サイバー攻撃 | SQAT®.jp

2025年8月14日2025年9月28日

狙われる医療業界2025 医療機関を標的とするサイバー攻撃

Security NEWS TOPに戻る
バックナンバー TOPに戻る

前回の記事の公開から約5年が経ちましたが、医療機関を標的とするサイバー攻撃の脅威はむしろ増加しています。特にランサムウェアによる被害は国内外問わず深刻化し、患者の命が危険に晒されてしまう可能性も出てきています。いまやインシデントを“他人事”とせず、「命を守るもの」という認識で組織一丸となってセキュリティ対策の見直しをすることが重要です。本記事では医療機関へのサイバー攻撃の脅威とセキュリティ対策の見直しのためのポイントをご紹介します。

2020年12月公開の記事「狙われる医療業界―「医療を止めない」ために、巧妙化するランサムウェアに万全の備えを」をまだご覧になっていない方はぜひ、この機会にご一読ください。

世界的に高まる医療分野へのサイバー攻撃

ランサムウェアによる被害は世界中で後を絶たず、いまや医療分野は重要な標的の一つとされています。米国のセキュリティ監視サイトRansomware.liveの統計によれば、2025年時点でランサムウェア被害を受けた業種の中で、医療・ヘルスケア関連は第3位に位置しています。医療業界が金融や行政に並ぶほどの標的となっている現実は、決して無視できません。

Ransomware.live統計円グラフ（ランサムウェア被害を受けた業界） — 出典：Ransomware.live「Ransomware Statistics for 2025」（https://www.ransomware.live/stats）

国内でも相次ぐ深刻な被害事例

日本国内でも、深刻な被害事例が相次いで報告されています。たとえば2024年3月、鹿児島県の国分生協病院では、ランサムウェアによるサイバー攻撃により、電子カルテをはじめとする複数のシステムが使用できなくなり、患者の診療に支障が出るという被害が発生*1しました。また、同年の5月に起きた岡山県精神科医療センターでは、外来診療の一部を中止せざるを得ない事態に追い込まれました*2。このように、サイバー攻撃は単に業務の一時停止を招くだけでなく、医療提供そのものに影響を与え、患者の命を危険に晒す恐れがあるという点で、他業種におけるサイバー被害とはその意味において一線を画します。

サイバー攻撃は“日常の医療”を止めうる

Silobreaker社がまとめた医療業界に関する分析レポートでも、ヘルスケア分野に対するサイバー脅威の増加は顕著であり、医療情報の価値の高さとシステムの脆弱性が攻撃を呼び込んでいると指摘されています。国内外でのこうした事例は、「サイバー攻撃が日常の医療を止め得る存在である」という現実を強く物語っています。特に日本では、「まさかうちが」という意識が依然として根強く残っているのが現状ですが、医療機関はすでに、攻撃者にとって“おいしいターゲット”であることを自覚すべき時期に来ています。

攻撃者はなぜ医療機関を狙うのか

攻撃側の論理①わきの甘さ＝「機会要因」の存在

医療機関がサイバー攻撃の標的になる。―これはもはや偶発的なものではなく、確かな傾向として定着しつつあります。過去の記事でも言及しましたが、2025年現在ではその背景にある“攻撃側の論理”がより鮮明になってきています。

多くの人が誤解しがちなのは、「医療機関は狙われている」という表現があたかも特定の施設に対して意図的な攻撃が行われている、という印象を与えてしまう点です。確かに、一部には病院のネットワークやデータに照準を合わせた標的型攻撃も存在します。しかし実態としては、多くの場合、攻撃者は最初から「病院を狙って」いるわけではありません。攻撃者は、不特定多数の組織や端末に対して無差別にスキャンをかけ、リモートアクセスサービスやVPN機器、ファイル共有サーバといった、公開された情報から侵入経路を探しています。そしてその中で、意図せず医療機関が引っかかるのです。つまり、標的にされたのではなく、“侵入可能だったから侵入された”というのが現実なのです。

医療機関では古いシステムが更新されずに残っている、または、ネットワークの分離が不完全なまま稼働していることがあります。また、パスワードの使い回し、脆弱性が放置されたソフトウェア、機器の寿命サイクルの見落としなど、基本的なセキュリティ対策に隙があることが少なくありません。そして、攻撃者にとっては、それこそが格好の「入り口」になるのです。

攻撃側の論理②「動機」金になる標的としての医療機関

ランサムウェア攻撃を実行するサイバー攻撃者の目的は、金銭的な利益です。医療機関には、個人情報（診療記録、保険情報、連絡先など）や経営上の内部資料、研究データといった売買可能な資産が豊富にあります。また、医療機関は儲かっているように思われており、そのうえで業務の中断が患者の生命に直結するため、身代金の支払いに応じやすいに違いない、と見られているわけです。つまり、医療機関が狙われるのは、「わきが甘いから侵入しやすい」＋「金銭的利益を得やすい重要なデータの宝庫である」＝“コストパフォーマンスに優れた良い標的”と見なされているからと考えられます。

2020年以降医療サイバーセキュリティはどう変わったのか

制度とガイドラインの整備が進む

前回の記事からの5年間で、医療分野のサイバーセキュリティを取り巻く制度やガイドラインも着実に充実してきています。例えば2025年5月に、厚生労働省から「医療機関等におけるサイバーセキュリティ対策チェックリスト（令和7年5月版）」が公開され、以前に比べて具体的かつ実践的な内容になっています。クラウド環境やBCP（事業継続計画）への配慮、IoT・BYODといった新たなリスクへの言及も盛り込まれています。

また、CSIRT（Computer Security Incident Response Team）を設けたり、EDR（Endpoint Detection and Response）などの対策製品を導入したりする医療機関も増えてきました。CSIRTを中心とした地域単位の訓練や、院内外のネットワーク構成の共有と点検を含む取り組みが、学術会議や業界団体の枠組みとして増加しています*3。サイバー攻撃に備える土台作りは、着実に進みつつあるといえるでしょう。

2025年いまだ残る基本的な課題

一方で、5年前と変わらぬ問題を目にする場面も少なくありません。その一つが、「パスワード管理」です。初期設定のまま放置されたアカウント、業務上の利便性から生まれる使い回し。こうしたわきの甘さが、攻撃者の入り口になることは以前から分かっていたはずですが、2024年の岡山県精神科医療センターの事例などを見ると、なおも同様の傾向が残っていることがうかがえます。また、電子カルテやシステムのクラウド化に対しても、依然として現場では極端な見方が交錯しているように思えます。「クラウドだから安全」と根拠のない安心感を持つ一方で、「クラウドだから怖い」「電子カルテという形式そのものが危ない」といった漠然とした不安も根強く見受けられます。

どちらにしても共通するのは、仕組みやリスクを正しく理解しないまま思い込んでいるケースが少なくないということです。実際には、クラウドの活用は有効な手段のひとつでありつつも、アクセス制御や端末管理、ネットワーク構成など、設定次第でその安全性は大きく変化します。こういった基本的な理解の重要性や注意点は、5年前から現在も変わらずに示され続けてきたものですが、いまだに“本質的な理解”が広がり切っていないように見受けられます。

基本的な課題の根底には、インシデントを“自分事”として捉えづらい空気があるのかもしれません。実際に深刻な被害を受けた他機関の事例を目にしても、「うちには関係ない」とどこかで思ってしまう感覚。それは、ごく自然な反応である一方で、取り返しのつかないインシデントに繋がりかねません。

自組織のセキュリティ対策の見直しを

医療機関向けチェックリストやガイドラインの活用

ここまで見てきたように、医療機関に対するサイバー攻撃は後を絶たず、その影響は診療の継続性や患者の安全、そして組織の信頼性にまで及びます。「自分たちは大丈夫だろう。」「人命最優先で、他を考えている余裕はない。」―そのように考えがちですが、日々の業務に追われている医療現場こそ、今一度立ち止まって、対策の棚卸しを行うことが求められています。対策の見直しにあたっては、厚生労働省が公開している「医療機関等におけるサイバーセキュリティ対策チェックリスト（令和7年5月版）」の活用が効果的です。

厚生労働省「医療機関等におけるサイバーセキュリティ対策チェックリスト（令和７年５月）」https://www.mhlw.go.jp/content/10808000/001253950.pdf

本チェックリストは、技術的な対策だけでなく、組織体制や訓練、業者選定の観点まで網羅されており、現場レベルでも活用しやすい実践的な内容となっています。また、業界全体で参照される基準として、次のようなガイドラインも押さえておくとよいでしょう。

厚生労働省「医療情報システムの安全管理に関するガイドライン　第6.0版（令和5年5月）」
経済産業省・総務省「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」

これらの資料には、医療の特殊性を踏まえた対応策が具体的に記載されており、ベンダや関係業者との連携の際にも参考となります。

現場の声と経営的視点をつなげる「可視化」

セキュリティ対策は単なる技術的作業にとどまらず、組織全体で「守るべきもの」を共通認識することが大切です。そのためにも、経営層が積極的に関与し、現場の声を聴きながら継続的な投資と改善を進めていくことが求められます。医療機関にとって、セキュリティはコストではなく、患者の信頼と組織の生命線であることを改めて認識すべきです。その助けになるのが、リスクの「可視化」です。

仮に端末のひとつがマルウェアに感染したとき、その端末が院内のどの機器と通信しているのか、そこから電子カルテや予約システムにアクセスされたりしないか、バックアップはきちんと機能するかなどなど…。こうした攻撃時の経路や起きうる事象をあらかじめ可視化し、把握しておくことは、被害拡大の防止やインシデント対応の迅速化に大きな効果をもたらすのみならず、経営層の理解を得ることにもつながります。可視化によって得られる「想定していなかった侵入経路」「明らかになる不十分なセキュリティ対策」「攻撃発生時に起きうる具体的な被害」といった情報が、経営層や多くの医療従事者に理解してもらい、組織全体で防御力を高めるための重要な意思決定のための正しい判断材料となりえるでしょう。

BBSecでは

BBSecでは以下のようなご支援が可能です。お客様のご状況に合わせて最適なご提案をいたします。詳細・お見積りについてのご相談は、以下のフォームよりお気軽にお問い合わせください。後ほど、担当者よりご連絡いたします。

アタックサーフェス調査サービス

インターネット上で「攻撃者にとって対象組織はどう見えているか」調査・報告するサービスです。攻撃者と同じ観点に立ち、企業ドメイン情報をはじめとする、公開情報（OSINT）を利用して攻撃可能なポイントの有無を、弊社セキュリティエンジニアが調査いたします。

また費用の問題から十分な初動対応ができないといった問題が発生しかねない状況を憂え、SQAT^® 脆弱性診断サービスのすべてに、サイバー保険を付帯させていただいています。

サイバー保険付帯の脆弱性診断サービス

BBSecのSQAT^® 脆弱性診断サービスすべてが対象となります。また、複数回脆弱性診断を実施した場合、最新の診断結果の報告日から1年間有効となります。詳細はこちら。
https://www.bbsec.co.jp/service/vulnerability-diagnosis/cyberinsurance.html
※外部サイトにリンクします。

エンドポイントセキュリティ

組織の端末を24時間365日体制で監視し、インシデント発生時には初動対応を実施します。
https://www.bbsec.co.jp/service/mss/edr-mss.html
※外部サイトにリンクします。

インシデント初動対応準備支援

体制整備や初動フロー策定を支援します。
https://www.bbsec.co.jp/service/evaluation_consulting/incident_initial_response.html
※外部サイトにリンクします。

ウェビナー開催のお知らせ

2025年8月20日（水）13:00～13:30
「EC加盟店・PSP必見！クレジットカード・セキュリティガイドライン6.0版対応ウェビナー」

2025年8月27日（水）13:00～14:00
「【最短7営業日で診断＆報告】サイバー保険付帯脆弱性診断「SQAT® with Swift Delivery」のご紹介」

2025年9月3日（水）13:00～14:00
「止まらないサイバー被害、その“対応の遅れ”はなぜ起こる？～サイバー防衛の未来を拓く次世代XDR：大規模組織のセキュリティ運用を最適化する戦略的アプローチ～」

最新情報はこちら

Security NEWS TOPに戻る
バックナンバー TOPに戻る

2025年7月10日2025年8月14日

ドメイン名偽装で検知を回避するWordPressマルウェアの脅威と対策

Security NEWS TOPに戻る
バックナンバー TOPに戻る

2025年7月、セキュリティ企業SucuriがWordPressを狙う新たなマルウェア攻撃を発見・公表しました。今回公表された「SEOスパム型WordPressプラグイン」による攻撃は従来の攻撃と比較して手口が巧妙化しており、世界中のWebサイト管理者にとって深刻な脅威となっています。本記事では、攻撃の手口と被害の特徴、そして有効な対策について解説します。

お問い合わせ

お問い合わせはこちらからお願いします。後ほど、担当者よりご連絡いたします。

攻撃手法

ドメイン偽装によるマルウェア検知回避

今回発見されたマルウェアは、感染したWordPressサイトのドメイン名をそのままプラグイン名やフォルダ名に偽装して設置されます。これにより、管理者や一般ユーザーがファイル一覧を確認しても、正規のプラグインと見分けがつきにくい構造になっています。この偽プラグインは高度に難読化されたコードで構成されており、セキュリティ対策ソフトによる検知も困難です。

検索エンジン限定のSEOスパム注入

SEOスパムの注入は、Googleなどの検索エンジンのクローラを検知した場合のみ実行されます。通常の訪問者には正規のページが表示されるため、管理者も異常に気付きにくく、発見が遅れる原因となります。検索エンジンのみにスパムコンテンツを返すことで、検索順位の操作や不正なトラフィック誘導が行われます。

C2サーバとの通信と外部指令の受信

この偽プラグインの内部には、base64で難読化されたC2（コマンド＆コントロール）サーバ※ のドメイン情報が隠されています。偽プラグインは定期的にC2サーバへ外部リクエストを送り、攻撃者からの指示を受け取ります。これにより、スパム内容の動的な更新や追加のマルウェア配布など、攻撃の手口が柔軟に変化する仕組みが実装されています。

※C2（コマンド＆コントロール）サーバ…サイバー攻撃者が外部から侵害システムと通信を行い、命令と制御を行う目的で用いられる。

マルウェアによる被害と影響

この種のマルウェアは、通常の利用者やサイト管理者が直接アクセスした場合には一切異常を示さないため、発見が遅れがちです。Googleなどの検索エンジン経由でのみスパムが表示されるため、被害に気付いたときにはすでに検索結果にスパムページが表示されていたり、検索順位が大幅に下落しているケースも多く、ブランドイメージや集客に深刻な影響を与えたりするおそれがあります。また今回の例は、WordPressのプラグインエコシステムを悪用したサプライチェーン攻撃の一例とも言えます。公式リポジトリを介さず、外部から導入されたプラグインやテーマを通じて感染が広がるため、信頼できる配布元からのみソフトウェアを導入することが重要です。

有効な対策と管理者が取るべき予防措置

Webサイト管理は特に以下のような対策を取り、異常が見られた場合は速やかに専門家へ相談することをおすすめします。

WordPressのプラグインやテーマは必ず公式リポジトリや信頼できるベンダーからのみ入手する
不審なファイルや見覚えのないプラグインが存在しないか、定期的にサーバ内を確認する
セキュリティプラグインやWebアプリケーションファイアウォール（WAF）、管理画面への多要素認証を導入する
Google Search Console等で検索結果の異常を監視する

まとめ

SEOスパム型の偽装WordPressプラグインは、検索エンジンのクローラを標的にしてスパムコンテンツを注入し、通常の訪問者には正規ページを返すという極めて巧妙な手口です。攻撃者は感染サイトのドメイン名をそのままプラグイン名やフォルダ名に偽装し、管理者の目を欺きます。さらに、コード内部にはbase64で難読化されたC2サーバ情報が隠され、外部からの指令に応じて動的にスパム内容を更新できる仕組みも組み込まれています。

このような手法は、発見が遅れやすく、検索順位の下落やサイトの信頼性低下など、経営や運営に深刻な影響を及ぼすリスクがあります。特に、公式リポジトリを介さないプラグインやテーマの導入が感染経路となるケースが多いため、日常的なセキュリティ意識と運用管理の徹底が不可欠です。

被害を最小限に抑えるためには、信頼できる配布元からのみソフトウェアを導入する、サーバ内の不審なファイルやプラグインを定期的に点検する、Google Search Consoleなどで検索結果の異常を監視するなど、複数の対策を組み合わせることが重要です。

BBSecでは：セキュリティソリューションの活用

高度なサプライチェーン攻撃や難読化マルウェアに対抗するため、ブロードバンドセキュリティでは多層防御の観点から次のようなソリューションを強くおすすめします。

エージェント型Webサイトコンテンツ改ざん検知サービス

WordPressサイトのファイルやディレクトリの改ざんをリアルタイムで監視し、異常があれば即座にアラートを発します。正規のプラグイン名を偽装した不審なファイルの追加や書き換えも検知しやすく、被害の早期発見に役立ちます。

https://www.bbsec.co.jp/service/vd-maintenance/manipulation.html
※外部サイトにリンクします。

脆弱性診断サービス

WordPress本体やプラグイン、テーマの設定や実装に潜む既知の脆弱性を定期的に洗い出すサービスです。悪用されやすい箇所を事前に把握し、攻撃の入り口を減らします。診断結果に基づき、不要なプラグインの削除や設定の見直しを行うことで、リスク低減につながります。

ペネトレーションテスト

実際の攻撃者の視点でお客様のシステムに実装済みのセキュリティを検証するサービスです。自動化された攻撃だけでなく、手動による高度な手法も用いるため、通常の診断では見つけにくいサプライチェーンリスクや運用上の盲点も洗い出すことが可能です。

これらのサービスを組み合わせて導入することで、巧妙化するマルウェア攻撃などへの対応力を大幅に高めることができます。BBSecとしては、エージェント型改ざん検知、脆弱性診断、ペネトレーションテストをパッケージ化した多層防御ソリューションを強くご提案いたします。これにより、WordPressサイト運営者の方が安心してビジネスを継続できる環境づくりをサポートいたします。ご希望の方には、無料相談や初回診断も承っております。お気軽にご相談ください。

お問い合わせ

お問い合わせはこちらからお願いします。後ほど、担当者よりご連絡いたします。

【参考情報】

ウェビナー開催のお知らせ

2025年7月16日（水）14:00～15:00
「進化するランサムウェア攻撃-国内最新事例から学ぶ！被害を防ぐ実践ポイント10項目を解説-」

2025年7月23日（水）14:00～15:00
「急増するフィッシング攻撃の実態と対策〜企業を守る多層防御とは〜」

2025年7月30日（水）13:00～13:50
「Webサイトの脆弱性はこう狙われる！OWASP Top 10で読み解く攻撃と対策」

2025年8月5日（火）14:00～15:00
「企業サイトオーナー向けユーザーからのレピュテーションを高めるWebサイトの在り方-Webサイトを取り巻くリスク・規制・要請とユーザビリティ向上-」

最新情報はこちら

Security NEWS TOPに戻る
バックナンバー TOPに戻る

2025年4月8日2025年5月8日

【警告】CVE-2025-22457 脆弱性悪用事例と対策
–サイバー脅威の全貌–

Security NEWS TOPに戻る
バックナンバー TOPに戻る

本記事は、Google Cloud Blogで2025年4月3日に公開された「Suspected China-Nexus Threat Actor Actively Exploiting Critical Ivanti Connect Secure Vulnerability(CVE-2025-22457)」の情報をもとに、脆弱性の概要、攻撃手法、最新の悪用事例、そして推奨対策について解説します。

はじめに

昨今、エッジデバイスやVPNシステムを狙ったサイバー攻撃が急増しています。その中でも、Ivanti Connect Secure（ICS）における脆弱性「CVE-2025-22457」が、2025年4月3日にIvantiによって公開され、実際に悪用されていることが確認されました。MandiantとIvantiの共同調査により、ライフサイクルが終了したICS 9.Xや、ICS 22.7R2.5以前のバージョンが標的となっています。

脆弱性の概要とその影響

CVE-2025-22457は、バッファオーバーフローに起因する重大な脆弱性です。攻撃者がこの脆弱性を悪用すると、リモートから任意のコードが実行可能となり、企業のVPNシステムに対して深刻なセキュリティリスクが生じます。対象は、ICS 22.7R2.5以前のバージョンおよび旧バージョン（ICS 9.X）で、攻撃成功時には不正アクセス、情報漏洩、システムの乗っ取りなどが懸念されます。

悪用事例と新たなマルウェアの動向

調査によると、初期の悪用は2025年3月中旬に確認されています。攻撃が成功すると、以下のような新たなマルウェアファミリーが展開されることが判明しました。

TRAILBLAZE
シェルスクリプト形式のインメモリオンリードロッパー。システム内の特定プロセスに不正コードを注入する足がかりとなります。

BRUSHFIRE
SSL_readのフックを利用するパッシブバックドアで、不正な通信を密かに行います。

SPAWNエコシステム
SPAWNSLOTH、SPAWNSNARE、SPAWNWAVE など、連携してシステム内の不正操作やログ改ざんを実施するツール群です。

これらのマルウェアは、シェルスクリプトドロッパーを起点に、ターゲットプロセス内へ段階的に展開される仕組みとなっており、システム再起動後にも再展開される可能性があるため、持続的な監視と迅速な対策が求められます。

技術的な攻撃手法の解説

攻撃の初期段階では、シェルスクリプトが以下のような手順で実行されます。

プロセスの特定
ターゲットとなる/home/bin/webプロセス（特に、子プロセスとして実行中のもの）を検出

一時ファイルの生成
/tmpディレクトリに、対象プロセスのPIDやメモリマップ、バイナリのベースアドレス、さらにマルウェア本体が格納された一連のファイルが作成される

マルウェアの注入
生成された一時ファイルを利用し、TRAILBLAZEドロッパーが実行。これにより、BRUSHFIRE パッシブバックドアが対象プロセス内へ注入される

クリーンアップ
一時ファイルや不要なプロセスは削除され、攻撃自体は非永続的な形で行われる

この攻撃手法は非常に巧妙であり、既存のパッチ対策や監視体制を回避するために設計されています。

脅威アクターとその背景

調査機関GTIG（Google Threat Intelligence Group）の報告によると、今回の攻撃は、中国関連の疑いがある諜報グループ「UNC5221」によるものと見られています。UNC5221は、過去にもゼロデイ攻撃やエッジデバイスへの不正侵入を実施しており、今回の攻撃でも従来の脆弱性を細かく解析した上で悪用していると評価されています。

推奨対策と今後の対応

MandiantとIvantiは、以下の対策を強く推奨しています。

迅速なパッチ適用
2025年2月11日にICS 22.7R2.6で公開されたパッチを、対象システムに速やかに適用すること

監視体制の強化
不審なコアダンプや、Integrity Checker Tool（ICT）の異常な動作が確認された場合、即座に対応する体制を整えること

セキュリティツールの活用
内部および外部の監視ツールを併用し、システムの健全性を定期的にチェックすること

これらの対策により、攻撃によるリスクを最小限に抑え、企業全体のセキュリティレベルの向上が期待されます。

まとめ

CVE-2025-22457 の悪用事例は、エッジデバイスを狙った攻撃が日々進化している現状を示しています。企業や組織は、最新パッチの適用と継続的な監視を徹底し、サイバー攻撃に対する防御策を強化する必要があります。今後も最新のセキュリティ情報に注意を払い、信頼性の高い情報源からのアドバイスを参考にすることが重要です。

Security NEWS TOPに戻る
バックナンバー TOPに戻る

サイバーインシデント緊急対応

ウェビナー開催のお知らせ

2025年4月9日（水）13:00～14:00
「今さら聞けない！スマホアプリのセキュリティあれこれ」

2025年4月16日（水）14:00～15:00
「知っておきたいIPA『情報セキュリティ10大脅威 2025』～セキュリティ診断による予防的コントロール～
」

2025年4月23日（水）14:00～15:00
「今知るべき！サポート切れのソフトウェアへのセキュリティ対策ガイド」

2025年4月30日（水）13:00～13:30
「CVSSとSSVCで実践する次世代脆弱性管理：サイバー攻撃対策セミナー2024」

最新情報はこちら

2025年2月25日2025年8月12日

テレワーク環境に求められるセキュリティ強化

Security NEWS TOPに戻る
バックナンバー TOPに戻る

テレワークの普及に伴い、セキュリティ対策の重要性が一層高まっています。特に、在宅勤務やモバイルワークなど、多様な働き方が浸透する中で、情報漏えいや不正アクセスといったリスクへの対応が求められます。本記事では、最新のガイドラインや具体的な対策を踏まえ、テレワーク環境におけるセキュリティ強化のポイントを解説します。

テレワークの現状とセキュリティの重要性

総務省によれば、テレワークは「ICT（情報通信技術）を利用し、時間や場所を有効に活用できる柔軟な働き方」と定義されています。

テレワークを推進する総務省が刊行する「テレワークセキュリティガイドライン（第5版）」では、テレワークの形態を自宅を勤務場所とする「在宅勤務」、出先や移動中に作業する「モバイル勤務」、本社から離れた営業所やシェアオフィスなどを利用する「サテライトオフィス勤務」の3つに分類しています。

これらの働き方は柔軟性を提供する一方で、情報セキュリティの観点から新たな課題も浮上しています。特に、家庭内ネットワークの脆弱性や公共のWi-Fiを利用する際のリスクなど、従来のオフィス環境とは異なる脅威が存在します。

テレワークのセキュリティの基本的考え方

ガイドラインでは、クラウドサービスの活用やゼロトラストセキュリティの概念など、最新のセキュリティ動向を踏まえた対策が示されています。また、中小企業向けには「テレワークセキュリティに関する手引き（チェックリスト）」が提供されており、具体的な対策項目が整理されています。

図：テレワークにおける脅威と脆弱性について

（画像出典：総務省：「テレワークセキュリティガイドライン（第5版）」より一部抜粋）

テレワークにおけるセキュリティ対策の基本方針

テレワーク環境のセキュリティ対策は、「ルール」「人」「技術」の3つの要素のバランスが重要です。総務省のガイドラインでは、以下のポイントが強調されています。

ルールの整備：情報セキュリティポリシーの策定や、テレワーク時のデバイス使用に関する規定を明確にする
人への教育：従業員に対する定期的なセキュリティ教育や訓練を実施し、フィッシング詐欺やマルウェアへの対処方法を周知する
技術的対策：VPNの導入や多要素認証の活用、最新のセキュリティパッチの適用など、技術的な防御策を講じる

テレワーク環境下の人を狙ったサイバー攻撃

総務省ガイドラインが示す「ルール」「人」「技術」の中でも、特に忘れてはならない重要ポイントは人の問題です。令和元年度の情報通信白書においても、「ソーシャルエンジニアリング」が再び攻撃の中心になるという予測を紹介しています。

ソーシャルエンジニアリング対策としては、警視庁が「そのテレワーク、犯罪者が狙ってる！」と題する動画や、短編アニメ「テレワーク勤務時のセキュリティ基本篇」、啓発チラシ「ちょっと待って！そのテレワーク、セキュリティは大丈夫？」などを公開配布しています。

オフィスでみんなが席を並べて仕事していたら、いつもと違うメールが着信しても「こんなメールが届いた」と、隣席の同僚や情報システム部門に気軽に相談することができます。しかしテレワークではそれが簡単ではなくなります。人間心理の隙間を衝くような標的型攻撃メールなどに今まで以上に警戒が必要です。

また、政府のセキュリティ機関である内閣サイバーセキュリティセンター（NISC）は2020年4月、「テレワークを実施する際にセキュリティ上留意すべき点について」と題したテレワークに関する注意喚起を行っています。

NISCの注意喚起では、「政府機関」「重要インフラ事業者」「国民一般」の3つのカテゴリー毎に、セキュリティポリシーやルール整備、ICT環境の準備、安全な接続方法であるVPNやリモートデスクトップなどの技術活用にあたっての留意事項、遠隔会議システムの安全な利活用、機器のアップデートやパスワードの複雑化など、必要なセキュリティ対策がリストアップされています。

さらに、ノートPCの支給が間に合わずに個人端末の使用を許す場合もあり、これまでのような情報システム・IT部門による一括管理は難しくなりました。情報システム部門が個人端末に対してどこまで管理できるかの法的な問題もあります。また、一般社員に向けて、テレワークのセキュリティの留意点を告知したとしても、すべての社員がその内容を理解できているとは限りません。従業員向けの通達の意味が分からない場合、そのまま放置される可能性はどの程度あるでしょうか。それがリスクにつながるのであれば、通達の方法を変更するべきです。全従業員による確実な実施を徹底するため、情報システム部門からの通達内容において、使用されているIT用語は読み手のスキルレベルに対して適切か、耳慣れないと想定される言葉やプロセスは図を使用するなどして誰にでも等しくわかるような説明がなされているか、といった観点の校閲を設けるくらいの心構えが必要です。

テレワーク環境下でのセキュリティ対策

テレワーク環境の安全性を確保するためには、以下のようなポイントでセキュリティ対策を実施することを推奨いたします。

デバイスの管理：業務用デバイスと私用デバイスを明確に区別し、業務データの漏えいを防止する
ネットワークの安全性確保：自宅のWi-Fiには強固なパスワードを設定し、公共のWi-Fi利用は避ける
データの暗号化：重要なデータは暗号化し、万が一の情報漏えいに備える
アクセス権限の管理：必要最小限のアクセス権限を設定し、不正アクセスを防ぐ
定期的なセキュリティ診断：専門機関によるセキュリティ診断やペネトレーションテストを実施し、システムの安全性を確認する

技術的な対策だけでなく、従業員のセキュリティ意識の向上や定期的なルールの見直しを行い、組織全体で継続的にセキュリティ対策を強化していくことが重要です。

セキュリティ診断もリモートで実施可能

情報システム部門が安全のためにできることがもうひとつあります。それは、リモートワーク環境を構成するVPN機器や認証サーバ、クラウド環境の接続拠点といったアクセスの出入り口における設定不備や、不正アクセスの原因となりうるセキュリティ上の欠陥の有無について、ハードやソフト面のセキュリティ診断を行うことです。

Webアプリケーションの脆弱性診断や、脆弱性が悪用された場合のインパクトを事前に調べるペネトレーションテストといったセキュリティ診断の多くは、インターネットを介して行うことができます。新型コロナ感染症対策でテレワークを経験した企業では、今後もテレワークを希望する人が少なくありません。今後もこうした働き方を継続するのであれば、一度は脆弱性の有無を確認し、安全な環境で業務を行えるよう環境を整備することをお勧めします。

まとめ

・新型コロナウイルス感染対策にともない、多くの組織が拙速にテレワークに移行したためセキュリティの課題がある。
・まずは警視庁や内閣サイバーセキュリティセンターの注意喚起を参照。
・総務省の出している詳しいガイドラインに沿って「ルール」「人」「技術」を見直そう。
・VPN機器やクラウド環境などテレワーク環境全体のセキュリティ診断を受けよう。

【関連情報】

●＜インタビュー＞上野宣氏／ ScanNetSecurity 編集長

●＜コラム＞「ゼロトラストアーキテクチャ」とは？

Security NEWS TOPに戻る
バックナンバー TOPに戻る

ウェビナー開催のお知らせ

2025年3月5日（水）13:00～14:00
「ランサムウェア対策の要！ペネトレーションテストとは？-ペネトレーションテストの効果、脆弱性診断との違い-」

2025年3月12日（水）14:00～15:00
「サイバー攻撃に備えるために定期的な脆弱性診断の実施を！-ツール診断と手動診断の比較-」

2025年3月13日（木）11:00～12:00
「脆弱性診断、やりっぱなしになっていませんか？高精度診断と充実サポートでリスクを最小化〜サイバー保険で安心診断から守るまでを徹底解説〜」

最新情報はこちら

2025年2月17日2025年8月12日

記録破りのDDoS攻撃！サイバー脅威の拡大と企業が取るべき対策とは？

Security NEWS TOPに戻る
バックナンバー TOPに戻る

近年、DDoS攻撃の規模と頻度が急激に増加しており、企業や組織にとって無視できない脅威となっています。特に、2024年第4四半期には、過去最大規模となる5.6テラビット毎秒（Tbps）のDDoS攻撃が確認され、サイバー攻撃の新たな段階へと突入したことがわかりました。この攻撃は、わずか80秒間で1万3,000台以上のIoTデバイスを利用して実行され、Cloudflare社のDDoS防御システムによって自動的に検出・ブロックされました。

お問い合わせ

お問い合わせはこちらからお願いします。後ほど、担当者よりご連絡いたします。

DDos攻撃の事例として、SQAT.jpでは日本航空へのサイバー攻撃の実態についても解説しています。こちらもあわせてぜひご覧ください。
「【徹底解説】日本航空のDDoS攻撃被害の実態と復旧プロセス」
「Dos攻撃とは？DDos攻撃との違い、すぐにできる3つの基本的な対策」

DDoS攻撃の増加と進化する手口

2024年第4四半期には、Cloudflare社が軽減したDDoS攻撃の件数が690万件にのぼり、前四半期比16%、前年比83%の増加を記録しました。さらに、1Tbpsを超える大規模攻撃の件数は前四半期比で1,885%も増加し、これまで以上に大規模な攻撃が常態化しつつあります。

HTTP DDoS攻撃では、既知のボットネットによる攻撃が全体の73%を占め、11%は正規のブラウザを装った攻撃、10%は疑わしいHTTPリクエストによる攻撃でした。ネットワーク層（L3/L4）攻撃では、SYNフラッド（38%）、DNSフラッド（16%）、UDPフラッド（14%）が主要な手法として確認されています。また、Miraiボットネットの亜種による攻撃が特に顕著であり、2024年第4四半期には、この攻撃手法の使用頻度が131%も増加しました。

企業が直面するDDoS攻撃のリスクとは？

DDoS攻撃がもたらす影響は多岐にわたります。最も直接的な被害は、システムのダウンによる業務停止であり、企業の信用低下や顧客離れにつながる可能性があります。また、近年増加している「ランサムDDoS攻撃（Ransom DDoS）」では、攻撃を受けた企業が身代金の支払いを要求されるケースが増えています。2024年第4四半期には、Cloudflare社の顧客でDDoS攻撃を受けた顧客のうち、12%が身代金の支払いを求められ、前年同期比で78%の増加を記録しました。

業界別にみると、通信業界が最も多くの攻撃を受け、次いでインターネット関連業界、マーケティング・広告業界が標的となっています。特に、金融業界は依然としてサイバー犯罪者にとって魅力的なターゲットとなっており、資金詐取を目的とした攻撃が増加しています。

DDoS攻撃から企業を守るための対策

DDoS攻撃の脅威が拡大するなか、企業は効果的な防御策を講じる必要があります。特に、以下のような対策が推奨されます。

常時オンのDDoS防御システムの導入
DDoS攻撃の多くは短時間で発生するため、人間の対応では間に合わないケースが多いです。自動検知・防御機能を備えたDDoS対策ソリューションを導入することで、攻撃を迅速に無力化できます。

ネットワーク層とアプリケーション層の両方を保護
DDoS攻撃には、L3/L4（ネットワーク層）攻撃とL7（アプリケーション層）攻撃があります。両方の層に対する防御対策を講じ、ファイアウォールやWAF（Web Application Firewall）を活用することが重要です。

ゼロトラストアーキテクチャの採用
攻撃者の侵入を最小限に抑えるために、ゼロトラストモデルを導入することも有効です。認証・認可プロセスを強化し、アクセス制御を厳格化することで、不正なトラフィックを遮断できます。

クラウドベースのDDoS対策の活用
オンプレミスのDDoS対策はコストが高く、攻撃の規模が拡大するにつれて対応が難しくなります。クラウドベースのDDoS防御サービスを活用することで、スケーラブルなセキュリティ対策を実現できます。

定期的な脆弱性診断とインシデント対応計画の策定
攻撃のリスクを最小限に抑えるために、定期的なセキュリティ監査を実施し、DDoS攻撃を想定したインシデント対応計画を策定することが不可欠です。特に、SLA（サービスレベルアグリーメント）を明確にし、攻撃発生時の対応フローを事前に決めておくことが重要です。

今後のDDoS攻撃トレンドと企業が取るべきアクション

DDoS攻撃は今後さらに巧妙化し、大規模化すると予想されています。特に、AIを活用したボットネット攻撃や、IoTデバイスを悪用した攻撃が増加する見込みです。さらに、特定の企業や業界を標的とした「高度な標的型攻撃（APT）」の手法がDDoS攻撃にも応用される可能性があります。

企業は、単に防御するだけでなく、プロアクティブなセキュリティ戦略を採用し、攻撃を未然に防ぐ体制を構築する必要があります。DDoS攻撃はもはや一部の企業だけの問題ではなく、あらゆる業界にとって喫緊の課題となっています。

常に最新の脅威情報を把握し、効果的な防御策を講じることで、企業のシステムとデータを守ることができます。DDoS攻撃のリスクを最小限に抑えるためには、今すぐ適切な対策を実施することが求められるでしょう。

Security NEWS TOPに戻る
バックナンバー TOPに戻る

サイバーインシデント緊急対応

ウェビナー開催のお知らせ

2025年2月19日（水）14:00～15:00
「Web担当者に求められる役割とは？Webサイトのガバナンス強化とセキュリティ対策を解説」

2025年2月26日（水）13:00～14:00
「AWS/Azure/GCPユーザー必見!企業が直面するクラウドセキュリティリスク」

2025年3月5日（水）13:00～14:00
「ランサムウェア対策の要！ペネトレーションテストとは？-ペネトレーションテストの効果、脆弱性診断との違い-」

2025年3月12日（水）14:00～15:00
「サイバー攻撃に備えるために定期的な脆弱性診断の実施を！-ツール診断と手動診断の比較-」

最新情報はこちら

2025年2月10日2025年5月8日

北朝鮮によるソーシャルエンジニアリング攻撃ソーシャルエンジニアリング攻撃とは？手口と脅威を解説

Security NEWS TOPに戻る
バックナンバー TOPに戻る

2024年12月24日、警察庁および金融庁は、同年5月に発生した国内の暗号資産（仮想通貨）取引所から約482億円が窃取された事案に関連して注意喚起*4を発表しました。本記事では、北朝鮮によるソーシャルエンジニアリング攻撃の事例と手法を解説し、企業が取るべき対策例をご紹介します。

ソーシャルエンジニアリング攻撃の概要

北朝鮮のサイバー攻撃グループ「TraderTraitor（トレイダートレイター）」は暗号資産・NFTの窃取を目的とした不正アクセスやソーシャルエンジニアリングを駆使した攻撃を行っています。CISA（米サイバーセキュリティ・インフラセキュリティ庁）によると、暗号資産事業者に加えて暗号通貨に投資するベンチャーキャピタルや暗号通貨・NFTの個人保有者など、ブロックチェーン技術や暗号通貨業界の様々な組織が標的とされていることが確認されています*2。

ソーシャルエンジニアリングとは
ソーシャルエンジニアリングは、人の心理を巧みに操り、重要な情報を引き出す手法です。この手法を使った攻撃がソーシャルエンジニアリング攻撃で、攻撃者は情報収集やシステムへの不正アクセスなどを目的に、人を心理的に操作して、攻撃者にとって都合のいい行動を起こさせます。

関連記事：「ソーシャルエンジニアリングとは？その手法と対策」

ソーシャルエンジニアリングの手法

「TraderTraitor」はまず、ビジネスパーソン向けの交流サイト「LinkedIn」上で採用希望者になりすまし、ターゲットとなる企業の従業員に接触しています。これにより、従業員の信頼を得たうえで企業の内部システムに侵入し、暗号通貨の正規取引を改ざんしたとされています。

SNSを悪用した手法は近年の北朝鮮の攻撃キャンペーンに多く使われる手法です。偽のアカウント・ペルソナを構築し、ターゲット企業や個人にアプローチします。ディープフェイク技術を用いて履歴書やSNSに掲載する画像やビデオ通話の偽装を行うこともあります。このアプローチは、ターゲット企業内の資産を窃取する、従業員として入り込んで国連決議に基づく経済制裁をかいくぐって外貨を獲得する、ターゲット企業にマルウェアを展開するといった侵害を目的としています。

参考：金融庁／警察庁／内閣サイバーセキュリティセンター
「北朝鮮当局の下部組織とされるラザルスと呼称されるサイバー攻撃グループによる暗号資産関連事業者等を標的としたサイバー攻撃について（注意喚起）」

ソーシャルエンジニアリング攻撃の代表的な手法

手法	例
フィッシング	ターゲットをだますことで情報を引き出す（認証情報や個人情報）、マルウェアやマルウェアのダウンローダーなどの実行リンクや添付ファイルを送信する。従来はメールやSMSを使う手法が主流だったが、近年はSNSや音声を使う手法も増えている
スピアフィッシング	フィッシングの一形態特定の個人や企業を狙ったフィッシング攻撃を指す
ビジネスメール詐欺	取引先などになりすまし、入金を促す詐欺
ベイティング	マルウェアを仕込んだUSBメモリを廊下に落とす、無料の音楽や映画のダウンロードを提供し認証情報を盗むなど、「餌」を使って被害者をおびき寄せる攻撃
プリテキスティング	権威のある人物（銀行員、警察、ITサポートなど）になりすまし、個人情報を聞き出す
テールゲーティング	正規従業員の同僚や配達員、修理業者などを装って物理的なセキュリティを突破し、機密情報にアクセスする

ソーシャルエンジニアリング攻撃の事例

近年の代表的なソーシャルエンジニアリング攻撃2例をご紹介します。

XZ Utilsへのソーシャルエンジニアリング攻撃
Linuxのオープンソース圧縮ファイルアプリケーションXZ Utilsに悪意のあるコードが埋め込まれたことが発見されたことから2024年3月に発覚した事件*3Everything I know about the XZ backdoorです。その後、偽のペルソナを騙る攻撃者が約2年間、プロジェクトの貢献者として活動し、悪意のあるコードを埋め込んでいたことが判明した事件です。オープンソースプロジェクトのエコシステムの在り方も同時に問われたのでご存じの方も多いのではないでしょうか。
ディープフェイク技術を悪用した詐欺
在香港の多国籍企業の財務担当者がディープフェイクを用いたビデオ通話会議を通じて騙され、2億香港ドル（日本円で約40億円）を詐欺師に送金してしまった事件*4です。財務担当者は当初CFOを名乗る人物から送られたメールには疑念を抱いたものの、ビデオ通話会議に実在の同僚やCFOが出席しているものと思い込んだことが原因とされています。

ソーシャルエンジニアリング攻撃の対策方法

今回の北朝鮮によるソーシャルエンジニアリング攻撃を受け、FBIは注意喚起*5を行い、企業や個人に対して警戒を促しました。また、日本の警察庁も企業に対し、セキュリティ対策の強化を求めています。企業側では、「システム管理者」「従業員」「人事担当者」の3方向からの対策例を考え、組織一丸となってセキュリティ対策を実行することが重要です。技術的な面では、マルウェア検出システムの導入や定期的な更新も重要となります。これにより、自組織がソーシャルエンジニアリング攻撃で踏み台にされていた場合でも被害を最小限に抑えることが可能になります。

ディープフェイクを用いたSNS上の偽アカウント・ペルソナは、過去の研究で多くの人が簡単に見抜けないことが明らかになっています。企業や個人は最新の攻撃手法を把握し、適切なセキュリティ対策を講じることが不可欠です。継続的な教育、技術的防御、国際協力を通じて、安全なデジタル環境を維持することが求められます。

関連情報:
Mink, J., Luo, L., Barbosa, N. M., Figueira, O., Wang, Y., & Wang, G. (Year), University of Illinois at Urbana-Champaign & Santa Clara University., DeepPhish: Understanding User Trust Towards Artificially Generated Profiles in Online Social Networks.

まとめ

ソーシャルエンジニアリングとは、人の心理を巧みに操り、重要情報等を聞き出したりすること
従業員教育×技術対策×物理セキュリティの3つを組み合わせて対策を強化
最新の攻撃手法を把握し、適切なセキュリティ対策を講じることが重要

Security NEWS TOPに戻る
バックナンバー TOPに戻る

サイバーインシデント緊急対応

ウェビナー開催のお知らせ

2025年2月19日（水）14:00～15:00
「Web担当者に求められる役割とは？Webサイトのガバナンス強化とセキュリティ対策を解説」

2025年2月26日（水）13:00～14:00
「AWS/Azure/GCPユーザー必見!企業が直面するクラウドセキュリティリスク」

最新情報はこちら

2024年10月15日2025年8月12日

APIとは何か（2）～APIの脅威とリスク～

Security NEWS TOPに戻る
バックナンバー TOPに戻る

APIセキュリティは、現代のビジネスにおいて不可欠な課題です。シリーズ第2回の今回は、APIを悪用した攻撃手法や、OWASP（Open Web Application Security Project）よりリリースされている「OWASP API Security Top 10」で取り上げられるリスクの詳細を解説します。インジェクション攻撃やDDoS攻撃、APIキーの悪用、アクセス制御に関する脆弱性など、主要な脅威を紹介しながら、APIが悪用された場合の影響について解説します。

前回記事（シリーズ第1回）「APIとは何か～基本概念とセキュリティの重要性～」はこちら。

APIとは～前回からの振り返り

日頃からインターネットなどのネットワークを使用することが多い今日、現代における多くの企業はAPIに大きく依存しており、今やAPIは不可欠なものとなっています。Akamai社のレポート「The API Security Disconnect」によると、調査対象となった企業の約8割以上が2023年に行った調査において、「過去12か月以内にAPIセキュリティをより重視した」と回答しています。しかし、2022年～2024年で調査した回答者のうち、半数以上が、APIのセキュリティインシデントの影響により顧客の信頼を失い、さらにそこからほぼ半数は生産性の低下や従業員の信頼の低下にもつながったといいます。

また、SNS事業者が提供するAndroid版アプリに存在した脆弱性が悪用された結果、膨大な量のアカウント情報が漏洩した事例*6も報告されています。これは攻撃者が大量の偽アカウントを使用し、様々な場所から大量のリクエストを送信し、個人情報（ユーザ名・電話番号）を照合するというものでした。

APIが悪用されるとどうなるか

APIが悪用された場合、多岐にわたる深刻な影響が生じます。特に、認証や認可の不備は深刻なセキュリティホールとなり得ます。攻撃者はこれらの脆弱性を悪用して不正アクセスを行い、機密データや個人情報を盗み出す恐れがあります。また、認可が適切に設定されていないと、本来は外部からアクセスできないはずのデータにまで侵入され、第三者からデータの改ざんや不正操作が可能となってしまいます。さらに、APIを標的にしたDDoS攻撃によりサービスがダウンし、正規ユーザが利用できなくなることで、企業の信用失墜や業務の中断といったダメージを引き起こします。これらの影響は、経済的損失だけでなく、法的問題やブランドイメージの毀損など、長期的な悪影響をもたらすため、APIのセキュリティ強化が不可欠です。

APIを悪用した攻撃の事例はいくつか報告されていますが、いずれの攻撃も、「OWASP API Security Top 10」で挙げられている問題と関連性があります。

OWASP API Security Top 10

APIセキュリティについて、Webアプリケーションセキュリティに関する国際的コミュニティであるOWASPが、2023年6月に「OWASP API Security Top 10 2023」をリリースしています。APIセキュリティにおける10大リスクをピックアップして解説したものです。

https://owasp.org/API-Security/editions/2023/en/0x11-t10/ より当社作成

「OWASP API Security Top 10」上位のリスク

特に上位5つの項目については、以下のような重大なリスクにつながるため、リリース前に十分な対策が施されていることを確認すべきです。

不正アクセス
なりすまし
情報漏洩
サービス運用妨害（DoS）

主なセキュリティ脅威

インジェクション攻撃

インジェクション攻撃は、悪意のあるコードをAPIに挿入し、不正な操作を行う攻撃です。APIの入力データを検証せずに処理している場合、攻撃者にデータベースへのアクセスを許すリスクが生じます。特にSQLインジェクションやコマンドインジェクション攻撃が多く、攻撃を受けてしまった場合、データベースの情報漏洩やシステムの制御不備などの被害があります。

認証およびセッション管理の不備の脆弱性を悪用

APIの認証とセッション管理の不備を悪用することで、攻撃者は不正アクセスやなりすましを行います。パスワード強度が不十分な場合やトークンの管理が適切に行われていない場合、セッションハイジャックや不正に重要な情報を閲覧されることによってデータの漏洩が発生するリスクがあります。適切な認証管理およびセッション管理を行うことが重要です。

DDoS攻撃

DDoS攻撃は、複数のPCからアクセスされることによる膨大な量のリクエストをAPIに一斉に送り込むことで、システムのリソースを枯渇させ、サービスの提供を妨害する攻撃です。APIの特性上、処理を高速に行うために外部からのリクエストを許容する必要がありますが、その柔軟性が悪用されます。攻撃者はボットネットを利用し、大量のトラフィックを発生させてサーバのリソースを消費させます。これにより、顧客はサービスが利用できず、自組織においても業務に多大な影響を及ぼします。APIを保護するためには、トラフィックの監視やレート制限、WAF（Webアプリケーションファイアウォール）などのセキュリティ対策が重要です。

APIキーの悪用

APIキーは、APIへのアクセスを制御するために利用されますが、攻撃者に奪われると不正利用のリスクが生じます。盗まれたAPIキーは無制限のアクセスやサービスの悪用に使われる恐れがあります。安全な管理や無制限にアクセスができないように適切なアクセス制御を実施すること等が重要です。

アクセス制御の不備による影響

APIのアクセス制御の不備の脆弱性を悪用することで、攻撃者は許可されていないデータや機能にアクセスできます。適切な権限設定がされていない場合、データの漏洩や不正な操作の実行のリスクがあります。権限の設定など適切なアクセス制御が求められます。

思わぬデータの公開や改ざん

APIの設計や実装の不備により、データが意図せず公開・改ざんされるリスクがあります。適切な認証・認可がないと、攻撃者が内部の機密情報にアクセスすることが可能になります。例えば、本来ならシステム管理者のみがアクセスできる設定画面または顧客情報やシステムに関する情報などの重要情報が格納されている場所に攻撃者がアクセスできてしまった場合、システムの設定を変更されたり重要情報が奪取されたりする恐れがあります。また、過剰に情報を提供するAPIレスポンスや暗号化されていないデータ転送も、情報漏洩や改ざんの危険性を高めます。データ保護には、適切なアクセス制御と暗号化の実装が不可欠です。

アカウント乗っ取り

不正アクセスによってユーザアカウントが乗っ取られ、APIを悪用される可能性があります。一度アカウントが乗っ取られると、攻撃者は個人情報の閲覧や不正操作、さらには他のシステムへの攻撃拡大を図る可能性があります。多要素認証（MFA）の導入やAPIキーの適切な管理、ログイン試行の監視など、セキュリティ対策の強化が必要です。

まとめ

現代の企業にとってAPIによるアプリケーション連携は不可欠ですが、その悪用によるセキュリティリスクも増加しています。APIを悪用した攻撃の事例は、「OWASP API Security Top 10」に関連しています。主なセキュリティ脅威には、インジェクション攻撃、認証やセッション管理の不備、DDoS攻撃、APIキーの悪用、アクセス制御の脆弱性、不適切なデータ公開や改ざん、アカウント乗っ取りなどがあります。これらは重大なリスクを孕んでいるため不正アクセス、なりすまし、機密データの盗難を含む情報漏洩、データ改ざん、サービスのダウンによるサービス低下や業務への影響、ひいては企業の信用失墜といった深刻な結果を招きます。こうした被害を防ぐため、APIの設計段階から適切なセキュリティ対策を行い、監視やアクセス制御の強化が不可欠です。

Security NEWS TOPに戻る
バックナンバー TOPに戻る

2024年10月10日2025年9月3日

あなたの情報は大丈夫？
人気コーヒーショップのオンラインストアで約9万件の個人情報流出！事件から学ぶ情報セキュリティの重要性

Security NEWS TOPに戻る
バックナンバー TOPに戻る

2024年5月、大手コーヒーショップの公式オンラインストアで大規模な個人情報漏洩事件が発生しました。この事件により、約9万2685件の個人情報と5万2958件のクレジットカード情報が漏洩した可能性が明らかになりました。本記事では、事件の内容と顧客への影響、そして企業がとるべきセキュリティ対策についてご紹介します。

事件の概要

2024年5月、大手コーヒーショップの公式オンラインストアで大規模な個人情報漏洩事件が発生しました。この事件により、約9万2685件の個人情報と5万2958件のクレジットカード情報が漏洩した可能性が明らかになりました。

事件の経緯

2024年5月20日：警視庁からの連絡により事態を認識、オンラインストアでのクレジットカード決済を停止
5月23日：オンラインストアを一時閉鎖
5月30日：不正アクセスによるシステム侵害を公表

この事件は、2020年10月1日から2024年5月23日までの期間に会員登録したユーザーに影響を及ぼしました。特に、2021年7月20日から2024年5月20日までの間にクレジットカード決済を利用した顧客のカード情報が漏洩の対象となっています。重要なのは、この漏洩が公式オンラインストアに限定されており、楽天市場や公式アプリでの購入には影響がないことです。

漏洩した情報の詳細

今回の事件で漏洩した可能性のある情報は、以下の通りです。

個人情報

氏名
住所
電話番号
性別
生年月日
メールアドレス
ログインID
ログインパスワード
配送先情報

クレジットカード情報

クレジットカード番号
カード名義人名
有効期限
セキュリティコード（CVV/CVC）

特に注目すべきは、クレジットカードのセキュリティコードが漏洩している点です。セキュリティコードは通常、オンライン決済の際に使用される3桁または4桁の数字で、カード裏面に記載されています。この情報が漏洩すると、不正利用のリスクが大幅に高まります。一般的に、PCI DSS（Payment Card Industry Data Security Standard）という国際的なセキュリティ基準では、セキュリティコードを保存することは禁止されています。そのため、公式オンラインストアがこの情報を保存していた事実自体が、セキュリティ管理の甘さを示しているといえるでしょう。

影響を受けた顧客数

この事件で影響を受けた顧客数は以下の通りです。

個人情報漏洩

約9万2685人対象期間：2020年10月1日～2024年5月23日に会員登録した顧客

クレジットカード情報漏洩

約5万2958人対象期間：2021年7月20日～2024年5月20日にクレジットカード決済を利用した顧客

この数字は、公式オンラインストアの利用者の大部分を占めると考えられます。特に、クレジットカード情報の漏洩は深刻な問題で、不正利用による金銭的被害のリスクが高まっています。

漏洩の原因と手口

今回の情報漏洩の主な原因は、公式オンラインストアのシステムに対する不正アクセスです。攻撃者はシステムの脆弱性を突き、特にペイメントアプリケーションを改ざんすることで情報を盗み取りました。使用された手口は「Webスキミング」と呼ばれるもので、以下のような手順で実行されます。

攻撃者がウェブサイトのコードに不正なスクリプトを埋め込む
ユーザーがフォームに入力した情報（クレジットカード情報など）が攻撃者のサーバーに送信される
正規の決済処理と並行して、情報が盗まれる

この手法の危険性は、ユーザー側では異常を検知しにくい点にあります。正規のウェブサイトを利用しているように見えるため、被害に気付くのが遅れる可能性が高くなります。

Webスキミング攻撃は近年増加傾向にあり、2018年から2019年にかけて大手通販サイトBritish Airwaysが同様の攻撃を受け、約38万人の顧客情報が漏洩する事件が発生しています。このような攻撃を防ぐためには、以下のようなセキュリティ対策を実施することが必要になります。

定期的なセキュリティ監査の実施
ウェブアプリケーションファイアウォール（WAF）の導入
コンテンツセキュリティポリシー（CSP）の適切な設定
従業員に対するセキュリティ教育の徹底

今回の事件のケースでは、これらの対策が十分でなかった可能性が高いといえるでしょう。

対応と今後の対策

事態の発覚後、企業は迅速な対応をとりました。

オンラインストアの一時閉鎖
クレジットカード決済の停止
影響を受けた顧客への個別連絡
クレジットカード会社との連携による不正利用の監視
第三者調査機関によるフォレンジック調査の実施

また今後の対策として、以下の取り組みを行う方針を示しています。

システムの脆弱性の完全修正
定期的なセキュリティ監査の実施
リアルタイム監視システムの導入
従業員に対するセキュリティ教育の強化
外部専門家によるセキュリティ診断の定期実施

特に重要なのは、PCI DSSへの準拠です。これにより、クレジットカード情報の取り扱いに関する国際的な基準を満たすことができます。また、今回の事件について、企業は顧客とのコミュニケーションを重視し、説明動画の公開や定期的な情報更新を行っています。この透明性の高い対応は、信頼回復に向けた重要なステップといえるでしょう。

SQAT.jpではPCI DSS準拠について、以下の記事で紹介しています。ぜひあわせてご覧ください。
「PCI DSSとは ―12の要件一覧とPCI DSS準拠―」

顧客がとるべき対策

公式オンラインストアを利用した顧客は、以下の対策をとることが推奨されます。

クレジットカードの利用明細を定期的に確認し、不審な取引がないか注意する
不審な取引を発見した場合は、直ちにクレジットカード会社に連絡する
公式オンラインストアで使用したパスワードを他のサービスでも使用している場合は、速やかに変更する
不審なメールや電話に注意し、個人情報の追加提供を求められても応じない
クレジットカード会社が提供する不正利用補償サービスの内容を確認し、必要に応じて利用する

また今後、オンラインショッピングを利用する上では以下の点に注意することが重要です。

信頼できるサイトでのみ買い物をする
クレジットカード情報を入力する際は、URLが「https」で始まっていることを確認する（=暗号化通信の導入）
公共のWi-Fiでのオンラインショッピングは避ける
異なるサービスごとに別々のパスワードを使用する
二段階認証が利用可能な場合は積極的に活用する

情報セキュリティの重要性

今回の事例は、企業における情報セキュリティの重要性を改めて浮き彫りにしました。今後企業は以下のような点を考慮し、常にセキュリティ対策を見直し、強化していく必要があるでしょう。

継続的なセキュリティ対策の実施

一度だけの対策では不十分で、常に最新の脅威に対応できる体制が必要です。

従業員教育の徹底

技術的対策だけでなく、人的要因によるセキュリティリスクも軽減する必要があります。

インシデント対応計画の策定

事件発生時に迅速かつ適切に対応できるよう、事前に計画を立てておくことが重要です。
外部専門家の活用自社だけでなく、専門知識を持つ外部の目を通してセキュリティを評価することが有効です。

法令遵守の徹底

個人情報保護法やPCI DSSなど、関連する法令や基準を厳守する必要があります。

まとめ

今回の大手コーヒーショップの公式オンラインストアにおける個人情報漏洩事件は、現代のデジタル社会が直面するセキュリティリスクを如実に示しています。約9万人以上の顧客情報が漏洩し、そのうち5万人以上のクレジットカード情報も危険にさらされました。事件の主な原因は、Webスキミングと呼ばれる攻撃手法によるものでした。企業はシステムの脆弱性を突かれ、ペイメントアプリケーションが改ざんされる結果となりました。事態発覚後、企業は迅速な対応を取り、オンラインストアの一時閉鎖やクレジットカード決済の停止、影響を受けた顧客への個別連絡などを行いました。今後は、システムの脆弱性修正や定期的なセキュリティ監査など、再発防止に向けた取り組みを強化する方針です。顧客側も、クレジットカードの利用明細の確認や不審な取引への警戒など、自己防衛策を講じる必要があります。また、オンラインショッピング全般において、セキュリティ意識を高めることが重要です。この事件は、企業における情報セキュリティの重要性を改めて認識させるものとなりました。継続的なセキュリティ対策の実施、従業員教育の徹底、インシデント対応計画の策定など、包括的なアプローチが求められています。デジタル化が進む現代社会において、個人情報の保護は企業の重要な責務です。今回の事例を教訓に、企業はセキュリティ対策を強化し、顧客の信頼を守り続けることが求められています。同時に、利用者側もセキュリティ意識を高め、自己防衛策を講じることが大切です。官民一体となったサイバーセキュリティの向上が、安全なデジタル社会の実現につながります。

Security NEWS TOPに戻る
バックナンバー TOPに戻る

BBSecでは

サイバーインシデント緊急対応

突然の大規模攻撃や情報漏えいの懸念等、緊急事態もしくはその可能性が発生した場合は、BBSecにご相談ください。セキュリティのスペシャリストが、御社システムの状況把握、防御、そして事後対策をトータルにサポートさせていただきます。

SQAT^® 脆弱性診断サービス

サイバー攻撃に対する備えとして、BBSecが提供する、SQAT脆弱性診断サービスでは、攻撃者の侵入を許す脆弱性の存在が見逃されていないかどうかを定期的に確認することができます。自組織の状態を知り、適切な脆弱性対策をすることが重要です。

2024年9月10日2025年5月12日

脆弱性診断は受けたけれど～脆弱性管理入門

Security NEWS TOPに戻る
バックナンバー TOPに戻る

～とある会社Aと脆弱性診断の結果を受け取った関係者とのやり取り～

脆弱性診断を受けたA社では入社3年目のセキュリティ担当・Bさんが結果に頭を抱えています。なぜなら、社内ネットワークに使っているスイッチにCVSSスコア9.8の脆弱性、リモートアクセスに使用しているVPNゲートウェイにCVSSスコア8.8、オンラインショップ用の受発注管理に利用しているデータベースにCVSSスコア7.5の脆弱性が見つかってしまったからです。リスクはどれも「高」レベルとして報告されたため、Bさんは上司に相談し、すべてに修正パッチを当てるようスイッチとVPNゲートウェイについてはインフラチームの担当者に、データベースについては開発部に連絡することにしました。

インフラチームのCさんとSlackでやり取りをしていたBさんはCさんからこんなことを伝えられます。

インフラチームCさん「修正パッチを適用するとなると、インフラチームは基本みんなリモートだから、誰かを土日のどこかで休日出勤させるか、急ぎだったら平日の夜間に勤務させて、パッチを当てることになるけど、どれぐらい急ぎなの？」

「あと、VPNとスイッチ、どっちを先に作業したほうがいいの？パッチの情報を調べてみたら、VPNのほうは一度途中のバージョンまで上げてから最新バージョンまで上げないといけないみたいで、作業時間がすごくかかりそうだから、別日で作業しないとだめかもしれないんだよね」

Bさんは答えに詰まってしまいました。リスクレベルは高だといわれているけれども、どれぐらい急ぐのかは誰も教えてくれないからです。

答えに詰まって「確認してから折り返し連絡します」と返したところ、「セキュリティ担当はいいなあ。土日とか夜間に作業しなくていいし、すぐに答えなくてもいいんだから」と嫌味までいわれてしまいました。

Bさんは脆弱性診断の結果が返ってきてから1週間後、開発部門のD部長にセキュリティ担当と開発部門の定例会議の際に報告事項としてパッチ適用の件を報告しました。するとD部長はこういいました。

開発部D部長「この件、1週間ほど報告に時間を要したようですが、脆弱性診断の結果以外に何か追加の情報はありますか？あと、この脆弱性診断の結果によるとリスクレベル高とありますが、社内の規定としてどの程度急ぐかといった判断はされましたか？」

開発部のほかの人にもこんなことをいわれてしまいます。

開発部担当者「パッチを適用する場合、ステージング環境で影響を調査したうえで必要であればコードや設定の修正などを行う必要がありますが、その時間や工数は考慮されていないですよね。通常の開発業務とどちらを優先すべきかといった判断はどうなっているんですか？」

Bさんはまたもや言葉に詰まってしまいます。セキュリティ担当は自分と上司の2人だけ、上司は別の業務との兼務でパッチの適用の優先順位付けまで考えている時間はありません。自分もEDRやファイアウォールの運用をしながら脆弱性診断の依頼や結果を受け取るだけで、とても他の部門の業務内容や環境のことまで把握しきる余裕がないのです。

ここまで、架空の会社A社と脆弱性診断の結果を受け取った関係者の反応を物語形式でお送りいたしました。現在、弊社の脆弱性診断サービスでは脆弱性単体のリスクの度合いの結果をご提供させていただくことはあっても、その脆弱性をどういった優先度で修正しなければならないかといった情報はご提供しておりません。なぜならば、パッチを適用するにあたって優先順位をつけるためにはお客様しか知りえない、以下の要素が必要になるためです。

パッチ適用の優先順位をつけるための3つの要素

脆弱性を持つアセットが置かれている環境
・インターネット上で公開された状態か、IPSやFWなどで制御されたネットワーク内か、もしくはローカル環境依存といった非常に限定的な環境かといった分類
・CVSSでいう環境スコア（CVSS-E）の攻撃区分（MAV）にあたる、実際の環境依存の要素
アセットが攻撃を受けた場合に事業継続性に与える影響
アセットが攻撃を受けた場合に社会や社内（運用保守・人材）に与える影響

冒頭のA社のケースでは以下のように整理できるでしょう。

アセットが置かれている環境

VPN：インターネット上で公開された状態
データベース：設定を間違っていなければIPSやFWなどで制御されたネットワーク配下だが、公開ネットワーク寄り
スイッチ：設置環境によって制御されたネットワーク内かローカル環境になる。

アセットが公開されている場合、攻撃者からよりアクセスしやすいことからより緊急度が高いといえるので、VPN＝データベース＞スイッチの順になると考えられるでしょう。

アセットが攻撃を受けた場合に事業継続性に与える影響

アセットが攻撃を受けた場合に自社の事業継続にどの程度影響が出るかといった要素です。
仮にランサムウェア攻撃によって影響を受けた場合、それぞれのアセットの停止でどの程度の影響が出るかを想定してください。A社の場合事業継続性への影響度順でいうと、データベース＞VPN＞スイッチの順になると考えられます。

今回の場合はデータベースが事業に直結しており、顧客情報を含むデータを持っているため、継続性への影響度が高いという想定です。アセットの利用目的や環境によってはこの順番が入れ替わることもあります。

アセットが攻撃を受けた場合に社会や社内に対して与える影響

A社がランサムウェア攻撃を受けた場合はオンラインショッピングサイトのデータベース関連で以下の影響が見込まれます。

顧客情報の漏洩
運用およびシステムの復旧にかかる費用と工数

このほかにVPNやスイッチもフォレンジック調査の対象となって業務が行えなくなる可能性が高いと考えられます。VPNに関しては利用できない期間、社員の出社が必須になるなどワークスタイルへの影響も出る可能性もあります。こういったことから、社会および社内に対して与える影響でA社の例を考えると影響度は、データベース＞VPN＝スイッチと考えられるでしょう。

SSVCとは

こうした情報があったうえで利用ができようになる優先順位付けの方法があります。それが「SSVC（Stakeholder-Specific Vulnerability Categorization）」です。SSVCは脆弱性管理プロセスに関与する利害関係者のニーズに基づいて脆弱性に優先順位を付けるための方法論とされており、経営・マネジメント層、システム開発者、システム運用者といったステークホルダーと一緒に脆弱性に対処していくための方法論といえます。SSVCは脆弱性そのものの技術的評価ではなく、脆弱性にどのように対処するかという観点での評価を行うフレームワークになります。

SSVCの3つのモデル

ソフトウェアやハードウェアの供給者、すなわちパッチを開発する人が用いる「Supplier Decision Model」
ソフトウェアやハードウェアを利用する側、つまりパッチを適用する人が用いる「Deployer Decision Model」
CSIRTやPSIRT、セキュリティ研究者やBug Bounty Programなど、脆弱性に対して何らかの調整やコミュニケーションのハブとなりうる人、コーディネーターが用いる「Coordinator Decision Model」

このうち、「Deployer Decision Model」と「Supplier Decision Model」ではプライオリティ（対応優先度）付けの結果を4つにわけています。

SSVCで得られるプライオリティ付けの結果

	Deployer Model	Supplier Model
Immediate	すべてのリソースを投入し、通常業務を止めてでもパッチの適用を直ちに行うべきである	全社的にすべてのリソースを投入して修正パッチを開発し、リリース
Out-of-cycle	定期的なメンテナンスウィンドウより前に、やむを得ない場合は残業を伴う形で緩和策または解消策を適用	緩和策または解消策を他のプロジェクトからリソースを借りてでも開発し、完成次第セキュリティパッチとして修正パッチをリリース
Scheduled	定期的なメンテナンスウィンドウで適用	通常のリソース内で定期的な修正パッチのリリースタイミングでパッチをリリース
Defer	現時点で特に行うことはない	現時点で特に行うことはない

ここではDeployer Decision ModelをもとにA社がどのようにパッチを適用すべきか検討してみましょう。

まず、Bさんは上司に相談したうえで、前述した3つの要素、「脆弱性を持つアセットが置かれている環境」、「事業継続性への影響」、「社会や社内への影響度」を定義していく必要があります。また、この定義に当たっては実際の環境や利用用途、部門内のリソースなどをよく知っているインフラチームや開発部といった当事者、つまりステークホルダーの関与（少なくとも承認）が必要となってきます。このほかに優先順位付けの結果、”Immediate”や”Out-of-Cycle”が出た場合の対応プロセスも用意しておく必要があります。Bさん１人で何かできることはそれほど多くはなく、社内のステークホルダーへの聞き取りや経営層への説明、必要なプロセスの準備と合意形成など、上司や部門全体も含めて組織的に取り組まなければならないといえます。さらに、Bさんは脆弱性自体が持つ以下の要素を調べる必要があります。

脆弱性が持つ要素

自動化の可能性

攻撃者がツール化して脆弱性を悪用するかどうかを判定するものとなります。これは攻撃者がツール化した場合、攻撃者間でツールの売買が行われるなど汎用的に悪用される可能性があるため、把握が必要な要素となります。一部の脆弱性はCISA VulnrichmentやCVSS4.0のSupplement MetricsのAutomatableの値が参照できますが、情報の参照先がないものについてはPoCの有無やPoCの内容から自動化の可否を判断する必要があります。この点はSSVC利用の難点として挙げられることもあります。

悪用の状況

実際に攻撃されていることを示すActive、PoCのみを示すPoC、悪用されていないことを表すNoneの3つに分類されます。この情報は時間の経過とともに変化する可能性が最も高く、逐次状況を確認する必要があります。情報の参照先は、KEVカタログ、CISA VulnrichmentのExploitationの値、CVSS4.0のThreat MetricsやNVDのReferenceのPoCの有無といったものが利用できます。唯一難点があるとすれば、日本国内でシェアの高い国内メーカー機器の情報がKEVカタログやCISA Vulnrichmentなどにあまり反映されない点にあります。

まとめ　～CVSSとSSVCの活用～

これまではCVSSが高い値のものだけ対処していた、という組織も多いでしょう。CVSSは脆弱性の単体評価ができ、脆弱性が広く悪用された場合の深刻度を測るための評価システムです。ただし、その脆弱性が存在するアセットがどのように利用されているか、そのアセットが業務継続性や運用保守、ひいては社会全体に対してどのような影響を与えるかといった観点が欠けていることが長らく問題視されてきたのも事実です。

脆弱性管理は手間がかかる、登場人物が多い、意見がまとまらないといったこともあるでしょうし、「自動化の可能性とかわからないし、攻撃の状況をずっと見ているほどの時間の余裕はない！」といった様々なお声があるかと思います。しかし、今この瞬間どの企業がいつサイバー攻撃を受けるのか全く見当もつかない状況の中、少しでもリスクを回避したい、どこにリスクがあるのか手がかりをはっきりしておきたいという企業の皆さまもいらっしゃるかもしれません。本記事を通じて、こういった脆弱性管理手法があることを知っていただき、活用することでリスク回避ができるようになるための役立つ情報提供となれば幸いです。

参考情報：

独立行政法人情報処理推進機構（IPA）「共通脆弱性評価システムCVSS v3概説」
https://www.ipa.go.jp/security/vuln/scap/cvssv3.html
カーネギー・メロン大学「SSVC: Stakeholder-Specific Vulnerability Categorization」
https://certcc.github.io/SSVC/

Security NEWS TOPに戻る
バックナンバー TOPに戻る

サイバーインシデント緊急対応

ウェビナー開催のお知らせ

2024年9月18日（水）13:00～14:00
【好評アンコール配信】
「ランサムウェアの脅威を知る-脅威に備えるためのランサムウェア対策-」

2024年9月25日（水）13:00～14:00
【好評アンコール配信】
「ランサムウェア対策の要～ペネトレーションテストの効果、脆弱性診断との違いを解説～」

2024年10月2日（水）13:00～14:00
【好評アンコール配信】
「サイバー攻撃に備えるために定期的な脆弱性診断の実施を！
　- ツール診断と手動診断の比較 –」

2024年10月9日（水）13:00～14:00
【好評アンコール配信】
「システム開発のセキュリティ強化の鍵とは?
　-ソースコード診断で手戻りリスクとサイバー攻撃を未然に防ぐ-」

最新情報はこちら

Youtubeチャンネルのご案内

SQATチャンネル（@sqatchannel9896）では毎月、アナリストが語る「セキュリティトピック」解説動画やウェビナー動画を更新しています。ぜひチャンネル登録をして、チェックしてみてください。

2024年8月5日2025年5月12日

長期休暇中のセキュリティ対策
―休暇を狙って猛威をふるうランサムウェアやフィッシング攻撃：増加傾向と対策―

Security NEWS TOPに戻る
バックナンバー TOPに戻る

長期休暇（前・中・後）に企業や個人がサイバー攻撃の標的になりやすくなる理由は、多岐にわたります。本記事では、長期休暇に増加する主なサイバー攻撃のタイプを紹介し、地域別および産業別の影響について触れ、企業や個人がサイバー攻撃に備えるための対策方法について解説します。これにより、読者がより安心して長期休暇を過ごせるために役立つ情報提供となれば幸いです。

長期休暇中にサイバー攻撃が増えやすい理由

長期休暇、特に年末年始やゴールデンウィーク、お盆休み、シルバーウイークなど、大型連休中にはサイバー攻撃が増加する傾向にあります*2。これは以下の理由によるものです。

企業のセキュリティ体制が手薄になる

個人ユーザによるオンラインショッピング利用やSNS投稿が増える

攻撃者が休暇中のユーザの油断を狙う

主なサイバー攻撃タイプ

長期休暇中に増加する主なサイバー攻撃には以下のようなものがあります。

フィッシング攻撃
個人を狙って特別セールやイベントを装った偽のメールやウェブサイトが増えます。

ランサムウェア攻撃
企業のセキュリティ体制が弱まる時期を狙って、データを人質に取る攻撃が行われます。

DDoS攻撃
オンラインサービスの需要が高まる時期に、サービスを妨害する攻撃が増加します。

参考：解説動画　アナリストが語る「今月のセキュリティトピック」2024年7月版
攻撃・インシデント関連（再生時間：13:23）
「国内大手出版グループに大規模サイバー攻撃」

Youtubeチャンネルのご案内

SQATチャンネル（@sqatchannel9896）では毎月、アナリストが語る「セキュリティトピック」解説動画やウェビナー動画を更新しています。ぜひチャンネル登録をして、チェックしてみてください。

地域別の傾向

サイバー攻撃は世界中で発生しますが、特定の地域では休暇期間中に攻撃が顕著に増加することがあります。

北米やヨーロッパ：クリスマスシーズンに攻撃が増加
アジア：旧正月期間中に攻撃が増加
日本：ゴールデンウィーク、お盆休み、シルバーウィーク、年末年始

産業別の影響

長期休暇中のサイバー攻撃は、特定の産業により大きな影響を与えることがあります。

小売業：オンラインショッピングの増加に伴い、顧客データを狙った攻撃が増加
金融サービス：年末の取引増加期に狙われやすい
旅行・観光業：休暇予約情報を狙った攻撃が増加

長期休暇（前・中・後）の対策

長期休暇前

緊急連絡体制の確認をする
委託先企業を含めた緊急連絡体制や対応手順を確認します。

機器接続ルールを確認する
社内ネットワークへの機器接続ルールを確認し、遵守します。

使用しない機器の電源OFFにする
長期休暇中に使用しないサーバ等の機器は電源をオフにします。

データのバックアップをとる
重要データのバックアップを行い、ランサムウェア攻撃に備えます。

セキュリティソフトを更新する
セキュリティソフトの定義ファイルを最新の状態に更新します。

長期休暇中

持ち出した機器やデータの管理
自宅等に持ち出したパソコン等の機器やデータを厳重に管理します。

SNS投稿の定期的に確認する
行楽等の外出前や外出先でのSNS投稿に注意し、不在を知られないようにします。

偽のセキュリティ警告の表示の確認
ウェブサイトの閲覧中に表示される偽の警告に注意し、操作しないようにします。

不審なメールやURLが届いていないかどうか確認する
メールやショートメッセージ（SMS）、SNSでの不審なファイルやURLに注意します。

長期休暇明け

修正プログラムを適用する
長期休暇中に公開された修正プログラムを適用します。

定義ファイルを最新の状態に更新する
セキュリティソフトの定義ファイルを最新の状態に更新します。

ウイルスチェックを実施する
持ち出していた機器等のウイルスチェックを行います。

不審なメールが届いていないかどうか確認する
長期休暇明けはメールがたまっています。不審なメールには特に注意が必要です。

企業のリスク管理

企業が長期休暇中にリスク管理を徹底するためには以下のような対策が必要です。

緊急連絡体制の確認
委託先企業を含めた緊急連絡体制や対応手順を確認します。

サーバやネットワーク機器の脆弱性対策
自組織のシステムに内在する脆弱性を可視化し、リスク状況を把握したうえで、セキュリティ対策を講じます。

アカウント管理
アカウントのアクセス権限を確認し、不要なアカウントを削除します。

従業員への周知
パスワードの強化、管理の徹底を従業員に周知徹底します。

個人の注意点

個人が長期休暇中に注意すべき点は以下の通りです。

SNS投稿
行楽等の外出前や外出先でのSNS投稿に注意し、不在を知られないようにします。

偽のセキュリティ警告
ウェブサイトの閲覧中に表示される偽の警告に注意し、操作しないようにします。

パソコンの初期化
ウイルスに感染した疑いがある場合はパソコンの初期化を検討します。

フィッシングサイト対策
フィッシングサイトで情報を入力してしまった場合は、パスワードの変更、カード会社への連絡等を行います。

長期休暇中のサイバー攻撃に備えるために

長期休暇中は、サイバー攻撃のリスクが高まるため、事前の対策が重要です。緊急連絡体制の確認や使用しない機器の電源オフ、データのバックアップなどを徹底することで、リスクを最小限に抑えることができます。休暇中も持ち出した機器やデータを厳重に管理し、SNS投稿に注意するなどの対策を講じることで、サイバー攻撃から自分を守ることができます。休暇明けには、修正プログラムの適用やウイルスチェックを行い、最新のセキュリティ状態を維持することが大切です。この企業も個人も、適切な対策を講じて安全な長期休暇を過ごしましょう。

ウェビナー開催のお知らせ

最新情報はこちら

Security NEWS TOPに戻る
バックナンバー TOPに戻る