EC加盟店に対して「脆弱性対策」の実施が求められています。具体的な対策例としては以下のようなものが挙げられます。

    • システム管理画面のアクセス制限と多要素認証の導入
    • データディレクトリの露見防止
    • 定期的な脆弱性診断とペネトレーションテストの実施
    • ウイルス対策ソフトの運用とシグネチャーの更新

    これらの対策は、診断結果をもとに、PCI DSS 準拠のための必要な修正や改善措置として実施されます。さらに、ガイドライン内では、不正利用対策としてEMV 3-D セキュアの導入や、リスクベース認証(RBA)の精度向上など、動的な対応策も推奨されています。脆弱性診断の結果を踏まえた上で、システムの安全性を確保するための重要な要素となります。

    具体的な脆弱性診断の手法と検査ポイント

    システム管理とアクセス制御の検査

    脆弱性診断で確認可能なポイント:管理画面ソフトウェアの既知脆弱性(例:古いバージョンの使用)や、デフォルトのパスワードが残っていないかなど、一般的なセキュリティ設定のチェックは脆弱性診断で検出できます。

    Webアプリケーションの脆弱性診断

    脆弱性診断で確認可能なポイント:SQLインジェクションやクロスサイト・スクリプティング(XSS)など、一般的なWebアプリケーション脆弱性は最新の診断ツールで検出可能です。ファイルアップロード機能における拡張子やファイルサイズの制限が設定されているかも、検証できます。

    補足:Webサーバーやアプリケーション全体の構成評価は、脆弱性診断だけでなく、運用監査も併用することが望ましいです。

    データディレクトリとサーバー設定の検査

    脆弱性診断で確認可能なポイント:公開ディレクトリに重要なファイルが誤って配置されていないかをチェックできます。重要ファイルの配置状況や非公開設定の適切性は、詳細な設定レビューや管理者へのインタビューを通じての評価もしくはペネトレーションテストが必要な場合があります。

    ウイルス対策とマルウェア検知の検査

    脆弱性診断で確認可能なポイント:ウイルス対策ソフトのシグネチャー更新状況や、定期的なフルスキャンが自動ログから確認できる場合があります。
    補足:実際の運用状況(更新頻度やスキャン実施の確実性)は、システム管理者への確認やログの監査が求められます。

    委託先管理と情報共有の確認:外部委託先のセキュリティ状況や、PCI DSS準拠、ガイドラインに基づく対策の実施状況は、脆弱性診断では検出できません。委託先との契約内容、セキュリティポリシーの文書、定期監査の結果などを通じて確認する必要があります。

    注 ) 上記の検査項目には、脆弱性診断で検出可能なものと、レビューや運用監査が必要なものが混在しています。脆弱性診断だけでは完全に評価できない項目については、管理者へのインタビューや設定ファイルのレビューなど、追加の確認が必要となります。

    脆弱性診断を実施するメリットと成功事例

    リスク低減と迅速な対応

    定期的な脆弱性診断により、システムの設定不備や新たに発見された脆弱性を早期に把握でき、対策の優先順位を明確にできます。実際に、あるEC加盟店では、脆弱性診断の結果を受けてWebサイトの設定見直しとパッチ適用を迅速に実施した結果、不正アクセスによる情報漏えい事故を未然に防いだ事例があります。また前述の通り、脆弱性診断だけでは検出できない項目もあります。あわせてコンサルティングサービスなどによる監査を利用することで、より堅牢なシステムを構築することができます。

    コンプライアンス遵守と信頼性向上

    ガイドラインに沿った対策を実施することで、PCI DSSや関連法令に準拠し、顧客や取引先からの信頼を得られます。その一環として、脆弱性診断および定期監査は第三者機関による評価や認証取得にもつながり、企業のセキュリティ体制の信頼性を向上させます。

    まとめ

    クレジットカード決済におけるセキュリティは、企業の信頼性や消費者の安全な利用環境に直結する重要な課題です。クレジットカード・セキュリティガイドライン【6.0版】に示されている対策の中でも、脆弱性診断はシステムの現状を正確に把握し、迅速な対策を講じるための基盤となります。

    定期的な脆弱性診断やペネトレーションテストを通じ、設定不備や最新の攻撃手法に対する脆弱性を検出し、必要な修正や改善措置を講じることで、不正利用被害のリスクを大幅に低減できるでしょう。また、診断結果をもとに、PCI DSSやガイドラインに沿った対策の実施が、企業のセキュリティレベル向上とコンプライアンス遵守に寄与するため、各企業や加盟店は今後も継続的に脆弱性診断を実施することが求められます。

    BBSecでは

    BBSecは、PCI SSC認定QSA(PCI DSS準拠の訪問審査を行う審査機関)です。準拠基準についての疑問や対応困難な状況があるといったような懸念・不安などは曖昧なままにせず、QSAにご相談いただくことをおすすめいたします。準拠に向けた適切な対応を検討するためのアドバイスや、事情に応じた柔軟な対応も可能です。

    お問い合わせはこちら
    ※外部サイトにリンクします。

    PCI DSS v4.0対応脆弱性診断サービス随時対応受付中!

    【※オプションサービス】脆弱性診断後対策支援サービス(VulCare)

    組織が直面するサイバー脅威やリスクに対して、迅速かつ効果的に対応するための助言型サービスです。最短で1ヶ月~年間の期間にわたってセキュリティの継続的な改善とリスク低減を実現するために、専門家による分析と提案を活用し、常に最新の脅威に対応するためにご活用ください。

    <サービス概要>

    診断結果をもとに、セキュリティの専門家が具体的な対策方法の助言を行い、最適な改善策を提供します。短期的な緊急対応から、長期的なセキュリティ強化まで、貴社のニーズに応じた柔軟なサポートを展開し、脆弱性から組織を守ります。
    お問い合わせはこちら


    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    ウェビナー開催のお知らせ

    最新情報はこちら


    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。

    Security Serviceへのリンクバナー画像
    BBsecコーポレートサイトへのリンクバナー画像
    セキュリティ緊急対応のバナー画像

    脆弱性診断の基礎と実践!
    手動診断とツール診断の違いを徹底解説
    第2回:ツール診断のメリットとは?

    Share

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    ツール診断は、短時間で広範囲をスキャンし、コストを抑えながら効率的にセキュリティ対策を実施できる手法です。本記事は「脆弱性診断の基礎と実践」をテーマに全3回のシリーズのうちの第2回として、脆弱性診断の手法の一つであるツール診断のメリットや適しているケースについて解説します。

    第1回「手動診断のメリットとは?」はこちら

    ツール診断とは?

    ツール診断とは、セキュリティベンダーが商用または自社開発した脆弱性診断ツールを使用し、システムやアプリケーションのセキュリティ上の脆弱性を自動的に検出する手法です。自動診断とも呼ばれ、比較的手軽に実施できるため、開発段階での利用や定期的な簡易診断としても活用されています。ただし、機械的な検査であるため、過検知や誤検知が含まれることが多く、その結果は技術者が補正することで正確な情報が得られます。ツール診断は、コストを低減しつつ最新のセキュリティ状態を保つ手段として有効です。

    ツール診断の一般的な実施プロセス

    ツール診断は、一般的に以下の流れで実施されます。

    1.スキャンの対象設定

    • 診断対象のIPアドレス、ドメイン、アプリケーションURLなどを指定
    • 必要に応じて認証情報を設定し、ログイン後の動作も診断

    2.脆弱性スキャンの実行

    • 診断ツールが自動で対象システムをスキャンし、脆弱性を検出
    • 既知の攻撃パターン(シグネチャ)を照合し、不正アクセスのリスクを評価

    3.診断結果の解析

    • スキャン結果をもとに、発見された脆弱性の種類や影響範囲を整理
    • 誤検知が含まれていないかチェック(必要に応じて手動で確認)

    4.結果レポートによる対策検討

    • 検出された脆弱性のリスクレベルを分類(例:高・中・低)し、結果を出力
    • 修正が必要な項目をリストアップし、対応策を検討

    ツール診断のメリット

    ツール診断を実施するメリットは、特に以下の3つの点があります。

    1.短時間での診断が可能(大量のシステムやWebサイトを効率的にチェック)

    ツール診断の最大の強みは、短時間で一括チェックが可能な点です。

    • 手動診断では膨大な時間がかかる大規模システムでも、診断対象を絞ることにより迅速にスキャンが可能。
    • 企業が運営する複数のWebサイトやサーバを一度に診断できる。

    2.コストを抑えやすい(手動診断より低コストで運用可能)

    ツール診断は自動化によって効率的になり、手動診断より低コストでの運用が可能です。

    • エンジニアの人的コストを削減
      ・手動診断は専門のセキュリティエンジニアが時間をかけて実施するため、コストが高くなりがち。
      ・ツール診断は自動で診断を行うため、人的リソースを節約できる。
    • 継続的な診断でも費用負担が少ない
      ・手動診断は1回ごとの費用が高く、頻繁に実施するのが難しい。
      ・ツール診断ならライセンス契約やサブスクリプション型などのツールを利用するため、低コストで定期的に診断することが可能。
    • 導入・運用の負担が少ない
      ・クラウド型の診断ツールも多く、専用機材の導入不要でスムーズに利用開始ができる。

    3.定期的な診断が容易(スケジュールを自動化できる)

    セキュリティ対策は一度行えば終わりではなく、継続的な監視と対策が不可欠です。ツール診断を活用すれば、コストを抑えつつ、定期的なスキャンを自動で実施し、最新の脆弱性を常にチェックできます。

    • スケジュール設定で定期スキャンが可能
      ・ツールを活用すれば、毎週・毎月・四半期ごとの定期スキャンを自動化できる。
      システムの更新後(パッチ適用後など)の検証にも活用できる。
    • 継続的なセキュリティ監視ができる
      ・手動診断では頻繁に実施するのが難しいが、ツールなら日常的なセキュリティ監視が可能。
      ・システム改修のたびに手動診断を依頼するより、ツールを活用して迅速に問題を検出できる。

    ツール診断が適しているケース

    ツール診断は特に以下のケースで実施が推奨されます。

    1.定期的にスキャンしてセキュリティリスクを管理したい企業

    ツール診断を導入することで、定期的なスキャンを自動化し、常に最新のセキュリティ状態を維持できます。

    • システムのアップデート後に迅速なリスクチェックが可能
      ・OS、アプリケーション、ミドルウェアのアップデート後に、脆弱性が新たに発生していないか即時に確認ができる。
      ・システム改修や機能追加時の影響を即座に確認できる。
    • 運用中のシステムに影響を与えない
      日常業務に影響を与えず、バックグラウンドで実施できる。

    2.コストを抑えながらセキュリティ対策を進めたい場合

    セキュリティ診断を実施したいものの、手動診断の高コストがネックとなる組織にとって、ツール診断は費用対効果の高い選択肢です。

    • 人件費が抑えられるため、低コストで運用可能
    • 大規模なシステムでもコストを抑えやすい
      特に、中小企業や予算が限られた組織にとって、手軽にセキュリティ対策を実施できる手法となる。
    • 社内での脆弱性診断の内製化が可能
      手動診断は外部のセキュリティ専門企業へ依頼するケースが多いが、ツール診断は自社で運用可能なため、外部委託のコストを抑えられる。

    3.基本的な脆弱性を素早く把握したい場合

    ツール診断なら、開発段階や運用中のシステムに対して、迅速にリスクを把握し、適切な対応が可能になります。

    • 即時スキャンで迅速な脆弱性検出
    • 開発段階での脆弱性検出に活用
      ・開発中のWebアプリやシステムに対して、リリース前に簡易スキャンを実施できる。
      ・これにより、本番環境でのリスクを最小限に抑えられる

    ツール診断の限界

    ツール診断はコストを抑えて効率的に運用できる点がメリットですが、場合によってツール診断だけでは限界があります。

    1.誤検出や見落としの可能性がある

    ツール診断は、自動でシステムの脆弱性をチェックする仕組みですが、その診断結果には誤検知(False Positive)や見落とし(False Negative)が含まれる可能性があります。

    • 誤検知(False Positive)
      ・実際には問題のないコードや設定を「脆弱性あり」と誤って検出するケース。
      ・例:「このページの入力欄にSQLインジェクションのリスクがある」とツールが指摘するものの、実際には適切なエスケープ処理が施されている場合。
    • 見落とし(False Negative)
      ・実際には脆弱性が存在するのに「問題なし」と判定してしまうケース。
      ・例:カスタム開発された認証フローに不備があっても、一般的な攻撃パターンにマッチしないため検出されない。
    • 誤検知や見落としの原因
      ツールの設定ミス:適切なスキャン設定を行わないと、正しい診断結果が得られない。
      検出ロジックの限界:ツールは既知の脆弱性パターンをもとに診断を行うため、未知の脆弱性やゼロデイ攻撃の検出には弱い。
      環境依存の問題:特定のアプリケーションやネットワーク環境では正しく診断できないことがある。

    2.システム固有の脆弱性や複雑な攻撃パターンには対応できない

    ツール診断は、主に既知の脆弱性をパターンマッチングによって検出するため、システム固有の処理に関わる脆弱性や、複雑な攻撃パターンには対応できません。

    • システム固有の処理に関連する脆弱性の例
      決済システムの不正操作:カートに入れた商品の価格を改ざんする攻撃。
      アクセス制御の不備:本来は管理者のみアクセス可能な機能を一般ユーザが利用できてしまう。
      認証バイパス:特定のリクエストを送ることで、パスワードなしでログインできてしまう。
    • 複雑な攻撃パターンの例
      API連携を悪用した攻撃:ツール診断ではAPI間の不正な連携による情報漏えいを検出しづらい。
      ・多段階の攻撃手法(チェーン攻撃):攻撃者が複数の脆弱性を組み合わせて攻撃する手法は、ツール単独では検出が難しい。

    ツール診断は、効率的でコストパフォーマンスに優れたセキュリティ診断の手法ですが、その限界も理解し、必要に応じて手作業による診断と組み合わせることで、より信頼性の高いセキュリティ対策が可能となります。

    まとめ

    ツール診断は、自動化された脆弱性診断ツールを活用し、短時間で広範囲をスキャンできる効率的なセキュリティ対策です。手動診断と比べてコストを抑えながら、定期的な診断が容易に実施できるため、継続的なセキュリティリスク管理に適しています。また、基本的な脆弱性を素早く把握できるため、初期段階のリスク検出や、手動診断の補助としても活用可能です。しかし、ツール診断には誤検知や見落としといったリスクのほか、ビジネスロジックの脆弱性や複雑な攻撃手法の検出が難しいというデメリットが存在するため、単独では限界があります。そのため、より高度なセキュリティ対策を実現するには、手動診断との組み合わせが重要となります。

    Webアプリケーション脆弱性診断バナー

    CPEサービスリンクバナー

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    ―第1回「手動診断のメリットとは?」はこちら―
    ―第3回「手動診断とツール診断、どちらを選ぶべきか?最適な診断方法の選び方」はこちら―


    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。

    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。


    Security Serviceへのリンクバナー画像

    BBsecコーポレートサイトへのリンクバナー画像

    セキュリティ緊急対応のバナー画像

    情報セキュリティ10大脅威 2025
    -「地政学的リスクに起因するサイバー攻撃」とは?-

    Share

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    国家間の対立が深まる中、サイバー攻撃は政治・外交の手段として活用されるケースが増えています。国家支援型ハッカーグループによる標的型攻撃や、ランサムウェアを用いた攻撃が確認されており、日本もその標的となっています。本記事では、独立行政法人情報処理推進機構(IPA)の「情報セキュリティ10大脅威 2025」の第7位『地政学的リスクに起因するサイバー攻撃』について、国家間の緊張がもたらすサイバー攻撃の実態、日本への影響を解説します。

    IPA「情報セキュリティ10大脅威 2025」速報版の記事はこちらです。こちらもあわせてぜひご覧ください。『【速報版】情報セキュリティ10大脅威 2025 -脅威と対策を解説-
    https://www.sqat.jp/kawaraban/34353/

    【関連ウェビナー開催情報】
    弊社では4月16日(水)14:00より、「知っておきたいIPA『情報セキュリティ10大脅威 2025』~セキュリティ診断による予防的コントロール~」と題したウェビナーを開催予定です。10項目の脅威とその対策例について脆弱性診断による予防的コントロールの観点から講師が解説いたします。ご関心がおありでしたらぜひお申込みください。詳細はこちら

    新設された「地政学的リスクに起因するサイバー攻撃」

    「地政学注 1)的リスクに起因するサイバー攻撃」は2025年に初めて選定されたものです。IPAの「情報セキュリティ10大脅威」はその年に注意すべき脅威を「10大脅威選考会」によって選定しており、通常は攻撃手法等に焦点が置かれていますが、この項は政治的・外交的理由や背景という、動機の部分に焦点が置かれたカテゴリとなります注 2)。対象となる脅威グループの中には、サブグループがランサムウェア攻撃を実行したケースも確認されており注 3)、本項とランサムウェア攻撃との関連性も指摘されています。さらに、サイバー攻撃は一方的に行われるものではなく、紛争当事国や関係国間、政治的・外交的要因で緊張関係にある国家間で実施されるため、被害側として名前が挙げられている国が、同時に加害側となっている場合も存在します。

    日本を対象にした事例

    地政学的リスクに起因するサイバー攻撃の脅威が新設された背景には、日本を標的としたサイバー攻撃が増加していることなどが挙げられます。例えば以下のような事例があります。

    MirrorFace(Earth Kasha)による攻撃キャンペーン

    概要

    • MirrorFaceは中国語を使用する APT (Advanced Persistent Threat) グループであり、日本を主なターゲットとしている組織です。多くの情報から、APT10の傘下組織の1つと考えられています*6
    • 攻撃キャンペーンの主な目的は、安全保障や先端技術に関する情報窃取とされています。

    主なキャンペーン

    特徴と補足:いずれのキャンペーンでもマルウェアの使用が確認されています。特に、スピアフィッシングキャンペーンではLiving off the land戦術を用いることで、通常の検出を回避する工夫が見られます。また、MirrorFaceはEU向けの攻撃も行っているとの指摘があります*5

    Living off the land 戦術(通称 LOTL)とは
    システムに元々存在するネイティブツール(Living off the Land バイナリ、LOLBins)を悪用します。これにより、通常のシステムアクティビティに紛れ込み、検出やブロックが難しくなるとともに、オンプレミス、クラウド、ハイブリッド環境(Windows、Linux、macOSなど)で効果的に運用され、カスタムツールの開発投資を回避できるという利点があります。

    関連の情報セキュリティ10大脅威項目

    • 3位:システムの脆弱性をついた攻撃
    • 5位:機密情報などを狙った標的型攻撃

    北朝鮮の動向

    北朝鮮は、国際連合安全保障理事会決議に基づく制裁措置を回避しながら外貨を獲得するため、さまざまな活動を展開しています。ここでは、人材の採用に関連する2つの事例に注目します。

    暗号資産の窃取を目的とした攻撃

    概要:昨年、暗号資産関連事業者から約482億円相当の暗号資産が窃取された事件が発生しました。公開されている事件の流れは以下のとおりです。注 4)

    • 暗号資産関連事業者にコールドウォレットソフトウェアを提供する企業(以下A社)の従業員Bに、ビジネス専用SNSから偽のリクルーターが接触。(Bは契約中のクラウドサービス上にあるKubernetesの本番環境にアクセスできる権限を持っていた。)
    • 偽のリクルーターは、採用プロセスの一環として、ソフトウェア開発プラットフォーム上から指定されたPythonスクリプトをBのレポジトリにコピーするよう指示。
    • コピー後、何らかの方法でBの業務用端末で当該Pythonスクリプトが実行され、本番環境へのアクセス認証情報が窃取される。
    • 不正アクセス時には、正規のトランザクションに不正なデータを追加する細工が施された。

    補足:暗号資産全体の窃取額は2022年がピークでしたが、北朝鮮による攻撃は昨年がピークとなっており、攻撃成功率も上昇している*6ため、2025年も引き続き警戒が必要です。

    偽IT労働者問題

    • 概要:2024年3月に、財務省、外務省、警察庁、経済産業省が発表。北朝鮮IT労働者に関する企業などに対する注意喚起により、身分を偽った北朝鮮IT労働者が海外企業で業務に従事している事例が存在することが明らかになりました。
    • 米国での事例:司法省が2025年1月23日付で訴追を公表した事例では、以下のような例が確認されています。被害企業が発送した業務用PCを協力者が受け取り、ラップトップファーム注 5)に設置
      ⇒被害企業のポリシーに反し、リモートデスクトップ接続用ソフトウェアがインストールされた。
      北朝鮮の偽IT労働者は、VPN経由で他国からアクセスして業務に従事
      ⇒一部企業ではマルウェアのインストールを試みた事例も報告されています*7
    • 日本国内の状況:日本では具体的な事例は報道されていませんが、2025年1月に発表されたアメリカ企業のレポートにより、日本企業でも偽IT労働者が雇用されている事実が明らかになりました。このレポートにある企業はスタートアップ企業が多く、中小企業における採用プロセスや業務委託プロセスでのチェック体制の確立が求められます。

    関連の情報セキュリティ10大脅威項目

    • 5位:機密情報などを狙った標的型攻撃
    • 6位:リモートワーク等の環境や仕組みを狙った攻撃

    SQAT.jpでは以下の記事でも解説しています。こちらもあわせてぜひご参照ください。
    標的型攻撃とは?事例や見分け方、対策をわかりやすく解説
    テレワーク環境に求められるセキュリティ強化

    諸外国を対象にした事例

    以下、各国・地域における地政学的リスクに起因するサイバー攻撃の事例を紹介します。

    台湾

    概要:台湾政府は、中国からのサイバー攻撃が2023年の約2倍に増加したと発表*8しています。多くの攻撃は検知・ブロックされるものの、Living off-the-landなどの手法により、検出や防御が回避されるケースが報告されています。また、フィッシングキャンペーン、DDoS攻撃、ランサムウェア攻撃など、幅広い攻撃が展開されています。

    関連の情報セキュリティ10大脅威項目:

    • 1位:ランサムウェア攻撃による被害
    • 3位:システムの脆弱性をついた攻撃
    • 5位:機密情報などを狙った標的型攻撃
    • 8位:分散型サービス妨害攻撃(DDoS)

    シンガポール

    概要:2024年6月、シングテル(シンガポールテレコム)に対して、中国の脅威アクターVolt Typhoonによる攻撃が報じられました(2024年11月の報道*9)。シングテルおよびその親会社、さらにはシンガポール政府からの公式コメントは得られていませんが、アメリカの通信事業者への攻撃テストとして実施された可能性が指摘されています。

    関連の情報セキュリティ10大脅威項目:詳細不明のため該当なし

    アメリカ

    アメリカに対するサイバー攻撃は、政治的・外交的背景に基づく複数の事例が報告されています。特にSalt Typhoon に関連する以下の事例を紹介します。

    通信事業者に対する攻撃

    米財務省に対する攻撃

    概要:2024年12月30日、中国の脅威アクターによる侵害行為について、上院へ財務省が通知を行いました*14。VPNを使用しないリモートアクセスツールの脆弱性を悪用した攻撃が、同年12月上旬に発覚し、イエレン長官(当時)など高官が侵害されたとの情報*15もあります。

    関連の情報セキュリティ10大脅威項目:

    • 3位:システムの脆弱性を突いた攻撃
    • 5位:機密情報等を狙った標的型攻撃
    • 7位:リモートワーク等の環境や仕組みを狙った攻撃

    中国

    概要:中国も他国の脅威アクターからの侵害行為が報告されています。報道は少ないものの、ベトナム政府の支援を受けるとされるAPT32(別名 OceanLotus)が、GitHub上のオープンソースセキュリティツールプロジェクトからマルウェアを中国のサイバーセキュリティ研究者にダウンロードさせ、バックドアを形成した事例*16が確認されています。

    関連の情報セキュリティ10大脅威項目:

    • 5位:機密情報等を狙った標的型攻撃

    北欧・バルト三国

    概要:北欧・バルト三国では、各国間をつなぐ通信用・電力用の海底ケーブルが、相次いで船舶によって破壊された事件*17が記憶に新しいでしょう。欧州委員会は12月25日に発生したケーブル破壊に関する共同声明で、ロシアの影響を指摘しています。

    関連の情報セキュリティ10大脅威項目:物理破壊によるため該当なし

    ポーランド

    概要:大統領選挙を控えるポーランドでは、ロシアによる国民の買収に対抗するため、「選挙の傘(Parasol Wyborczy)」と呼ばれる選挙保護プログラムを立ち上げました*18。また、2024年12月には、ルーマニアの大統領選挙の第1回投票が、ロシアによる工作を理由に無効とされ、2025年に再投票が決定しています*19

    関連の情報セキュリティ10大脅威項目:情報セキュリティ10大脅威 2025の「組織」向け脅威では該当なし

    イスラエルとその対抗勢力

    イスラエルのガザ地区侵攻に伴い、以下のようなサイバー攻撃と思われる事件が発生しています。

    イスラエル側の攻撃事例

    ただし、イスラエルは国内企業に対してスパイウェアの開発・運営を公認しているなど、サイバー空間における倫理観が日本とは大きく異なるため、注意が必要です。

    イスラエルへの攻撃事例

    関連の情報セキュリティ10大脅威項目:

    • 1位:ランサムウェア攻撃による被害
    • 5位:機密情報等を狙った標的型攻撃
    • 8位:分散型サービス妨害攻撃(DDoS攻撃)

    注:
    1) 本項では地政学をCritical geopolitics(批判的地政学)という地理学の一分野のうちの popular geopolitics に相当するものとして取り扱う。Popular geopoliticsについての定義は次のURLなどを参照。
    https://pmc.ncbi.nlm.nih.gov/articles/PMC7315930/
    https://www.e-ir.info/2018/09/16/plotting-the-future-of-popular-geopolitics-an-introduction/
    2) IPA からのプレスリリース(https://digitalpr.jp/r/103159)を参照。
    3) Lazarus GroupのサブグループであるAndarielがランサムウェア「Maui」や「Play」、「Lockbit2.0」を使用した例や、イランのAPTがNoEscape、Ransomhouse、ALPHVなどのランサムウェアアフィリエイトと協業したケース、APT10との関連が疑われるDEV-0401がランサムウェア「Lockbit2.0」を実行したケース、本文にあるイラン政府をスポンサーとする脅威グループがランサムウェア攻撃を行ったケースなどが挙げられる。
    https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-040a
    https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-241a
    https://jsac.jpcert.or.jp/archive/2024/pdf/JSAC2024_2_6_hayato_sasaki_jp.pdf
    4) 警察庁の注意喚起、被害企業によるプレスリリースをもとに記載。
    https://www.npa.go.jp/bureau/cyber/pdf/020241224_pa.pdf
    https://www.ginco.co.jp/news/20250128_pressrelease
    5) ラップトップファームは、被害企業が発送したPCをホストする設備を指す。2024年8月8日に訴追されたケースでは、自宅を協力者がラップトップファームとして提供していた。
    https://www.justice.gov/usao-mdtn/pr/department-disrupts-north-korean-remote-it-worker-fraud-schemes-through-charges-and


    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    ウェビナー開催のお知らせ

  • 2025年3月12日(水)14:00~15:00
    サイバー攻撃に備えるために定期的な脆弱性診断の実施を!-ツール診断と手動診断の比較-
  • 2025年3月13日(木)11:00~12:00
    脆弱性診断、やりっぱなしになっていませんか?高精度診断と充実サポートでリスクを最小化〜サイバー保険で安心 診断から守るまでを徹底解説〜
  • 2025年3月19日(水)13:00~14:00
    ランサムウェア攻撃の脅威~感染リスクを可視化する防御策の実践を紹介~
  • 最新情報はこちら


    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。

    Security Serviceへのリンクバナー画像
    BBsecコーポレートサイトへのリンクバナー画像
    セキュリティ緊急対応のバナー画像

    脆弱性診断の基礎と実践!
    手動診断とツール診断の違いを徹底解説 
    第1回:手動診断のメリットとは?

    Share

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    脆弱性診断とは、システムやアプリケーション、ネットワークなどに潜むセキュリティ上の弱点(脆弱性)を特定する検査手法です。本記事は「脆弱性診断の基礎と実践」をテーマに全3回のシリーズのうちの第1回として、脆弱性診断の手法の一つである「手動診断」のメリットや適用すべきケースを解説します。

    第2回「ツール診断のメリットとは?」はこちら

    脆弱性診断とは?

    脆弱性診断とは、システムやアプリケーション、ネットワークなどに潜むセキュリティ上の弱点(脆弱性)を特定する検査手法です。サイバー攻撃のリスクを最小限に抑えるために、企業が実施するべきセキュリティ対策の一つとされています。

    セキュリティ対策としての脆弱性診断の重要性

    近年、サイバー攻撃は巧妙化・多様化しており、企業のシステムやWebサービスが標的になるケースが増えています。攻撃者は、脆弱性を悪用して不正アクセスを試みたり、情報を窃取したりするため、事前に脆弱性を発見し、適切な対策を行うことが重要です。特に、以下の理由から脆弱性診断の実施が推奨されています。

    • データ漏えいの防止:個人情報や機密データの流出を防ぐ
    • サービスの継続性を確保:システム停止や改ざんを未然に防ぐ
    • 法令・ガイドラインの遵守:情報セキュリティに関する規制対応(ISMS、NIST、PCI DSS など)
    • 企業の信頼性向上:セキュリティ対策の強化によるブランド価値の維持

    脆弱性診断の一般的な手法

    脆弱性診断には、主に以下の2つの手法があります。

    1.ツール診断(自動診断)

    • 脆弱性診断ツールを使用し、自動でシステムのセキュリティをチェック
    • 短時間で広範囲を診断でき、コストを抑えやすい
    • ただし、誤検出や一部検査できない項目もある

    2.手動診断(セキュリティエンジニアによる診断)

    • 専門家がシステムの動作やコードを解析し、精密な診断を行う
    • 網羅的な範囲での診断ができる
    • 高精度な診断が可能だが、コストと時間がかかる

    このように、脆弱性診断は企業のセキュリティ対策の基盤となる重要な取り組みであり、ツール診断と手動診断を適切に組み合わせることで、より効果的な対策が実現できます。

    手動診断とは?

    手動診断とはセキュリティエンジニアがツールを活用し、システムやアプリケーションの脆弱性を調査・分析する診断手法です。一般的な診断ツールでは検出しにくい複雑な脆弱性や攻撃手法にも対応できるため、より高精度な診断が可能になります。

    手動診断の一般的な実施プロセス

    手動診断の一般的な実施プロセスは以下のとおりです。

    1.事前調査・ヒアリング

    • 対象システムの構成や使用技術、セキュリティ要件を確認
    • 想定される脅威シナリオの洗い出し

    2.情報収集

    • システムの公開情報や利用可能なエントリポイントの特定
    • OSやミドルウェア、アプリケーションのバージョン情報を分析

    3.手動テスト・脆弱性の特定

    • システム固有の処理に基づく攻撃シナリオの検証
    • ツールでは検出が難しい脆弱性(例:権限昇格、認証回避、APIの悪用)の発見

    4.診断結果の分析とレポート作成

    • 発見された脆弱性のリスク評価(重大度の分類)
    • 具体的な対策案を含めたレポート作成

    5.フィードバックと改善提案

    • お客様に診断結果を共有し、改善策を提案。必要に応じて再診断を実施

    手動診断のメリット

    手動診断を実施するメリットは、特に以下の3つの点があります。

    1.高精度な診断が可能(ツール診断では見落としがちな脆弱性も発見できる)

    自動ツールでは検出が難しい複雑な脆弱性やシステム固有のセキュリティリスクを特定できるのが、手動診断の大きな強みです。ツール診断はパターンマッチングやシグネチャベースでの診断が主ですが、手動診断では環境に応じた柔軟なテストが可能です。例えば、認証バイパスや権限昇格などの一部の脆弱性は、手動診断でないと見つけにくいケースが多くあります。

    2.システム固有の処理を考慮した診断が可能(攻撃者視点でのリスク分析)

    攻撃者がどのような手法でシステムを侵害できるかを想定し、システム固有の脆弱性を考慮した診断が可能です。例えば、Eコマースサイトでは、カート機能を悪用した決済の不正操作、ログイン処理の回避、注文金額の改ざんなどのシステム固有の処理に存在する脆弱性が狙われます。このような攻撃パターンは、ツールでは自動検出が困難です。企業のシステムに対する実際の攻撃手法を再現し、攻撃者視点でリスクを洗い出すことで、より実践的な対策が可能になります。

    3.診断結果の詳細なレポートと具体的な改善策の提示

    手動診断では、単に脆弱性の有無を報告するだけでなく、診断結果の詳細な分析と、具体的な改善策の提案が可能です。

    • 脆弱性のリスク評価
      発見された脆弱性に対して、攻撃が実際に実行された場合の影響度を評価し、対応の優先度を明確にします。これにより、企業がどの対策を優先すべきか判断しやすくなります。
    • システムに適した改善策の提案
      対象システムの構造や運用に最適な対応策を提示できます。
    • 組織のセキュリティレベル向上に貢献
      診断後のレポートを活用することで、企業の開発・運用チームがセキュリティ意識を高め、今後のリスク管理をすることに役立ちます。

    セキュリティエンジニアによる分析の重要性

    手動診断が有効な理由は、セキュリティエンジニアの専門知識と攻撃者視点の分析が加わることで、より実践的な脆弱性の発見が可能になるためです。コストや時間がかかるものの、企業の重要なシステムや高度なセキュリティ対策が求められる環境では、不可欠な診断手法といえます。

    手動診断が適しているケース

    手動診断は特に以下のケースで実施が推奨されます。

    1.Webアプリケーションやシステムの重要な部分を診断したい場合

    企業の基幹システムやWebアプリケーションは、ビジネスに直結する重要な資産であり、セキュリティの脆弱性が重大な被害につながる可能性があります。手動診断を行うことで、攻撃者の視点から脆弱性を洗い出し、リスクを最小限に抑えることができます。ミッションクリティカルなシステム(決済システム、顧客管理システム(CRM)、医療情報システム)など、情報漏えいや不正アクセスの影響が大きいシステムにも最適です。

    2.ツール診断では対応できない複雑な脆弱性を特定したい場合

    ツール診断は一般的な脆弱性をスキャンするのに適していますが、攻撃者が巧妙に悪用するような複雑な脆弱性の検出には限界があります。手動診断では、ツールでは見つけられない高度な攻撃パターンを想定して診断を行うことができます。

    • ツール診断では発見しにくい脆弱性の例
      ・システム固有の処理の不備(例:注文金額の改ざん、認証バイパス、不正送金)
      ・認証・認可の欠陥(例:権限昇格、APIの不正利用、セッション管理の不備)
      ・ゼロデイ攻撃のリスク評価(ツールでは未知の脆弱性を検出できない)
    • 手動診断が有効なケース
      ・ツール診断の結果に基づき、より詳細な調査が必要な場合
      ・重大な脆弱性が懸念されるシステムで、ツールの誤検出や見落としが心配な場合

    3.企業独自のシステムに合わせたセキュリティ診断が必要な場合

    標準化された診断ツールは、広く一般的な脆弱性を検出するのに適していますが、企業が開発した独自システムの仕様に依存する一部の脆弱性の検出はできません。手動診断では、個々の企業システムに合わせた診断も可能です。

    • 特定の業界や業務フローに依存するシステム
      ・金融機関のオンラインバンキングシステム
      ・ECサイトのカート・決済フロー
      ・医療機関の電子カルテシステム
    • 企業のポリシーに基づいたカスタム診断
      ・企業独自のセキュリティ要件に基づいた診断が可能
      ・企業の内部プロセスを考慮したセキュリティ評価ができる

    手動診断を実施する際の注意点

    手動診断を実施する際にはいくつかの注意点があります。特に、コストや診断期間の確保について事前に理解しておくことが重要です。

    1.コストが高くなる傾向がある

    手動診断は専門のセキュリティエンジニアが個別に対応するため、ツール診断と比較してコストが高くなりやすいという特徴があります。なぜコストが高くなるのでしょうか。

    • エンジニアの専門知識と経験が必要
      ・セキュリティの専門家がシステムの構造や処理を分析し、最適な攻撃シナリオを考慮するため、人件費がかかる。
    • 診断範囲に応じた工数が発生
      ・大規模なシステムや複数のアプリケーションを対象にする場合、診断工数が増え、それに伴いコストも上昇。
    • カスタム診断が必要な場合は追加費用が発生
      ・企業独自のシステムや特殊な環境(IoT、クラウド環境、APIなど)の診断には、標準的な診断手法ではカバーできないケースがあり、追加費用が必要になることも。

    2.診断に時間がかかる(スケジュールの確保が必要)

    手動診断は、対象システムの規模や複雑さに応じて診断期間が長くなる傾向があります。企業の規模によっては数週間~数か月程度かかる場合もあるため、診断を実施する際は、事前に十分なスケジュールを確保することが重要です。

    まとめ

    手動診断はセキュリティエンジニアがツールを活用し、システムやアプリケーションの脆弱性を調査・分析する診断手法です。診断結果はレポートとして具体的な改善策を提示し提供されるため、企業のセキュリティレベル向上に貢献します。ただし、コストが高く、診断には時間がかかるため、ツール診断と組み合わせることで、効率的かつ精度の高いセキュリティ対策が可能になります。企業のシステムやWebアプリの重要な部分を守るためには、ツール診断と手動診断を上手く組み合わせて実施することが有効です。

    CPEサービスリンクバナー

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    ―第2回「ツール診断のメリットとは?」はこちら―
    ―第3回「手動診断とツール診断、どちらを選ぶべきか?最適な診断方法の選び方」はこちら―


    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。

    Security Serviceへのリンクバナー画像
    BBsecコーポレートサイトへのリンクバナー画像
    セキュリティ緊急対応のバナー画像

    国内外で急増するサイバー攻撃被害:企業の実態と対策を徹底解説

    Share

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    お問い合わせ

    お問い合わせはこちらからお願いします。後ほど、担当者よりご連絡いたします。


    はじめに

    近年、サイバー攻撃は高度化・多様化し、企業に甚大な被害をもたらすケースが増加しています。技術の進歩とともに攻撃手法も進化し、情報漏洩や業務停止といった経済的・社会的影響が深刻化しています。本記事では、国内外におけるサイバー攻撃の実態や国内事例・海外事例を交えて、企業が取り組むべきセキュリティ対策と今後の展望について解説します。

    サイバー攻撃の現状と企業への影響

    攻撃件数と高度化の背景

    近年、攻撃手法は単に増えているだけでなく、質的にも高度化しています。国家支援を背景にするグループや高度な技術を持つサイバー犯罪集団が、新たな脆弱性やゼロデイ攻撃を利用し、企業を標的としています。これにより、従来の企業の防御体制では対応することが難しくなってきています。

    企業への影響

    サイバー攻撃がもたらす影響は多岐にわたります。

    • 情報漏洩: 機密情報の流出は企業の信用を大きく損なうとともに、経済的損失へ直結します。
    • 業務停止: ランサムウェア攻撃やシステム侵入による業務停止は、企業の生産性低下や顧客信頼の失墜を招きます。
    • ブランドイメージの低下: 公衆の不信感を招くことにより、長期的な企業価値に影響が出る可能性があります。

    これらのリスクは、企業規模を問わず発生しており、対策強化の必要性が高まっています。

    国内企業の事例と実態

    国内事例の概要

    国内企業に対するサイバー攻撃の事例は、情報漏洩やシステム侵入、さらにはランサムウェアによる業務停止など多岐にわたります。多くの企業が攻撃を受け、被害規模は数百万円から数十億円にのぼるケースも報告されています。

    被害の規模と影響

    国内の事例では、攻撃後の情報漏洩による顧客の信頼失墜や、業務停止による生産性の低下が企業全体に深刻な影響を与えています。これにより、企業の経営戦略や今後の投資計画にも大きな影響が及んでいます。

    被害後の対応と課題

    攻撃発生後、迅速な初動対応が求められる一方で、社内体制の再構築や外部の専門機関との連携が課題となっています。多くの企業は、事後対応に追われる中で、セキュリティ意識の浸透や対策の見直しが急務となっています。

    海外企業におけるサイバー攻撃事例

    国際的な攻撃の実例

    海外では、大手国際企業や政府機関がサイバー攻撃のターゲットとなるケースが多く見られます。過去には、ランサムウェア「WannaCry」や「NotPetya」など、グローバルに大規模な混乱を引き起こした攻撃事例が報告されています。

    攻撃手法と背景

    これらの事例では、攻撃の背後に政治的・経済的動機が存在するケースが多く、国家間の緊張や国際情勢が影響しているとされています。高度な技術と資金力を背景に、攻撃者は複雑な手法を用いて企業の脆弱性を突いています。

    教訓と対策

    国際的な事例からは、企業がセキュリティ対策を強化する必要性が改めて浮き彫りになっています。各国政府や国際機関との情報共有、最新の防御技術の導入が、グローバルな脅威に対抗する鍵となります。

    サイバー攻撃の手口と企業が抱える脆弱性の分析

    多様化する攻撃手法

    現代のサイバー攻撃は、以下のような多様な手法で実行されます:

    • フィッシング: 偽装メールやSNSメッセージを利用し、個人情報やログイン情報を詐取する手法。
    • マルウェア: 悪意のあるプログラムを使用し、システムに侵入または破壊を試みる。
    • ランサムウェア: システムやデータを暗号化し、解除のための金銭を要求する。
    • ゼロデイ攻撃: 未発見の脆弱性を悪用することで、防御が難しい攻撃を行う。

    企業内部の脆弱性

    企業が攻撃の標的となる背景には、以下のような内部要因が挙げられます:

    • 旧式システムの利用: 定期的なアップデートが行われないシステムは、既知の脆弱性に対して無防備。
    • 専門人材の不足: サイバーセキュリティに精通した人材が不足している場合、適切な対策が後手に回る。
    • セキュリティ意識の低さ: 従業員の知識不足や対策意識の欠如が、攻撃成功のリスクを高める。

    これらの要因が複合的に絡み合い、企業は防御体制の強化が必要な状況にあります。

    企業が講じるべき対策と今後の展望

    基本的なセキュリティ対策

    まずは、以下の基本対策を徹底することが求められます。

    • ファイアウォールやIDS/IPSの導入: 外部からの不正アクセスを防止するための基本的なネットワークセキュリティ対策。
    • エンドポイント対策: 各端末におけるマルウェア対策と、不正な動作の監視の強化。
    • 定期的なバックアップ: ランサムウェア攻撃などに備えた、データの定期的なバックアップ体制の整備。

    最新の防御技術と戦略

    従来の対策に加え、最新の技術を取り入れることが重要です。

    • ゼロトラストアーキテクチャ: 全てのアクセスを厳格に検証し、内部外部の区別なくセキュリティを強化する手法。
    • 脅威インテリジェンスの活用: リアルタイムで攻撃手法や攻撃者の動向を把握し、迅速な対応を可能にする。
    • セキュリティオペレーションセンター(SOC)の設置: 24時間体制でネットワークを監視し、異常検知と迅速な対応を行う仕組みの導入。

    組織全体での対策強化

    技術面だけでなく、組織全体でセキュリティ意識を向上させることも必要です。

    • 従業員向けのセキュリティ教育: 定期的な研修やシミュレーションを通じて、攻撃手法への理解と対策意識を向上。
    • インシデント対応計画の策定: 攻撃発生時に迅速かつ効果的な対応ができるよう、事前に対応マニュアルを整備。
    • 業界間の連携と情報共有: 政府や他企業との連携を深め、攻撃情報や最新の対策情報を共有する体制の構築。

    今後の展望

    サイバー攻撃は今後も進化を続けることが予想されます。AIや機械学習を活用した防御システムの普及、国際的なセキュリティ基準の整備、そして各国政府や企業間の協力体制の強化が、今後の脅威に対抗する上で重要な役割を果たすでしょう。

    まとめ

    サイバー攻撃は単なる技術的な侵入にとどまらず、企業の経営基盤やブランド価値に大きな打撃を与えます。国内外で報告される事例は、情報漏洩、業務停止といった深刻な影響を伴い、企業はより一層のセキュリティ対策強化が求められています。基本対策の徹底に加え、最新技術の導入や組織全体でのセキュリティ意識向上が、今後のサイバー脅威に対抗するための鍵となります。

    FAQ(よくある質問)

    Q1. サイバー攻撃を完全に防ぐことは可能ですか?

    A1. 防御対策を強化することでリスクは大幅に軽減できますが、攻撃手法が日々進化しているため、完全な防止は困難です。継続的な対策の見直しが重要です。

    Q2. 被害を受けた場合の初動対応はどのようにすべきですか?

    A2. インシデントレスポンス体制の整備、専門家への迅速な連絡、攻撃経路の特定と被害拡大防止が求められます。

    Q3. 最新のセキュリティ技術にはどのようなものがありますか?

    A3. AI解析による異常検知、ゼロトラストアーキテクチャ、クラウドセキュリティ、脅威インテリジェンスの活用など、従来の対策と組み合わせた技術が注目されています。

    参考情報・リンク集

    ■IPA(独立行政法人情報処理推進機構)
     https://www.ipa.go.jp/security/index.html

    ■内閣サイバーセキュリティセンター(NISC)
     https://www.nisc.go.jp/

    ■JPCERT/CC
    (Japan Computer Emergency Response Team Coordination Center)
     https://www.jpcert.or.jp/

    ■米国 Cybersecurity and Infrastructure Security Agency (CISA)
     https://www.cisa.gov/

    ■NIST Cybersecurity Framework
     https://www.nist.gov/topics/cybersecurity

    本記事が、サイバー攻撃の脅威と企業が直面する実態、そして有効な対策の理解に役立つことを願っています。企業は常に最新の情報をキャッチアップし、セキュリティ戦略を継続的にアップデートすることが求められます。


    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    サイバーインシデント緊急対応

    サイバーセキュリティ緊急対応電話受付ボタン
    SQAT緊急対応バナー

    ウェビナー開催のお知らせ

  • 2025年3月5日(水)13:00~14:00
    ランサムウェア対策の要!ペネトレーションテストとは?-ペネトレーションテストの効果、脆弱性診断との違い-
  • 2025年3月12日(水)14:00~15:00
    サイバー攻撃に備えるために定期的な脆弱性診断の実施を!-ツール診断と手動診断の比較-
  • 2025年3月13日(木)11:00~12:00
    脆弱性診断、やりっぱなしになっていませんか?高精度診断と充実サポートでリスクを最小化〜サイバー保険で安心 診断から守るまでを徹底解説〜
  • 最新情報はこちら


    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。

    Security Serviceへのリンクバナー画像
    BBsecコーポレートサイトへのリンクバナー画像
    セキュリティ緊急対応のバナー画像

    2025年サポート終了製品リスト付!サポートが終了したソフトウェアを使い続けるリスクとその対策

    Share

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    現代のビジネス環境では、ソフトウェアやシステムのセキュリティ対策が極めて重要です。しかし、多くの企業や個人が気づかぬうちに、サポートが終了したソフトウェアを使い続けることで、深刻なサイバーセキュリティのリスクにさらされています。本記事では、サポート終了製品を利用し続けることの危険性と、その対策について詳しく解説します。

    お問い合わせ

    お問い合わせはこちらからお願いします。後ほど、担当者よりご連絡いたします。


    サポートが終了したソフトウェアとは?

    ソフトウェアベンダーは、一定の期間ソフトウェアのアップデートやセキュリティパッチを提供します。しかし、開発の継続が難しくなると、メーカーはその製品のサポートを終了し、新しいバージョンへの移行を促します。例えば、Windows 10は2025年10月にサポート終了が予定されており、企業や個人ユーザーは今後の対応を迫られています。

    表.2025年中にEOLとなる製品

    サポート終了後のソフトウェアは、新たな脆弱性が発見されても修正されず、そのまま放置されることになります。このため、サイバー攻撃の標的となるリスクが非常に高くなります。

    サポートが終了したソフトウェアを使い続けるリスク

    1. セキュリティの脆弱性が修正されない
      サポートが終了したソフトウェアには、新たに発見された脆弱性に対するセキュリティパッチが提供されません。そのため、ハッカーにとって格好の標的となり、マルウェア感染や不正アクセスのリスクが高まります。
    2. ランサムウェアやマルウェア攻撃の増加
      近年、サポート終了ソフトウェアを狙ったランサムウェア攻撃が増加しています。例えばWindows XPのサポート終了後、「WannaCry」というランサムウェアが流行し、多くの企業が被害を受けました。これと同様の攻撃が、サポート終了後のWindows 10やその他の古いソフトウェアでも発生する可能性があります。
    3. 法規制やコンプライアンス違反
      企業がサポート終了ソフトウェアを使い続けることは、法的リスクを伴います。特にGDPR(EU一般データ保護規則)や日本の個人情報保護法では、適切なセキュリティ対策を講じることが求められています。サポートが終了したソフトウェアを利用することは、これらの規制違反となる可能性があり、企業の信頼性が損なわれる要因となります。
    4. ソフトウェアの互換性問題
      古いソフトウェアを使い続けると、最新のアプリケーションやハードウェアとの互換性が失われる可能性があります。例えば、最新のクラウドサービスが利用できなかったり、新しいデバイスとの接続ができなかったりすることで、業務の効率が低下します。
    5. ITコストの増加
      一見すると、古いソフトウェアを使い続けることはコスト削減につながるように思えますが、実際にはその逆です。セキュリティの問題が発生すれば、データ漏えいやシステム停止による損害が発生し、結果的に大きなコストがかかる可能性があります。

    サポート終了ソフトウェアへの対応策

    1. 速やかなアップグレード
      最も安全な対策は、最新のソフトウェアへアップグレードすることです。例えば、Windows 10のサポート終了が迫っているため、企業や個人はWindows 11への移行を検討することが推奨されます。
    2. 仮想環境での隔離
      どうしてもサポートが終了したソフトウェアを使い続ける必要がある場合は、**仮想マシン(VM)**を利用し、ネットワークから切り離して運用する方法もあります。これにより、セキュリティリスクを最小限に抑えることが可能です。
    3. セキュリティ対策の強化
      古いソフトウェアを使用する場合、ファイアウォールの強化や最新のエンドポイントセキュリティを導入することで、攻撃のリスクを軽減できます。また、多要素認証(MFA)を導入することで、不正アクセスのリスクを低減できます。
    4. 定期的な脆弱性診断
      企業では、定期的な脆弱性診断を実施し、セキュリティの問題を早期に発見することが不可欠です。セキュリティ専門家による診断を受けることで、サイバー攻撃のリスクを軽減できます。
    5. クラウドサービスへの移行
      古いソフトウェアの代替として、クラウドベースのサービスを活用する方法もあります。例えば、Microsoft 365やGoogle Workspaceといったクラウドサービスに移行することで、常に最新のセキュリティアップデートを受けられます。

    サポート終了後に脆弱性が公表された事例と考察

    【事例1】

    サポート終了となったCisco社のVPNルータ「RV016、RV042、RV042G、RV082、RV320、RV325」は、緊急の脆弱性(CVE-2023-20025等)により任意のコマンド実行される脆弱性を公表したが更新ファームウェアを提供しないことを表明した。

    【事例2】

    GeoVision社のいくつかの機器はサポート終了となっており、緊急の脆弱性(CVE-2024-11120)により認証不要のOSコマンドインジェクションがあり、攻撃者による悪用も確認されているが修正パッチ等はない。

    上記のように、EOL後に危険な脆弱性が発見された場合でも、公式の対応はなく危険な状態が続きます。また、代替製品への移行など、アップデートだけでは解決しない修正を行う際、迅速に対応できないケースが起こりうることにも注意が必要です。

    まとめ

    サポートが終了したソフトウェアを使い続けることは、重大なセキュリティリスクを伴うだけでなく、企業の信頼性や業務効率にも影響を及ぼします。特に、サイバー攻撃の標的になりやすく、ランサムウェア被害やデータ漏えいのリスクが高まります。安全なIT環境を維持するためには、定期的なアップグレードや適切なセキュリティ対策を講じることが不可欠です。サポート終了前に適切な対応を行い、安心して業務を継続できる環境を整えましょう。


    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    サイバーインシデント緊急対応

    サイバーセキュリティ緊急対応電話受付ボタン

    SQAT緊急対応バナー

    ウェビナー開催のお知らせ

  • 2025年2月26日(水)13:00~14:00
    AWS/Azure/GCPユーザー必見!企業が直面するクラウドセキュリティリスク
  • 2025年3月5日(水)13:00~14:00
    ランサムウェア対策の要!ペネトレーションテストとは?-ペネトレーションテストの効果、脆弱性診断との違い-
  • 2025年3月12日(水)14:00~15:00
    サイバー攻撃に備えるために定期的な脆弱性診断の実施を!-ツール診断と手動診断の比較-
  • 最新情報はこちら


    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。

    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。


    Security Serviceへのリンクバナー画像

    BBsecコーポレートサイトへのリンクバナー画像

    セキュリティ緊急対応のバナー画像