CVEとは?共通脆弱性識別子の基本と管理方法を徹底解説

Share

Security NEWS TOPに戻る
バックナンバー TOPに戻る

お問い合わせ

お問い合わせはこちらからお願いします。後ほど、担当者よりご連絡いたします。

はじめに

情報セキュリティにおいて“CVE”は必ずといっていいほど登場するキーワードです。本記事では「CVEとはなにか?」という基本的な疑問に答えながら、脆弱性管理の観点で知っておきたいCVE番号の仕組みや運用方法を解説します。

CVEの概要

  • CVE(Common Vulnerabilities and Exposures) は、ソフトウェアやハードウェアの脆弱性に一意の識別番号を付与する仕組みです。
  • 米国政府支援のMITRE社が運営し、世界中のセキュリティ関係者が共通の脆弱性情報を参照できます。 (CVE – Mitre, Common Vulnerabilities and Exposures)
  • 目的:脆弱性情報の共有とトラッキングを標準化し、誤解や情報の断絶を防ぐこと。

CVE識別子の構造

CVE番号は以下のような形式を取ります。

例:CVE-2025-22457

項目説明
プレフィックスCVE一意の脆弱性識別子の接頭辞
発行年2025脆弱性が登録された西暦年
識別番号22457当該年に発行された通し番号

CVEの仕組みと運用フロー

  1. 発見・報告
    セキュリティリサーチャーやベンダーが脆弱性を発見し、MITREに報告
  2. 分析・番号割当
    MITREが報告内容を審査し、CVE番号を割り当て
  3. 公表・共有
    NVD(National Vulnerability Database)や各国CERTなどで情報公開
    (Vulnerabilities – NVD – National Institute of Standards and Technology)
  4. 対応策検討
    ベンダーは修正プログラム(パッチ)を開発・公開
  5. 適用・監視
    利用者はCVE番号を基にリスク評価し、パッチ適用や対策を実施

CVE情報の取得方法

CVEを活用した脆弱性管理

  1. 脆弱性スキャンとの連携
    スキャンツールが検出した脆弱性にCVE番号を紐付け、一覧化
  2. 優先順位付け(プライオリティ設定)
    CVSSスコア(Common Vulnerability Scoring System)や影響範囲から対応の緊急度を判断 (Common Vulnerability Scoring System SIG)
  3. パッチ管理プロセス
    定期的にCVEリストを更新し、パッチ適用状況を追跡
  4. 報告・監査
    CVE番号を用いたレポートでセキュリティ監査に対応

よくある質問(FAQ)

Q1. CVEとCWEの違いは?

  • CVE:脆弱性そのものを識別する番号
  • CWE:脆弱性の種類や原因を分類する共通項目(例:CWE-79=クロスサイトスクリプティング) (Common Weakness Enumeration: CWE – Mitre)

Q2. CVE番号はどこで確認できる?

Q3. CVE情報の更新頻度は?

  • NVDは原則毎日更新
  • 各ベンダーは脆弱性発見後数日〜数週間でアドバイザリ公開

まとめ

CVEは、全世界で共通の脆弱性識別子として脆弱性管理の基盤を支えています。番号の仕組みや運用フローを理解し、定期的に情報を取得・対応することで、自社システムのセキュリティを大幅に向上させることが可能です。まずはNVDやJPCERT/CCを定期チェックし、CVE番号による脆弱性トラッキングを始めましょう。

【参考情報】

以上の参考情報を活用し、CVEを軸とした脆弱性管理を強化していきましょう。

Security NEWS TOPに戻る
バックナンバー TOPに戻る

ウェビナー開催のお知らせ

  • 2025年5月21日(水)14:00~15:00
    Webサイト改ざん攻撃の手口と防御策とは?リアルタイム検知で守るセキュリティ
  • 2025年5月28日(水)13:00~14:00
    脆弱性診断の新提案!スピード診断と短納期で解決する「SQAT® with Swift Delivery」セミナー
  • 2025年6月4日(水)13:00~14:00
    知っておきたいIPA『情報セキュリティ10大脅威 2025』~セキュリティ診断による予防的コントロール~
  • 最新情報はこちら


    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。

    Security Serviceへのリンクバナー画像
    BBsecコーポレートサイトへのリンクバナー画像
    セキュリティ緊急対応のバナー画像

    脆弱性診断の効果を最大化するポイント解説 – やりっぱなしを防ぐサイバー保険による脆弱性管理と診断サイクルの作り方

    Share

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    2025年3月13日「脆弱性診断、やりっぱなしになっていませんか?高精度診断と充実サポートでリスクを最小化〜サイバー保険で安心 診断から守るまでを徹底解説〜」というセミナーを開催しました。今回はその講演内容のポイントについてご紹介します。

    登壇者:株式会社ブロードバンドセキュリティのセキュリティサービス本部 サービス支援部 支援課 課長代理 木下祐希

    サイバー攻撃の実態と脆弱性管理の重要性

    まず脆弱性診断を実施する背景として、近年のサイバー攻撃の実態について理解する必要があります。かつては愉快犯も少なくなかったサイバー攻撃は、現在では金銭目的や企業・個人に対する悪意を持った攻撃が主流となっており、その手口も高度化・巧妙化しています。こうした環境において脆弱性とは何か、そしてなぜ脆弱性管理が重要なのかを把握することが対策の第一歩となります。

    サイバー攻撃の変化は明確です。以前は「愉快犯」と呼ばれる、いたずら目的のハッカーやクラッカーも少なからずおり、DDoS攻撃で嫌いな企業のサーバーを落としたり、不特定多数にフィッシングメールを送りつけたりするような行為が中心でした。しかし現在は、より直接的な、個人情報や機密情報を盗み出して金銭化することを目的とした攻撃者が増えています。

    ダークウェブの出現により、盗んだ情報を売却する市場ができました。攻撃者にとっては明確な金銭的利益を得る手段となり、より悪質で深刻な攻撃が増えているのです。

    脆弱性の検出実態についても驚くべき数字が示されました。ブロードバンドセキュリティによる脆弱性診断を受けた企業の統計では、Webアプリケーションでは約90%、ネットワークでは約55%の企業で何らかの脆弱性が検出されています。さらに深刻なのは、リスクレベルが「高」以上の重大な脆弱性がWebアプリケーションで16.7%、ネットワークで21.6%も検出されているという事実です。

    これは一度も診断を受けたことがない企業だけではなく、定期的に脆弱性診断を実施している企業も含めた数字です。攻撃手法は日進月歩で進化していますので、定期的な診断が必須なのです。

    脆弱性とは、不正アクセスやコンピュータウイルスなどの攻撃により、システムの機能や性能を損なう原因となり得るセキュリティ上の問題箇所のことです。脆弱性が悪用されると、内部データの盗取や改ざん、削除、さらには他のコンピュータへの攻撃の踏み台にされるなど様々な被害が発生します。

    「無知は最大の脆弱性」という言葉があるように、まず自社のシステムの状態を知り、必要な対策を講じることが何よりも重要です。脆弱性診断により、日々変化する脅威に対する自システムのセキュリティ状態を確認できるため、適時・適切な対策が可能になります。

    脆弱性診断のやり方と診断実施時の課題

    次に脆弱性診断の具体的なやり方と、企業が診断を実施する際に直面する課題について解説します。

    脆弱性診断を住宅に例えると、ネットワーク脆弱性診断は土地や地盤の検査、Webアプリケーション脆弱性診断は建物自体の検査に相当します。企業が脆弱性診断を実施する際には、コスト面や専門知識の必要性など様々な課題がありますが、これらを適切に解決することが重要です。

    脆弱性診断とは、窓のひび割れや水道管の老朽化など、故障・欠陥箇所を探すことに似ています。ネットワーク脆弱性診断は地盤や土壌など土地に関する検査、Webアプリケーション脆弱性診断は土地の上に建っている家を検査するイメージです。

    この二つの診断タイプには共通する項目もありますが、視点が異なります。ネットワーク脆弱性診断は宅外から宅内に入るまでの故障・欠陥箇所を見つけるのに対し、Webアプリケーション脆弱性診断は宅内の方から見た観点での指摘となります。

    企業が脆弱性診断を実施する際に直面する主な課題として、以下の4点が挙げられます。

    1. コストの問題:脆弱性診断は専門的な技術とツールを要するため、実施コストが高くなりがちです。
    2. 専門知識の必要性:診断結果を適切に解釈し、対策を講じるには専門的な知識が不可欠です。セキュリティの専門家が不足している企業では対応が遅れがちになります。
    3. 診断後のサポート不足:診断後に必要な修正や対策を行うためのサポートが不十分な場合が多く、結果的に脆弱性が放置されるリスクが高まります。
    4. 手動診断と自動診断のバランス:手動診断は時間とコストがかかる一方、自動診断は検出精度に限界があるため、両者の適切なバランスが求められます。

    これらの課題に対処するため、「かかりつけ医」のような存在としてセキュリティベンダーとの関係構築が推奨されます。いざという時だけでなく、日頃からかかりつけ医のような存在としてセキュリティベンダーとの関係を構築することで、結果的に自社のセキュリティレベルの向上と維持が図れます。

    「かかりつけ医」のメリットとしては、まず、病歴や体質(システム環境や脆弱性の状況)を把握しており、素早く適切に対応できること。そして、気軽に相談できるので、問題が早期発見しやすいこと。結果として、必要に応じて他の専門医(専門的なセキュリティサービス)への連携もスムーズになることも含め、メリットは多々あると言えます。

    高精度な脆弱性診断とサイバー保険を含む継続的なサポート体制

    脆弱性診断を効果的に行うためには、精度の高い診断と充実したサポート体制が不可欠です。高品質な脆弱性診断サービスには、有資格者による手動検査、網羅性の高い診断内容、わかりやすい報告書の提供、診断後のサポートなどの特徴があります。特に重要なのは、診断結果に基づいた対策の実施と、定期的な診断による継続的な脆弱性管理サイクルの確立です。

    ブロードバンドセキュリティのSQAT®(Software Quality Analysis Team)脆弱性診断サービスを例に、効果的な脆弱性診断の要素が説明されました。まず「Quality(品質)」として、情報処理安全確保支援士やCISSP、CEH等の有資格者による手動/ツール検査を実施していること、OWASP TOP10やNIST SP 800シリーズ、IPAの「安全なWebサイトの作り方」などの標準を踏襲した網羅性の高い診断内容を提供していることが特徴です。

    次に「Communication(コミュニケーション)」の観点では、診断実施部門だけでなく報告書のレビューを専門とする部門やツール開発部門が各役割に集中する体制を整え、専用ポータルサイトを通じた効率的な情報共有を実現しています。

    さらに「Support(サポート)」面では、診断結果に関する問い合わせを診断実施後も受け付け、報告書納品日から3ヶ月間は再診断を無償で提供するなど、継続的なサポート体制を整えている点が強調できます。

    付け加えると、同社の脆弱性診断サービスの特徴として、豊富な診断シグネチャ(検査パターン)、スピーディな報告(診断終了後4営業日以内の報告書納品)、情報収集力に裏打ちされた分析、多彩なオプションメニューなどが挙げられます。

    手動診断とツール診断のそれぞれの特徴と使い分けについても説明します。

    手動診断は網羅性、検査の深度、精度が高い一方でコストも高くなります。一方、ツール診断は低コストで実施できますが、検出できない項目もあります。両者の適切な組み合わせとして、「リリース時や年に一度は手動診断、日常的な監視はツール診断」といった使い分けが効果的です。

    特に注目すべき点として、ブロードバンドセキュリティは三井住友海上火災保険株式会社との提携により、「サイバー保険付帯の脆弱性診断サービス」を提供しています。このサービスは、脆弱性診断契約日から1年間、情報漏えいやサイバー攻撃に起因する賠償損害および事故発生時に対策を講じた場合の費用損害を最大1,000万円まで補償するものです。

    実際の初動対応には平均して1,000万円程度必要であると想定されています。この補償は脆弱性診断サービスにオプションとして付けるのではなく、対象となる診断サービスを受けると自動的に付帯します。

    脆弱性診断を活かす継続的なセキュリティ対策

    最後に、脆弱性診断を単発で終わらせるのではなく、継続的なセキュリティ対策として活用するためのポイントを紹介します。脆弱性は日々増加し、攻撃手法も進化し続けるため、一度の診断だけでは十分な対策とは言えません。診断対象の特徴や検査目的に合わせた適切な診断手法の選定と、定期的な脆弱性の洗い出しと棚卸が重要です。

    脆弱性診断は一度実施したらそれで終わりというものではありません。脆弱性は日々新たな手法や種類が増加し続けるため、診断実施後に適切なセキュリティ対策を行っていたとしても、形を変えて再び脆弱性が生じる可能性は十分にあります。

    継続的なセキュリティ対策のサイクルとして、以下のステップが推奨されています。

    1. 脆弱性診断の実施
    2. セキュリティ対策の実施
    3. 新たな脆弱性・攻撃手法の登場に注意
    4. 自組織の環境やシステム特性に適した診断の選定

    このサイクルを繰り返すことで、持続的にセキュリティレベルを向上させることができます。また、診断対象の特徴や検査目的に応じて、手動診断とツール診断を適切に組み合わせることも重要です。

    まとめ:効果的な脆弱性管理で高まるセキュリティ体制

    脆弱性診断を「やりっぱなし」にせず、継続的な脆弱性管理の一環として活用することが、組織のセキュリティ体制強化には不可欠です。サイバー攻撃が高度化・巧妙化する現代においては、脆弱性診断の実施、診断結果に基づく対策の実施、新たな脆弱性への対応という一連のサイクルを確立することが重要です。自社の環境やシステム特性に合わせた適切な診断手法を選定し、定期的な診断を通じて継続的にセキュリティレベルを向上させていきましょう。

    脆弱性をなくすこと(攻撃の的をなくすこと)が最も重要です。攻撃者は実際の攻撃行動に移る前に、クローリングツールなどを使って脆弱性をスキャンします。脆弱性の少ないシステムは攻撃者にとって「コストパフォーマンスが悪い」ターゲットとなり、結果的に攻撃を受けにくくなります。

    サイバー保険も含めた総合的な脆弱性対策を構築することで、万が一の事態にも備えることができます。ブロードバンドセキュリティのように、高精度な診断と充実したサポート体制を持つセキュリティベンダーと連携することで、より効果的な脆弱性管理が可能になります。

    脆弱性管理は単なるコスト要素ではなく、企業の競争力維持やリスク管理のための重要な投資です。サイバー保険の付帯のある脆弱性診断サービスを受けていても、被害があったときかかってしまう損害額を考えると費用対効果は決して悪くないと言えます。

    最終的に、脆弱性診断を含む継続的なセキュリティ対策サイクルの確立は、お客様に安心して自社サービスを利用し続けてもらうための基盤となるのです。これからのデジタル時代において、適切な脆弱性管理は企業の信頼性と持続可能性を支える重要な要素であると言えるでしょう。

    Webアプリケーション脆弱性診断バナー

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    ウェビナー開催のお知らせ

  • 2025年4月23日(水)14:00~15:00
    今知るべき!サポート切れのソフトウェアへのセキュリティ対策ガイド
  • 2025年4月30日(水)13:00~13:30
    CVSSとSSVCで実践する次世代脆弱性管理:サイバー攻撃対策セミナー2024
  • 2025年5月14日(水)14:00~15:00
    クラウド利用の落とし穴と対策とは?今こそ見直すべきクラウドセキュリティ対策-セキュリティ設定診断の活用方法をご紹介-
  • 最新情報はこちら


    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。

    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。


    Security Serviceへのリンクバナー画像

    BBsecコーポレートサイトへのリンクバナー画像

    セキュリティ緊急対応のバナー画像

    WordPressサイトの安全対策:SureTriggersプラグインの脆弱性に学ぶ対策方法

    Share

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    お問い合わせ

    お問い合わせはこちらからお願いします。後ほど、担当者よりご連絡いたします。

    近年、サイバー攻撃が多様化する中で、WordPressのプラグインに潜む脆弱性が企業や個人のウェブサイトに深刻なリスクをもたらしています。特に、業務でサイトを利用している方にとって、定期的なメンテナンスとセキュリティ対策は必須です。ここでは、最近話題となった「SureTriggers」プラグインの脆弱性を例に、誰にでも実践できる対策方法を分かりやすく解説します。

    なぜWordPressプラグインに注意が必要なのか?

    WordPressは世界中で人気のCMS(コンテンツ管理システム)です。WordPressの利用に関しては以下のようなメリットと注意点が挙げられます。

    メリット:多様な機能をプラグインで簡単に追加できる
    注意点:プラグインのコードに不備があると、サイトのセキュリティが危険にさらされる可能性がある

    実際、普段は便利な機能を提供しているプラグインも、正しく管理されなければ攻撃者の格好の侵入ルートとなってしまいます。

    SureTriggersプラグインの事例

    2025年4月初旬、WordPress向けの自動化ツールとして利用されている「SureTriggers」プラグインに重大な脆弱性が発見されました。この脆弱性の主なポイントは以下の通りです。

    • 攻撃方法: 攻撃者は、十分な認証チェックが行われない隙を突き、管理者権限を持つアカウントを不正に作成できる可能性がありました。
    • 迅速な悪用: 公開からわずか数時間で実際に不正アクセスの試みが記録され、早期の対策が求められる事態となりました。

    脆弱性の背景と仕組み

    シンプルに説明すると、問題の発端はプラグイン内の認証チェックが不十分だった点です。通常、プラグインはユーザーからのリクエストに対して「この操作は許可されたユーザーからのものか?」を確認する仕組みを持っています。しかし、SureTriggersでは、HTTPヘッダーによる認証のチェックで、必要な検証が十分になされず、条件次第では不正なリクエストを正当なものとしてしまう欠陥がありました。このため、攻撃者は特定のリクエストを送ることで、管理者アカウントを勝手に作成するリスクがあったのです。

    基本のセキュリティ対策

    セキュリティに詳しくなくても、以下のポイントを守ることでリスクを大幅に減らすことができます。

    • 定期的なアップデート:プラグインやWordPress本体の最新バージョンへの更新は必須です。アップデートには、セキュリティの向上や不具合の修正が含まれており、脆弱性対策に直結します。
    • 公式・信頼のプラグインを利用:評判が良く、開発元がしっかりしているプラグインを使用しましょう。不明なサイトからダウンロードしたプラグインはリスクが高まります。
    • セキュリティプラグインの導入:WordPress向けのセキュリティ強化プラグイン(例:WordfenceやSucuri Securityなど)を利用し、サイトへの不審なアクセスを自動的にブロックする仕組みを取り入れましょう。
    • 定期的なバックアップ:万が一攻撃に遭ってしまったしまった場合の被害に備え、サイト全体のバックアップを定期的に取ることで、迅速な復旧が可能になります。
    • ログの監視:自分では気付きにくい異常なアクセスやアカウントの作成がないか、サーバのログを時折確認する習慣をつけると安心です。

    まとめ

    早めの対策で安心なサイト運営を

    SureTriggersプラグインの事例は、セキュリティ脆弱性がもたらすリスクを再認識するきっかけとなります。日頃からのアップデート・管理、そして信頼できるツールの利用は、サイト運営における最も基本的かつ重要な対策です。技術的な知識がなくても、今回の記事でご紹介した基本の対策を実践することで、多くのリスクを未然に防ぐことができます。今後もセキュリティの最新情報に注意を払い、安心してサイト運営を続けるための対策を怠らないようにしましょう。

    【参考情報】

    2025年春のAI最新動向第3回:
    生成AIの未来と安全な活用法 -私たちはAIをどう使うべきか?-

    Share

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    本記事では全3回のシリーズを通して、2025年春時点でのAIをめぐる様々な事象をまとめています。連載第3回目となる今回は、生成AIを私たちはどのように活用すべきか、今後の展望について解説します。

    OWASP Top 10でみる生成AIのセキュリティリスク

    AIをめぐるセキュリティリスクを簡便にまとめた情報がOWASP Top 10 for LLM Applications 2025として公開されています。2024年11月に公開された2025年版では、以下の10項目がトップ10に挙げられています。

    • LLM01:2025 プロンプトインジェクション
      概要:ユーザーが入力したプロンプトが、意図しない形で LLM の挙動や出力に影響を与える脆弱性
    • LLM02:2025 センシティブ情報漏洩
      概要:LLMとそのアプリケーションのコンテキストにおいて、個人情報、金融情報、機密ビジネスデータ、セキュリティ認証情報などのセンシティブな情報が漏洩するリスク
    • LLM03:2025 サプライチェーン
      概要:LLMのサプライチェーンにおける脆弱性が、トレーニングデータ、モデル、デプロイメントプラットフォームの完全性に影響を与え、バイアスのある出力やセキュリティ侵害を引き起こすリスク
    • LLM04: データとモデルの汚染
      概要:事前学習、ファインチューニング、または埋め込みデータが操作され、脆弱性、バックドア、またはバイアスが導入されることによって、モデルのセキュリティ、パフォーマンス、または倫理的行動が損なわれるリスク
    • LLM05:2025 不適切な出力処理
      概要:LLMによって生成されたコンテンツの検証、サニタイズ、および処理が不十分なまま、他のコンポーネントやシステムに渡されることによって生じる脆弱性
    • LLM06:2025 過剰な代理権
      概要:LLMベースのシステムが、プロンプトに応答してアクションを実行するために、他のシステムと連携する機能を与えられることによるリスク
    • LLM07:2025 システムプロンプトリーク
      概要:LLMアプリケーションのシステムプロンプトが漏洩することにより、攻撃者がアプリケーションの内部動作を理解し、悪用するリスク
    • LLM08:2025 過度な信頼
      概要:LLMの出力の正確さや適切さに対する過度な依存によって生じるリスク。ユーザーがLLMの出力を効果的に評価できない場合、誤情報や不適切なアドバイスを受け入れる可能性が高まる
    • LLM09:2025 誤情報の生成
      概要:LLMが誤った情報や偏った情報を生成・拡散するリスク
    • LLM10:2025 無制限の消費
      概要:LLMが入力クエリまたはプロンプトに基づいて出力を生成するプロセスにおいて、リソース管理が不適切であることによって生じるリスク。モデルの窃取やシャドウモデルの作成につながる可能性もある

    Top10には実際にジェイルブレイクの手法として用いられるものも含まれています。また、AIによるサービスを提供する側がガードレールによって回避すべき問題も多く含みますが、LLM08:2025 過度な信頼のようにユーザ側の問題も含まれています。

    生成AIの利用用途 -私たちはAIをどう使うべきか?-

    生成AIサービスであり基盤モデルでもある「Claude」を提供するAnthropic社が、2025年2月10日、「The Anthropic Economic Index」という分析レポートを公開しました。同レポートでは、Claudeの利用データ(匿名データ)を用いて私たちが普段どのようにAIを使っているかを具体的に分析しています。

    生成AIの主な利用用途

    • ソフトウェア開発とテクニカルライティングが主要な利用用途
    • 生成AIが人間の能力と協力して強化・拡張(Augumentation)する目的で使用されることが57%を占めており、AI が直接タスクを実行する自動化(Automation, 43%)を上回っている
    • 生成AIの使用はコンピュータープログラマーやデータサイエンティストなどの中~高程度の賃金を得られる職業※ で一般的
      ※Claudeのユーザーの利用用途をタスク別に割り当て、そのタスクが実行される可能性が高い職業を割り当てている点に注意
    • 最高賃金帯と最低賃金帯のタスクで利用頻度が低い

    ここまで書いてきましたが、生成 AI・基盤モデル(LLM含む)をめぐっては2025年3月現在、以下のような問題があります。

    • 過度な信頼や誤情報に対する警戒(OWASP Top 10 for LLM Applications 2025やEU AI法)
    • 機微情報や著作物の取り扱いに関するルール作り(日本をはじめとする各国法制度)

    機微情報や著作物に影響されない分野としてソフトウェア開発やテクニカルライティングがあり、その中でもある程度誤情報の検知や生成AIの出力に対して過度に期待しない一定程度の経験のある層が生成AIを使いやすいという状況の結果として、現時点での利用方法があると考えられるかもしれません。

    AIの安全な利用に向けて

    機微情報や著作物の扱いに関する問題やジェイルブレイクによる危険な情報の出力、誤情報といった具体的な問題がある一方、生成AIに限らずAI全般において安全性をどう保証するのか、インシデントをどのように調査し報告するのかといった面については現在も議論が続いています。EUでAI法は施行されてはいるものの、実際の法規制はこれからとなります。容認できないリスクに当たるAIへの規制はすでに2025年2月2日から始まっていますが、そのほかのAIシステムについてはこれから規則が適用されることになっています。EUのAI法のアプローチによる安全性の保証がどう効果をもたらすかは1年以上を経ないとわからないのが実情です。また、2025年2月4日に内閣府のAI戦略会議から公開された「中間とりまとめ(案)」でも、安全性については制度・施策の中で透明性・適正性の確保と並んで課題として挙げられています。

    まとめ

    2025年春、生成AIは急速に進化し、私たちの日常やビジネスに大きな影響を与えています。しかし、その一方でジェイルブレイク、情報漏洩、誤情報生成など、数多くのセキュリティリスクも指摘されています。各国の政府や監督機関は、これらのリスクに対応するための法規制やガイドラインを整備しつつあり、利用者としても安全対策の強化が求められています。今後、生成AIを安全に活用するためには、最新の規制情報やガイドラインに基づいた対策を実施し、脆弱性診断などを通じてシステムの弱点を常に把握することが必要です。SQAT.jpでは、今後も生成AIの安全性に関する問題に注視し、ご紹介していきたいと思います。

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    【連載一覧】

    ―第1回「生成AIとは? -生成AIの基礎知識と最新動向-」―
    ―第2回「生成AIをめぐる政府機関および世界各国の対応」―


    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。

    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。


    Security Serviceへのリンクバナー画像

    BBsecコーポレートサイトへのリンクバナー画像

    セキュリティ緊急対応のバナー画像

    【警告】CVE-2025-22457 脆弱性悪用事例と対策
    –サイバー脅威の全貌–

    Share

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    本記事は、Google Cloud Blogで2025年4月3日に公開された「Suspected China-Nexus Threat Actor Actively Exploiting Critical Ivanti Connect Secure Vulnerability(CVE-2025-22457)」の情報をもとに、脆弱性の概要、攻撃手法、最新の悪用事例、そして推奨対策について解説します。

    瓦版号外記事(CVE-2025-22457悪用事例)サムネイル

    はじめに

    昨今、エッジデバイスやVPNシステムを狙ったサイバー攻撃が急増しています。その中でも、Ivanti Connect Secure(ICS)における脆弱性「CVE-2025-22457」が、2025年4月3日にIvantiによって公開され、実際に悪用されていることが確認されました。MandiantとIvantiの共同調査により、ライフサイクルが終了したICS 9.Xや、ICS 22.7R2.5以前のバージョンが標的となっています。

    脆弱性の概要とその影響

    CVE-2025-22457は、バッファオーバーフローに起因する重大な脆弱性です。攻撃者がこの脆弱性を悪用すると、リモートから任意のコードが実行可能となり、企業のVPNシステムに対して深刻なセキュリティリスクが生じます。対象は、ICS 22.7R2.5以前のバージョンおよび旧バージョン(ICS 9.X)で、攻撃成功時には不正アクセス、情報漏洩、システムの乗っ取りなどが懸念されます。

    悪用事例と新たなマルウェアの動向

    調査によると、初期の悪用は2025年3月中旬に確認されています。攻撃が成功すると、以下のような新たなマルウェアファミリーが展開されることが判明しました。

    • TRAILBLAZE
      シェルスクリプト形式のインメモリオンリードロッパー。システム内の特定プロセスに不正コードを注入する足がかりとなります。
    • BRUSHFIRE
      SSL_readのフックを利用するパッシブバックドアで、不正な通信を密かに行います。
    • SPAWNエコシステム
      SPAWNSLOTH、SPAWNSNARE、SPAWNWAVE など、連携してシステム内の不正操作やログ改ざんを実施するツール群です。

    これらのマルウェアは、シェルスクリプトドロッパーを起点に、ターゲットプロセス内へ段階的に展開される仕組みとなっており、システム再起動後にも再展開される可能性があるため、持続的な監視と迅速な対策が求められます。

    技術的な攻撃手法の解説

    攻撃の初期段階では、シェルスクリプトが以下のような手順で実行されます。

    1. プロセスの特定
      ターゲットとなる/home/bin/webプロセス(特に、子プロセスとして実行中のもの)を検出
    2. 一時ファイルの生成
      /tmpディレクトリに、対象プロセスのPIDやメモリマップ、バイナリのベースアドレス、さらにマルウェア本体が格納された一連のファイルが作成される
    3. マルウェアの注入
      生成された一時ファイルを利用し、TRAILBLAZEドロッパーが実行。これにより、BRUSHFIRE パッシブバックドアが対象プロセス内へ注入される
    4. クリーンアップ
      一時ファイルや不要なプロセスは削除され、攻撃自体は非永続的な形で行われる

    この攻撃手法は非常に巧妙であり、既存のパッチ対策や監視体制を回避するために設計されています。

    脅威アクターとその背景

    調査機関GTIG(Google Threat Intelligence Group)の報告によると、今回の攻撃は、中国関連の疑いがある諜報グループ「UNC5221」によるものと見られています。UNC5221は、過去にもゼロデイ攻撃やエッジデバイスへの不正侵入を実施しており、今回の攻撃でも従来の脆弱性を細かく解析した上で悪用していると評価されています。

    推奨対策と今後の対応

    MandiantとIvantiは、以下の対策を強く推奨しています。

    • 迅速なパッチ適用
      2025年2月11日にICS 22.7R2.6で公開されたパッチを、対象システムに速やかに適用すること
    • 監視体制の強化
      不審なコアダンプや、Integrity Checker Tool(ICT)の異常な動作が確認された場合、即座に対応する体制を整えること
    • セキュリティツールの活用
      内部および外部の監視ツールを併用し、システムの健全性を定期的にチェックすること

    これらの対策により、攻撃によるリスクを最小限に抑え、企業全体のセキュリティレベルの向上が期待されます。

    まとめ

    CVE-2025-22457 の悪用事例は、エッジデバイスを狙った攻撃が日々進化している現状を示しています。企業や組織は、最新パッチの適用と継続的な監視を徹底し、サイバー攻撃に対する防御策を強化する必要があります。今後も最新のセキュリティ情報に注意を払い、信頼性の高い情報源からのアドバイスを参考にすることが重要です。

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    サイバーインシデント緊急対応

    サイバーセキュリティ緊急対応電話受付ボタン
    SQAT緊急対応バナー

    ウェビナー開催のお知らせ

  • 2025年4月9日(水)13:00~14:00
    今さら聞けない!スマホアプリのセキュリティあれこれ
  • 2025年4月16日(水)14:00~15:00
    知っておきたいIPA『情報セキュリティ10大脅威 2025』~セキュリティ診断による予防的コントロール~
  • 2025年4月23日(水)14:00~15:00
    今知るべき!サポート切れのソフトウェアへのセキュリティ対策ガイド
  • 2025年4月30日(水)13:00~13:30
    CVSSとSSVCで実践する次世代脆弱性管理:サイバー攻撃対策セミナー2024
  • 最新情報はこちら


    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。

    Security Serviceへのリンクバナー画像
    BBsecコーポレートサイトへのリンクバナー画像
    セキュリティ緊急対応のバナー画像

    【緊急】Apache Tomcatの脆弱性 CVE-2025-24813-PoC公開&攻撃実例、迅速な対応を!-

    Share

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    お問い合わせ

    お問い合わせはこちらからお願いします。後ほど、担当者よりご連絡いたします。

    はじめに

    Apache Tomcatは、多くのWebアプリケーションで利用されている人気のサーブレットコンテナですが、最新の脆弱性CVE-2025-24813が重大なリスクとして報告されています。既にPoC(Proof of Concept)が公開され、実際に攻撃に悪用されている事例も確認されています。これにより、リモートコード実行(RCE)や情報漏洩といった深刻な被害が発生する可能性が高まっています。

    脆弱性の詳細

    CVE-2025-24813の概要

    ・概要

    Apache Tomcatに存在する脆弱性で、ファイルパスの正規化の不備を突くことで、攻撃者が悪意のあるファイルをアップロードし、シリアライズ済みセッションのデシリアライズ処理時に任意のコード実行が可能となります。

    ・攻撃シナリオ

    攻撃者は、PUTリクエストを利用して、悪意のあるシリアライズ済みJavaセッションファイル(PoCとして公開済み)をTomcatのセッションストレージにアップロードします。その後、GETリクエストでJSESSIONIDを指定することで、Tomcatがこの不正なセッションファイルをデシリアライズし、悪意のあるコードが実行されます。

    ・リスク

    認証不要でリモートからコード実行が可能なため、攻撃者によってシステム全体が乗っ取られるリスクが高いです。さらに、アップロードされたファイルは、従来のセキュリティ対策(WAF等)で検知されにくいという特徴があります。

    • CVSSベーススコア

    ※現状の具体的な数値は各セキュリティ情報サイト等をご確認ください。(本記事ページ下部【参考情報】ご参照)

    推奨対策

    1. パッチ適用とアップグレード
      • アップグレードの実施
      脆弱性が修正された最新バージョンへのアップグレードを速やかに実施してください。Apache Tomcat のバージョンアップにより、脆弱性を根本的に解消できます。
    2. 設定変更による一時的な対策
      • デフォルト設定の見直し
      Webアプリケーションの設定ファイル(例:web.xml)で、デフォルトの書き込み機能を無効化するなど、一時的なセキュリティ強化策を講じることも有効です。
    3. セキュリティ管理の強化
      • 脆弱性管理プログラムの導入
      定期的な脆弱性診断と評価を行い、システムに内在する脆弱性を早期に検出し修正してください。
      • 管理者アクセスの制御
      管理者アカウントには多要素認証などの追加対策を実施し、アクセス権限を最小限に絞ることが重要です。

    緊急対応窓口のご案内

    万が一、CVE-2025-24813に関連する攻撃や不審な活動が自社内で確認された場合は、直ちに弊社緊急対応窓口までご連絡ください。迅速な対応と調査を通じて、被害の拡大を防ぐお手伝いをいたします。

    サイバーインシデント緊急対応

    サイバーセキュリティ緊急対応電話受付ボタン
    SQAT緊急対応バナー

    まとめ

    Apache Tomcatの脆弱性CVE-2025-24813は、既にPoCが公開され攻撃に悪用されている深刻な問題です。お使いのTomcat環境が影響を受けている場合、速やかに最新パッチの適用やアップグレード、必要な設定変更を実施してください。また、万一の攻撃が確認された際には、弊社緊急対応窓口までお知らせいただくことで、迅速な支援を受けることが可能です。

    【参考情報】

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    ウェビナー開催のお知らせ

  • 2025年3月26日(水)13:00~14:00
    予防で差がつく!脆弱性診断の話~脆弱性による脅威とその対策~
  • 2025年4月2日(水)13:00~14:00
    今さら聞けない!PCI DSSで求められる脆弱性診断-いよいよ未来日付要件が有効に!PCI DSSv4.0での脆弱性診断実施におけるポイントとは-
  • 2025年4月16日(水)14:00~15:00
    知っておきたいIPA『情報セキュリティ10大脅威 2025』~セキュリティ診断による予防的コントロール~
  • 最新情報はこちら


    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。

    Security Serviceへのリンクバナー画像
    BBsecコーポレートサイトへのリンクバナー画像
    セキュリティ緊急対応のバナー画像

    脆弱性診断の基礎と実践!手動診断とツール診断の違いを徹底解説第3回:手動診断とツール診断、どちらを選ぶべきか?最適な診断方法の選び方

    Share

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    手動診断とツール診断、どちらが自社に最適なのか?本記事では、「脆弱性診断の基礎と実践」をテーマに全3回のシリーズのうちの最終回として、手動診断とツール診断の両者の特性や違いを比較し、診断方法を選ぶポイントを解説します。最適な診断方法を見極め、継続的なセキュリティ対策を実現しましょう。

    手動診断とツール診断の違い

    脆弱性診断には「手動診断」と「ツール診断」の2つの手法があり、それぞれに検出できる脆弱性の範囲、診断の精度、コストや時間といった違いがあります。適切な診断方法を選ぶためには、それぞれの特性を理解することが重要です。

    検出可能な脆弱性の範囲

    診断手法 検出可能な脆弱性の範囲
    ツール診断 CVE、OWASP Top 10などに基づき脆弱性を自動検出。ただし、システム固有の処理に関連する脆弱性の検出や複雑な攻撃手法には対応が難しい。
    手動診断 ツール診断では発見が難しいカスタムアプリの脆弱性や認証回避の脆弱性も検出可能。

    ツール診断はパターンマッチングに基づく脆弱性スキャンが主であり、定型的なセキュリティホールの発見に優れています。一方、手動診断はシステムごとの特性を考慮した診断が可能で、セキュリティエンジニアによる最新の攻撃手法に基づいたシナリオでの診断にも対応できます。

    診断の精度

    診断手法 精度
    ツール診断 短時間で広範囲の診断が可能だが、誤検知(False Positive)や見落とし(False Negative)が発生することがある。
    手動診断 セキュリティエンジニアが攻撃者視点で分析するため、より正確な脆弱性の特定が可能。誤検出を減らし、実際のリスクを精密に評価できる。

    ツール診断は効率的に多くのシステムをスキャンできるメリットがありますが、誤検出や見落としのリスクがあるため、結果を精査する必要があります。手動診断は攻撃手法を考慮したテストを実施できるため、リスクの深刻度を正確に判断しやすいのが特長です。

    コストと時間の違い

    診断手法 コスト 時間
    ツール診断 比較的低コストである。 短時間で診断可能(数時間~1日程度)。規模が小さいシステムであれば、数時間程度で診断が完了するため、定期的なスキャンが容易。場合によっては24時間いつでも診断が可能
    手動診断 専門のエンジニアが対応するためコストが高い。診断の範囲や内容によって費用が変動 時間がかかる(数日~数か月)。対象システムの複雑さにより診断期間が変動

    ツール診断は、コストを抑えて素早く診断ができる点が魅力ですが、ツールの設定や診断結果の解釈には専門知識が必要です。手動診断はコストや時間がかかるものの、外部のセキュリティ専門企業などに委託することによって、より精密な脆弱性評価が可能です。特に重要なシステムや高度なセキュリティ対策が求められる場面では有効です。

    診断方法を選ぶ際のポイント

    以下のポイントを考慮し、適切な診断方法を選ぶことが重要です。

    組織の規模やセキュリティ方針に合わせた選択

    組織の特徴 推奨される診断方法
    スタートアップ・中小企業(コストを抑え、効率的に診断したい場合) コストを抑えつつ効率的な診断を行いたい場合は、ツール診断が適している。自動化により定期的なチェックが可能。
    大企業・金融・医療・官公庁 高度なセキュリティ対策が求められるため、手動診断+ツール診断の組み合わせが効果的。特に重要システムには手動診断を推奨。
    クラウド環境を利用する組織 クラウド環境特有のリスクに対応するため、クラウドセキュリティに特化したツール診断と、必要に応じた手動診断の併用が理想的。

    どのような診断が必要か

    診断対象 推奨される診断方法
    WEBアプリケーション ツール診断で基本的な脆弱性をチェックし、重要な部分に手動診断を実施。特に、認証機能や決済機能の診断には手動診断が有効
    ネットワークセキュリティ ネットワークスキャンツール(例:Nmap、Nessus)を活用し、必要に応じて手動で詳細な分析を実施。ファイアウォールの設定やアクセス制御の確認が重要
    クラウド環境(AWS、AZURE、GCPなど) クラウド専用の脆弱性診断ツールを活用し、アクセス制御や設定ミスをチェック。特に、IAM(Identity and Access Management)の監査が必要な場合は手動診断も推奨

    ポイント:

    • Webアプリケーションの診断では、ツール診断でOWASP Top 10の脆弱性をスキャンし、カスタムアプリの診断には手動診断を追加するのが理想的
    • ネットワーク脆弱性診断では、ツール診断でポートスキャンを行い、不審な通信や設定の誤りを手動診断で確認する方法が有効
    • クラウド環境は設定ミスが原因の脆弱性が多いため、ツール診断を活用して広範囲をスキャンし、リスクの高い設定には手動診断を組み合わせることが推奨される

    手動診断とツール診断の組み合わせ

    手動診断とツール診断にはそれぞれメリットと限界があり、両者を適切に組み合わせることで、より高精度なセキュリティ対策が可能になります。ツール単独での診断では見落とされるリスクを補完し、組織のセキュリティレベルを向上させる戦略的なアプローチが求められます。

    両者を組み合わせることで得られるメリット

    スキャンの自動化と専門家による精査が両立

    • ツール診断で迅速に広範囲をスキャンし、重大なリスクが懸念される部分のみ手動診断を実施
    • 手動診断でツールの誤検出を精査し、実際のリスクを正確に判断

    費用対効果の向上

    • 低コストでツール診断を定期的に実施し、大きな問題が発覚した場合のみ手動診断を適用することで、予算を最適化

    診断結果の精度向上

    • ツール診断のスキャン結果を専門家が分析し、追加の手動診断を行うことで、より正確な脆弱性評価が可能

    効果的なセキュリティ診断戦略の構築

    手動診断とツール診断を組み合わせることで、組織ごとのセキュリティ要件に応じた診断戦略を構築できます。

    (1) 定期的なスキャン+詳細なリスク分析

    • ツール診断を月次・四半期ごとに実施し、継続的にセキュリティ状況を監視
    • 重大なリスクが検出された場合のみ、対象システムの手動診断を実施して詳細分析

    (2) システムの重要度に応じた診断手法の選択

    • 基幹システム・決済システムなどの重要システム
      手動診断を優先し、高精度な診断を実施
    • 一般的なWebアプリ・社内システム
      ツール診断で定期的にチェックし、基本的なリスクを管理

    (3) インシデント対応と診断の連携

    • 過去のセキュリティインシデントの発生状況を分析し、手動診断で重点的にチェックすべき領域を特定
    • ツール診断のログを蓄積し、将来の診断方針に反映

    適切な脆弱性診断サービスの選び方

    診断会社を選ぶ際のポイント

    脆弱性診断を外部に委託する場合、診断会社の選定は重要な要素となります。まず、診断の実績を確認し、自社の業界やシステムに適した経験があるかをチェックしましょう。特に、金融・医療・ECなどの高いセキュリティが求められる分野では、業界特有のリスクを理解している診断会社が望ましいでしょう。次に、対応範囲を確認し、Webアプリ、ネットワーク、クラウド環境など、自社のシステム構成に適した診断を提供できるかを見極めます。また、診断後のサポート体制も重要なポイントです。診断結果のレポート提供だけでなく、脆弱性修正のアドバイスや再診断が可能かどうかも確認し、長期的なセキュリティ強化に役立つパートナーを選びましょう。

    費用対効果を考慮した最適な診断プランの検討

    脆弱性診断のコストは組織にとって大きな課題ですが、単純に安価なサービスを選ぶのではなく、費用対効果を考慮した診断プランの選定が重要です。まず、診断の頻度と範囲を明確にし、必要最低限のコストで最大の効果を得られるプランを検討します。たとえば、定期的な診断が必要な場合はツール診断を活用し、重大なシステムについては手動診断を実施する組み合わせが有効です。また、診断会社ごとに料金体系や提供サービスが異なるため、複数社のプランを比較し、自社に最適なものを選択することが求められます。さらに、初回診断の割引や無料トライアルなどを活用することで、コストを抑えつつ診断の質を確認する方法も有効です。

    まとめ:企業にとって最適な診断方法を選択する

    脆弱性診断を効果的に活用するためには、自社のシステムやセキュリティ方針に適した診断方法を見極めることが重要です。コストを抑えながら広範囲をスキャンできるツール診断、高度な攻撃手法にも対応可能な手動診断、それぞれの特性を理解し、適切に使い分けることが求められます。また、企業の業種やシステムの重要度によって、手動診断とツール診断の組み合わせを検討することが望ましいです。

    さらに、脆弱性診断は一度実施すれば終わりではなく、継続的なセキュリティ対策が必要です。サイバー攻撃の手法は日々進化しており、新たな脆弱性が発見される可能性があるため、定期的な診断と適切なセキュリティ対策の実施が欠かせません。企業のセキュリティレベルを維持・向上させるために、継続的な診断計画を立て、適切な対策を講じることが重要です。

    BBSecでは

    当社では様々なご支援が可能です。お客様のご状況に合わせて最適なご提案をいたします。

    <SQAT診断サービスの特長>

    Webアプリケーション脆弱性診断バナー

    <デイリー自動脆弱性診断 -Cracker Probing-Eyes®->

    CPEサービスリンクバナー

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    ―第1回「手動診断のメリットとは?」はこちら―
    ―第2回「ツール診断のメリットとは?」はこちら―


    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。

    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。


    Security Serviceへのリンクバナー画像

    BBsecコーポレートサイトへのリンクバナー画像

    セキュリティ緊急対応のバナー画像

    【セキュリティガイドライン6.0】実践!脆弱性診断で守るクレジットカード決済セキュリティ対策ガイド

    Share

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    お問い合わせ

    お問い合わせはこちらからお願いします。後ほど、担当者よりご連絡いたします。

    はじめに

    昨今、キャッシュレス化の推進とともにクレジットカード決済の利用が急増しています。日本では2025年6月までにキャッシュレス決済比率40%を目指す施策が進行中ですが、依然としてクレジットカード決済はキャッシュレス決済全体の約83.5%を占め、消費者や加盟店にとって非常に重要な決済手段です。しかし、その一方で情報漏えいや不正利用、特にECサイトなど非対面取引における不正利用被害は深刻な問題となっています。本記事では、「クレジットカード・セキュリティガイドライン【6.0版】」に基づく対策のうち、特に「脆弱性診断」の視点に着目し、決済システムやWebサイトにおけるリスクの検出とその対策の必要性、具体的な診断手法についてご紹介します。

    【関連ウェビナー開催情報】
    弊社では4月2日(水)13:00より、「今さら聞けない!PCI DSSで求められる脆弱性診断-いよいよ未来日付要件が有効に!PCI DSSv4.0での脆弱性診断実施におけるポイントとは-」と題したウェビナーを開催予定です。PCI DSSv4.0で求められる脆弱性診断・ペネトレーションテストについて今さら聞けない!?内容を徹底解説いたします。ご関心がおありでしたらぜひお申込みください。詳細はこちら

    クレジットカード決済の現状とセキュリティリスク

    利用環境の変化とリスクの多様化

    政府のキャッシュレス化推進施策により、決済手段が多様化する中、クレジットカードは依然として主要な決済手段です。一方、EC加盟店やMO・TO取扱加盟店では、Webサイトの設定不備や既知の脆弱性を悪用した第三者による不正アクセス、フィッシング攻撃によってカード情報が窃取される事例が相次いでいます。このような背景から、決済システムやWebサイトの脆弱性診断が不可欠となっており、早期にリスクを把握し対策を講じる必要があります。

    ガイドラインの役割

    クレジットカード・セキュリティガイドライン【6.0版】」は2025年3月、クレジット取引セキュリティ対策協議会によって公開されたガイドラインで、PCI DSSをはじめ、割賦販売法などの法令に基づく実務上の指針や各種技術・運用対策をまとめたものです。その中では、EC加盟店のシステムおよびWebサイトに対して「脆弱性対策」を講じることが強調されており、脆弱性診断やペネトレーションテストの実施が推奨されています。

    脆弱性診断の視点から見るセキュリティ対策の現状

    脆弱性診断の目的

    脆弱性診断は、以下の点でセキュリティ対策の強化に貢献します。

    • 設定ミスや構成不備の検出
      システム管理画面のアクセス制限やデータディレクトリの設定不備、ログイン試行回数制限の設定など、運用上の細かな不備を早期に発見。
    • ソフトウェアやプラグインの脆弱性の把握
      SQLインジェクションやクロスサイト・スクリプティングなど、Webアプリケーションの脆弱性診断を通じて、最新の攻撃手口に対応した対策が必要かどうかを判断。
    • 実際の攻撃リスクの定量評価
      ペネトレーションテストによって、実際に悪意ある攻撃者が侵入可能なポイントを実証し、リスクの深刻度を数値化することで、対応の優先順位を明確にします。

    ガイドラインに基づく対策と脆弱性診断の連携

    ガイドラインでは、EC加盟店に対して「脆弱性対策」の実施が求められています。具体的な対策例としては以下のようなものが挙げられます。

    • システム管理画面のアクセス制限と多要素認証の導入
    • データディレクトリの露見防止
    • 定期的な脆弱性診断とペネトレーションテストの実施
    • ウイルス対策ソフトの運用とシグネチャーの更新

    これらの対策は、診断結果をもとに、PCI DSS 準拠のための必要な修正や改善措置として実施されます。さらに、ガイドライン内では、不正利用対策としてEMV 3-D セキュアの導入や、リスクベース認証(RBA)の精度向上など、動的な対応策も推奨されています。脆弱性診断の結果を踏まえた上で、システムの安全性を確保するための重要な要素となります。

    具体的な脆弱性診断の手法と検査ポイント

    システム管理とアクセス制御の検査

    脆弱性診断で確認可能なポイント:管理画面ソフトウェアの既知脆弱性(例:古いバージョンの使用)や、デフォルトのパスワードが残っていないかなど、一般的なセキュリティ設定のチェックは脆弱性診断で検出できます。

    Webアプリケーションの脆弱性診断

    脆弱性診断で確認可能なポイント:SQLインジェクションやクロスサイト・スクリプティング(XSS)など、一般的なWebアプリケーション脆弱性は最新の診断ツールで検出可能です。ファイルアップロード機能における拡張子やファイルサイズの制限が設定されているかも、検証できます。

    補足:Webサーバーやアプリケーション全体の構成評価は、脆弱性診断だけでなく、運用監査も併用することが望ましいです。

    データディレクトリとサーバー設定の検査

    脆弱性診断で確認可能なポイント:公開ディレクトリに重要なファイルが誤って配置されていないかをチェックできます。重要ファイルの配置状況や非公開設定の適切性は、詳細な設定レビューや管理者へのインタビューを通じての評価もしくはペネトレーションテストが必要な場合があります。

    ウイルス対策とマルウェア検知の検査

    脆弱性診断で確認可能なポイント:ウイルス対策ソフトのシグネチャー更新状況や、定期的なフルスキャンが自動ログから確認できる場合があります。
    補足:実際の運用状況(更新頻度やスキャン実施の確実性)は、システム管理者への確認やログの監査が求められます。

    委託先管理と情報共有の確認:外部委託先のセキュリティ状況や、PCI DSS準拠、ガイドラインに基づく対策の実施状況は、脆弱性診断では検出できません。委託先との契約内容、セキュリティポリシーの文書、定期監査の結果などを通じて確認する必要があります。

    注 ) 上記の検査項目には、脆弱性診断で検出可能なものと、レビューや運用監査が必要なものが混在しています。脆弱性診断だけでは完全に評価できない項目については、管理者へのインタビューや設定ファイルのレビューなど、追加の確認が必要となります。

    脆弱性診断を実施するメリットと成功事例

    リスク低減と迅速な対応

    定期的な脆弱性診断により、システムの設定不備や新たに発見された脆弱性を早期に把握でき、対策の優先順位を明確にできます。実際に、あるEC加盟店では、脆弱性診断の結果を受けてWebサイトの設定見直しとパッチ適用を迅速に実施した結果、不正アクセスによる情報漏えい事故を未然に防いだ事例があります。また前述の通り、脆弱性診断だけでは検出できない項目もあります。あわせてコンサルティングサービスなどによる監査を利用することで、より堅牢なシステムを構築することができます。

    コンプライアンス遵守と信頼性向上

    ガイドラインに沿った対策を実施することで、PCI DSSや関連法令に準拠し、顧客や取引先からの信頼を得られます。その一環として、脆弱性診断および定期監査は第三者機関による評価や認証取得にもつながり、企業のセキュリティ体制の信頼性を向上させます。

    まとめ

    クレジットカード決済におけるセキュリティは、企業の信頼性や消費者の安全な利用環境に直結する重要な課題です。クレジットカード・セキュリティガイドライン【6.0版】に示されている対策の中でも、脆弱性診断はシステムの現状を正確に把握し、迅速な対策を講じるための基盤となります。

    定期的な脆弱性診断やペネトレーションテストを通じ、設定不備や最新の攻撃手法に対する脆弱性を検出し、必要な修正や改善措置を講じることで、不正利用被害のリスクを大幅に低減できるでしょう。また、診断結果をもとに、PCI DSSやガイドラインに沿った対策の実施が、企業のセキュリティレベル向上とコンプライアンス遵守に寄与するため、各企業や加盟店は今後も継続的に脆弱性診断を実施することが求められます。

    BBSecでは

    BBSecは、PCI SSC認定QSA(PCI DSS準拠の訪問審査を行う審査機関)です。準拠基準についての疑問や対応困難な状況があるといったような懸念・不安などは曖昧なままにせず、QSAにご相談いただくことをおすすめいたします。準拠に向けた適切な対応を検討するためのアドバイスや、事情に応じた柔軟な対応も可能です。

    お問い合わせはこちら
    ※外部サイトにリンクします。

    PCI DSS v4.0対応脆弱性診断サービス随時対応受付中!

    【※オプションサービス】脆弱性診断後対策支援サービス(VulCare)

    組織が直面するサイバー脅威やリスクに対して、迅速かつ効果的に対応するための助言型サービスです。最短で1ヶ月~年間の期間にわたってセキュリティの継続的な改善とリスク低減を実現するために、専門家による分析と提案を活用し、常に最新の脅威に対応するためにご活用ください。

    <サービス概要>

    診断結果をもとに、セキュリティの専門家が具体的な対策方法の助言を行い、最適な改善策を提供します。短期的な緊急対応から、長期的なセキュリティ強化まで、貴社のニーズに応じた柔軟なサポートを展開し、脆弱性から組織を守ります。
    お問い合わせはこちら


    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    ウェビナー開催のお知らせ

  • 2025年3月19日(水)13:00~14:00
    ランサムウェア攻撃の脅威~感染リスクを可視化する防御策の実践を紹介~
  • 2025年3月26日(水)13:00~14:00
    予防で差がつく!脆弱性診断の話~脆弱性による脅威とその対策~
  • 2025年4月16日(水)14:00~15:00
    知っておきたいIPA『情報セキュリティ10大脅威 2025』~セキュリティ診断による予防的コントロール~
  • 最新情報はこちら


    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。

    Security Serviceへのリンクバナー画像
    BBsecコーポレートサイトへのリンクバナー画像
    セキュリティ緊急対応のバナー画像

    脆弱性診断の基礎と実践!
    手動診断とツール診断の違いを徹底解説
    第2回:ツール診断のメリットとは?

    Share

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    ツール診断は、短時間で広範囲をスキャンし、コストを抑えながら効率的にセキュリティ対策を実施できる手法です。本記事は「脆弱性診断の基礎と実践」をテーマに全3回のシリーズのうちの第2回として、脆弱性診断の手法の一つであるツール診断のメリットや適しているケースについて解説します。

    第1回「手動診断のメリットとは?」はこちら

    ツール診断とは?

    ツール診断とは、セキュリティベンダーが商用または自社開発した脆弱性診断ツールを使用し、システムやアプリケーションのセキュリティ上の脆弱性を自動的に検出する手法です。自動診断とも呼ばれ、比較的手軽に実施できるため、開発段階での利用や定期的な簡易診断としても活用されています。ただし、機械的な検査であるため、過検知や誤検知が含まれることが多く、その結果は技術者が補正することで正確な情報が得られます。ツール診断は、コストを低減しつつ最新のセキュリティ状態を保つ手段として有効です。

    ツール診断の一般的な実施プロセス

    ツール診断は、一般的に以下の流れで実施されます。

    1.スキャンの対象設定

    • 診断対象のIPアドレス、ドメイン、アプリケーションURLなどを指定
    • 必要に応じて認証情報を設定し、ログイン後の動作も診断

    2.脆弱性スキャンの実行

    • 診断ツールが自動で対象システムをスキャンし、脆弱性を検出
    • 既知の攻撃パターン(シグネチャ)を照合し、不正アクセスのリスクを評価

    3.診断結果の解析

    • スキャン結果をもとに、発見された脆弱性の種類や影響範囲を整理
    • 誤検知が含まれていないかチェック(必要に応じて手動で確認)

    4.結果レポートによる対策検討

    • 検出された脆弱性のリスクレベルを分類(例:高・中・低)し、結果を出力
    • 修正が必要な項目をリストアップし、対応策を検討

    ツール診断のメリット

    ツール診断を実施するメリットは、特に以下の3つの点があります。

    1.短時間での診断が可能(大量のシステムやWebサイトを効率的にチェック)

    ツール診断の最大の強みは、短時間で一括チェックが可能な点です。

    • 手動診断では膨大な時間がかかる大規模システムでも、診断対象を絞ることにより迅速にスキャンが可能。
    • 企業が運営する複数のWebサイトやサーバを一度に診断できる。

    2.コストを抑えやすい(手動診断より低コストで運用可能)

    ツール診断は自動化によって効率的になり、手動診断より低コストでの運用が可能です。

    • エンジニアの人的コストを削減
      ・手動診断は専門のセキュリティエンジニアが時間をかけて実施するため、コストが高くなりがち。
      ・ツール診断は自動で診断を行うため、人的リソースを節約できる。
    • 継続的な診断でも費用負担が少ない
      ・手動診断は1回ごとの費用が高く、頻繁に実施するのが難しい。
      ・ツール診断ならライセンス契約やサブスクリプション型などのツールを利用するため、低コストで定期的に診断することが可能。
    • 導入・運用の負担が少ない
      ・クラウド型の診断ツールも多く、専用機材の導入不要でスムーズに利用開始ができる。

    3.定期的な診断が容易(スケジュールを自動化できる)

    セキュリティ対策は一度行えば終わりではなく、継続的な監視と対策が不可欠です。ツール診断を活用すれば、コストを抑えつつ、定期的なスキャンを自動で実施し、最新の脆弱性を常にチェックできます。

    • スケジュール設定で定期スキャンが可能
      ・ツールを活用すれば、毎週・毎月・四半期ごとの定期スキャンを自動化できる。
      システムの更新後(パッチ適用後など)の検証にも活用できる。
    • 継続的なセキュリティ監視ができる
      ・手動診断では頻繁に実施するのが難しいが、ツールなら日常的なセキュリティ監視が可能。
      ・システム改修のたびに手動診断を依頼するより、ツールを活用して迅速に問題を検出できる。

    ツール診断が適しているケース

    ツール診断は特に以下のケースで実施が推奨されます。

    1.定期的にスキャンしてセキュリティリスクを管理したい企業

    ツール診断を導入することで、定期的なスキャンを自動化し、常に最新のセキュリティ状態を維持できます。

    • システムのアップデート後に迅速なリスクチェックが可能
      ・OS、アプリケーション、ミドルウェアのアップデート後に、脆弱性が新たに発生していないか即時に確認ができる。
      ・システム改修や機能追加時の影響を即座に確認できる。
    • 運用中のシステムに影響を与えない
      日常業務に影響を与えず、バックグラウンドで実施できる。

    2.コストを抑えながらセキュリティ対策を進めたい場合

    セキュリティ診断を実施したいものの、手動診断の高コストがネックとなる組織にとって、ツール診断は費用対効果の高い選択肢です。

    • 人件費が抑えられるため、低コストで運用可能
    • 大規模なシステムでもコストを抑えやすい
      特に、中小企業や予算が限られた組織にとって、手軽にセキュリティ対策を実施できる手法となる。
    • 社内での脆弱性診断の内製化が可能
      手動診断は外部のセキュリティ専門企業へ依頼するケースが多いが、ツール診断は自社で運用可能なため、外部委託のコストを抑えられる。

    3.基本的な脆弱性を素早く把握したい場合

    ツール診断なら、開発段階や運用中のシステムに対して、迅速にリスクを把握し、適切な対応が可能になります。

    • 即時スキャンで迅速な脆弱性検出
    • 開発段階での脆弱性検出に活用
      ・開発中のWebアプリやシステムに対して、リリース前に簡易スキャンを実施できる。
      ・これにより、本番環境でのリスクを最小限に抑えられる

    ツール診断の限界

    ツール診断はコストを抑えて効率的に運用できる点がメリットですが、場合によってツール診断だけでは限界があります。

    1.誤検出や見落としの可能性がある

    ツール診断は、自動でシステムの脆弱性をチェックする仕組みですが、その診断結果には誤検知(False Positive)や見落とし(False Negative)が含まれる可能性があります。

    • 誤検知(False Positive)
      ・実際には問題のないコードや設定を「脆弱性あり」と誤って検出するケース。
      ・例:「このページの入力欄にSQLインジェクションのリスクがある」とツールが指摘するものの、実際には適切なエスケープ処理が施されている場合。
    • 見落とし(False Negative)
      ・実際には脆弱性が存在するのに「問題なし」と判定してしまうケース。
      ・例:カスタム開発された認証フローに不備があっても、一般的な攻撃パターンにマッチしないため検出されない。
    • 誤検知や見落としの原因
      ツールの設定ミス:適切なスキャン設定を行わないと、正しい診断結果が得られない。
      検出ロジックの限界:ツールは既知の脆弱性パターンをもとに診断を行うため、未知の脆弱性やゼロデイ攻撃の検出には弱い。
      環境依存の問題:特定のアプリケーションやネットワーク環境では正しく診断できないことがある。

    2.システム固有の脆弱性や複雑な攻撃パターンには対応できない

    ツール診断は、主に既知の脆弱性をパターンマッチングによって検出するため、システム固有の処理に関わる脆弱性や、複雑な攻撃パターンには対応できません。

    • システム固有の処理に関連する脆弱性の例
      決済システムの不正操作:カートに入れた商品の価格を改ざんする攻撃。
      アクセス制御の不備:本来は管理者のみアクセス可能な機能を一般ユーザが利用できてしまう。
      認証バイパス:特定のリクエストを送ることで、パスワードなしでログインできてしまう。
    • 複雑な攻撃パターンの例
      API連携を悪用した攻撃:ツール診断ではAPI間の不正な連携による情報漏えいを検出しづらい。
      ・多段階の攻撃手法(チェーン攻撃):攻撃者が複数の脆弱性を組み合わせて攻撃する手法は、ツール単独では検出が難しい。

    ツール診断は、効率的でコストパフォーマンスに優れたセキュリティ診断の手法ですが、その限界も理解し、必要に応じて手作業による診断と組み合わせることで、より信頼性の高いセキュリティ対策が可能となります。

    まとめ

    ツール診断は、自動化された脆弱性診断ツールを活用し、短時間で広範囲をスキャンできる効率的なセキュリティ対策です。手動診断と比べてコストを抑えながら、定期的な診断が容易に実施できるため、継続的なセキュリティリスク管理に適しています。また、基本的な脆弱性を素早く把握できるため、初期段階のリスク検出や、手動診断の補助としても活用可能です。しかし、ツール診断には誤検知や見落としといったリスクのほか、ビジネスロジックの脆弱性や複雑な攻撃手法の検出が難しいというデメリットが存在するため、単独では限界があります。そのため、より高度なセキュリティ対策を実現するには、手動診断との組み合わせが重要となります。

    Webアプリケーション脆弱性診断バナー

    CPEサービスリンクバナー

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    ―第1回「手動診断のメリットとは?」はこちら―
    ―第3回「手動診断とツール診断、どちらを選ぶべきか?最適な診断方法の選び方」はこちら―


    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。

    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。


    Security Serviceへのリンクバナー画像

    BBsecコーポレートサイトへのリンクバナー画像

    セキュリティ緊急対応のバナー画像

    情報セキュリティ10大脅威 2025
    -「地政学的リスクに起因するサイバー攻撃」とは?-

    Share

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    国家間の対立が深まる中、サイバー攻撃は政治・外交の手段として活用されるケースが増えています。国家支援型ハッカーグループによる標的型攻撃や、ランサムウェアを用いた攻撃が確認されており、日本もその標的となっています。本記事では、独立行政法人情報処理推進機構(IPA)の「情報セキュリティ10大脅威 2025」の第7位『地政学的リスクに起因するサイバー攻撃』について、国家間の緊張がもたらすサイバー攻撃の実態、日本への影響を解説します。

    IPA「情報セキュリティ10大脅威 2025」速報版の記事はこちらです。こちらもあわせてぜひご覧ください。『【速報版】情報セキュリティ10大脅威 2025 -脅威と対策を解説-
    https://www.sqat.jp/kawaraban/34353/

    【関連ウェビナー開催情報】
    弊社では4月16日(水)14:00より、「知っておきたいIPA『情報セキュリティ10大脅威 2025』~セキュリティ診断による予防的コントロール~」と題したウェビナーを開催予定です。10項目の脅威とその対策例について脆弱性診断による予防的コントロールの観点から講師が解説いたします。ご関心がおありでしたらぜひお申込みください。詳細はこちら

    新設された「地政学的リスクに起因するサイバー攻撃」

    「地政学注 1)的リスクに起因するサイバー攻撃」は2025年に初めて選定されたものです。IPAの「情報セキュリティ10大脅威」はその年に注意すべき脅威を「10大脅威選考会」によって選定しており、通常は攻撃手法等に焦点が置かれていますが、この項は政治的・外交的理由や背景という、動機の部分に焦点が置かれたカテゴリとなります注 2)。対象となる脅威グループの中には、サブグループがランサムウェア攻撃を実行したケースも確認されており注 3)、本項とランサムウェア攻撃との関連性も指摘されています。さらに、サイバー攻撃は一方的に行われるものではなく、紛争当事国や関係国間、政治的・外交的要因で緊張関係にある国家間で実施されるため、被害側として名前が挙げられている国が、同時に加害側となっている場合も存在します。

    日本を対象にした事例

    地政学的リスクに起因するサイバー攻撃の脅威が新設された背景には、日本を標的としたサイバー攻撃が増加していることなどが挙げられます。例えば以下のような事例があります。

    MirrorFace(Earth Kasha)による攻撃キャンペーン

    概要

    • MirrorFaceは中国語を使用する APT (Advanced Persistent Threat) グループであり、日本を主なターゲットとしている組織です。多くの情報から、APT10の傘下組織の1つと考えられています*1
    • 攻撃キャンペーンの主な目的は、安全保障や先端技術に関する情報窃取とされています。

    主なキャンペーン

    特徴と補足:いずれのキャンペーンでもマルウェアの使用が確認されています。特に、スピアフィッシングキャンペーンではLiving off the land戦術を用いることで、通常の検出を回避する工夫が見られます。また、MirrorFaceはEU向けの攻撃も行っているとの指摘があります*5

    Living off the land 戦術(通称 LOTL)とは
    システムに元々存在するネイティブツール(Living off the Land バイナリ、LOLBins)を悪用します。これにより、通常のシステムアクティビティに紛れ込み、検出やブロックが難しくなるとともに、オンプレミス、クラウド、ハイブリッド環境(Windows、Linux、macOSなど)で効果的に運用され、カスタムツールの開発投資を回避できるという利点があります。

    関連の情報セキュリティ10大脅威項目

    • 3位:システムの脆弱性をついた攻撃
    • 5位:機密情報などを狙った標的型攻撃

    北朝鮮の動向

    北朝鮮は、国際連合安全保障理事会決議に基づく制裁措置を回避しながら外貨を獲得するため、さまざまな活動を展開しています。ここでは、人材の採用に関連する2つの事例に注目します。

    暗号資産の窃取を目的とした攻撃

    概要:昨年、暗号資産関連事業者から約482億円相当の暗号資産が窃取された事件が発生しました。公開されている事件の流れは以下のとおりです。注 4)

    • 暗号資産関連事業者にコールドウォレットソフトウェアを提供する企業(以下A社)の従業員Bに、ビジネス専用SNSから偽のリクルーターが接触。(Bは契約中のクラウドサービス上にあるKubernetesの本番環境にアクセスできる権限を持っていた。)
    • 偽のリクルーターは、採用プロセスの一環として、ソフトウェア開発プラットフォーム上から指定されたPythonスクリプトをBのレポジトリにコピーするよう指示。
    • コピー後、何らかの方法でBの業務用端末で当該Pythonスクリプトが実行され、本番環境へのアクセス認証情報が窃取される。
    • 不正アクセス時には、正規のトランザクションに不正なデータを追加する細工が施された。

    補足:暗号資産全体の窃取額は2022年がピークでしたが、北朝鮮による攻撃は昨年がピークとなっており、攻撃成功率も上昇している*6ため、2025年も引き続き警戒が必要です。

    偽IT労働者問題

    • 概要:2024年3月に、財務省、外務省、警察庁、経済産業省が発表。北朝鮮IT労働者に関する企業などに対する注意喚起により、身分を偽った北朝鮮IT労働者が海外企業で業務に従事している事例が存在することが明らかになりました。
    • 米国での事例:司法省が2025年1月23日付で訴追を公表した事例では、以下のような例が確認されています。被害企業が発送した業務用PCを協力者が受け取り、ラップトップファーム注 5)に設置
      ⇒被害企業のポリシーに反し、リモートデスクトップ接続用ソフトウェアがインストールされた。
      北朝鮮の偽IT労働者は、VPN経由で他国からアクセスして業務に従事
      ⇒一部企業ではマルウェアのインストールを試みた事例も報告されています*7
    • 日本国内の状況:日本では具体的な事例は報道されていませんが、2025年1月に発表されたアメリカ企業のレポートにより、日本企業でも偽IT労働者が雇用されている事実が明らかになりました。このレポートにある企業はスタートアップ企業が多く、中小企業における採用プロセスや業務委託プロセスでのチェック体制の確立が求められます。

    関連の情報セキュリティ10大脅威項目

    • 5位:機密情報などを狙った標的型攻撃
    • 6位:リモートワーク等の環境や仕組みを狙った攻撃

    SQAT.jpでは以下の記事でも解説しています。こちらもあわせてぜひご参照ください。
    標的型攻撃とは?事例や見分け方、対策をわかりやすく解説
    テレワーク環境に求められるセキュリティ強化

    諸外国を対象にした事例

    以下、各国・地域における地政学的リスクに起因するサイバー攻撃の事例を紹介します。

    台湾

    概要:台湾政府は、中国からのサイバー攻撃が2023年の約2倍に増加したと発表*8しています。多くの攻撃は検知・ブロックされるものの、Living off-the-landなどの手法により、検出や防御が回避されるケースが報告されています。また、フィッシングキャンペーン、DDoS攻撃、ランサムウェア攻撃など、幅広い攻撃が展開されています。

    関連の情報セキュリティ10大脅威項目:

    • 1位:ランサムウェア攻撃による被害
    • 3位:システムの脆弱性をついた攻撃
    • 5位:機密情報などを狙った標的型攻撃
    • 8位:分散型サービス妨害攻撃(DDoS)

    シンガポール

    概要:2024年6月、シングテル(シンガポールテレコム)に対して、中国の脅威アクターVolt Typhoonによる攻撃が報じられました(2024年11月の報道*9)。シングテルおよびその親会社、さらにはシンガポール政府からの公式コメントは得られていませんが、アメリカの通信事業者への攻撃テストとして実施された可能性が指摘されています。

    関連の情報セキュリティ10大脅威項目:詳細不明のため該当なし

    アメリカ

    アメリカに対するサイバー攻撃は、政治的・外交的背景に基づく複数の事例が報告されています。特にSalt Typhoon に関連する以下の事例を紹介します。

    通信事業者に対する攻撃

    米財務省に対する攻撃

    概要:2024年12月30日、中国の脅威アクターによる侵害行為について、上院へ財務省が通知を行いました*14。VPNを使用しないリモートアクセスツールの脆弱性を悪用した攻撃が、同年12月上旬に発覚し、イエレン長官(当時)など高官が侵害されたとの情報*15もあります。

    関連の情報セキュリティ10大脅威項目:

    • 3位:システムの脆弱性を突いた攻撃
    • 5位:機密情報等を狙った標的型攻撃
    • 7位:リモートワーク等の環境や仕組みを狙った攻撃

    中国

    概要:中国も他国の脅威アクターからの侵害行為が報告されています。報道は少ないものの、ベトナム政府の支援を受けるとされるAPT32(別名 OceanLotus)が、GitHub上のオープンソースセキュリティツールプロジェクトからマルウェアを中国のサイバーセキュリティ研究者にダウンロードさせ、バックドアを形成した事例*16が確認されています。

    関連の情報セキュリティ10大脅威項目:

    • 5位:機密情報等を狙った標的型攻撃

    北欧・バルト三国

    概要:北欧・バルト三国では、各国間をつなぐ通信用・電力用の海底ケーブルが、相次いで船舶によって破壊された事件*17が記憶に新しいでしょう。欧州委員会は12月25日に発生したケーブル破壊に関する共同声明で、ロシアの影響を指摘しています。

    関連の情報セキュリティ10大脅威項目:物理破壊によるため該当なし

    ポーランド

    概要:大統領選挙を控えるポーランドでは、ロシアによる国民の買収に対抗するため、「選挙の傘(Parasol Wyborczy)」と呼ばれる選挙保護プログラムを立ち上げました*18。また、2024年12月には、ルーマニアの大統領選挙の第1回投票が、ロシアによる工作を理由に無効とされ、2025年に再投票が決定しています*19

    関連の情報セキュリティ10大脅威項目:情報セキュリティ10大脅威 2025の「組織」向け脅威では該当なし

    イスラエルとその対抗勢力

    イスラエルのガザ地区侵攻に伴い、以下のようなサイバー攻撃と思われる事件が発生しています。

    イスラエル側の攻撃事例

    ただし、イスラエルは国内企業に対してスパイウェアの開発・運営を公認しているなど、サイバー空間における倫理観が日本とは大きく異なるため、注意が必要です。

    イスラエルへの攻撃事例

    関連の情報セキュリティ10大脅威項目:

    • 1位:ランサムウェア攻撃による被害
    • 5位:機密情報等を狙った標的型攻撃
    • 8位:分散型サービス妨害攻撃(DDoS攻撃)

    注:
    1) 本項では地政学をCritical geopolitics(批判的地政学)という地理学の一分野のうちの popular geopolitics に相当するものとして取り扱う。Popular geopoliticsについての定義は次のURLなどを参照。
    https://pmc.ncbi.nlm.nih.gov/articles/PMC7315930/
    https://www.e-ir.info/2018/09/16/plotting-the-future-of-popular-geopolitics-an-introduction/
    2) IPA からのプレスリリース(https://digitalpr.jp/r/103159)を参照。
    3) Lazarus GroupのサブグループであるAndarielがランサムウェア「Maui」や「Play」、「Lockbit2.0」を使用した例や、イランのAPTがNoEscape、Ransomhouse、ALPHVなどのランサムウェアアフィリエイトと協業したケース、APT10との関連が疑われるDEV-0401がランサムウェア「Lockbit2.0」を実行したケース、本文にあるイラン政府をスポンサーとする脅威グループがランサムウェア攻撃を行ったケースなどが挙げられる。
    https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-040a
    https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-241a
    https://jsac.jpcert.or.jp/archive/2024/pdf/JSAC2024_2_6_hayato_sasaki_jp.pdf
    4) 警察庁の注意喚起、被害企業によるプレスリリースをもとに記載。
    https://www.npa.go.jp/bureau/cyber/pdf/020241224_pa.pdf
    https://www.ginco.co.jp/news/20250128_pressrelease
    5) ラップトップファームは、被害企業が発送したPCをホストする設備を指す。2024年8月8日に訴追されたケースでは、自宅を協力者がラップトップファームとして提供していた。
    https://www.justice.gov/usao-mdtn/pr/department-disrupts-north-korean-remote-it-worker-fraud-schemes-through-charges-and


    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    ウェビナー開催のお知らせ

  • 2025年3月12日(水)14:00~15:00
    サイバー攻撃に備えるために定期的な脆弱性診断の実施を!-ツール診断と手動診断の比較-
  • 2025年3月13日(木)11:00~12:00
    脆弱性診断、やりっぱなしになっていませんか?高精度診断と充実サポートでリスクを最小化〜サイバー保険で安心 診断から守るまでを徹底解説〜
  • 2025年3月19日(水)13:00~14:00
    ランサムウェア攻撃の脅威~感染リスクを可視化する防御策の実践を紹介~
  • 最新情報はこちら


    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。

    Security Serviceへのリンクバナー画像
    BBsecコーポレートサイトへのリンクバナー画像
    セキュリティ緊急対応のバナー画像