世界で多発するゼロデイ攻撃とは?Apple・Google・Ciscoを襲った脆弱性の実態と対策

Share

Security NEWS TOPに戻る
バックナンバー TOPに戻る

ゼロデイ攻撃とは?Apple・Google・Ciscoを襲った脆弱性の実態と対策アイキャッチ画像

2025年9月、世界各地で「ゼロデイ脆弱性」を悪用したサイバー被害が相次ぎました。ゼロデイ攻撃とは、まだ修正プログラム(パッチ)が公開されていない未知の脆弱性を突く攻撃であり、検知や防御が極めて困難です。今、ゼロデイ攻撃は誰にとっても避けて通れないサイバーリスクとなっているのです。本記事では、最新のゼロデイ攻撃の事例、被害の傾向、そして今すぐ取るべき対策について解説します。ゼロデイ脆弱性の脅威を正しく理解し、被害を防ぐための第一歩にしましょう。

世界各地でゼロデイ脆弱性が続発

2025年9月、世界中でゼロデイ脆弱性をめぐる一連のサイバー攻撃が相次いで報告されました。ゼロデイ脆弱性とは、ソフトウェアやOSに潜む修正前のバグ、つまり開発元ですら把握していない段階で第三者によって悪用される脆弱性のことであり、攻撃者は一般公開前・パッチ適用前にこれを利用して侵入や情報搾取、システム乗っ取りを仕掛けます。2025年9月には、AppleのiPhoneやiPad、GoogleのAndroid端末、CiscoルーターやVPN装置、SAPやAdobe、SonicWallなど多岐にわたるプロダクトが標的となりました。

Apple・Googleのゼロデイ脆弱性が顕在化

Apple関連では、「CVE-2025-43300」「CVE-2025-55177」という画像解析に関するゼロクリック型脆弱性が公表され、iPhoneやiPadが世界的な攻撃対象になりました。Apple社は直ちに150ヶ国以上のユーザーへ警告通知を送り、Lockdown Modeの利用を強く推奨しました。実際に攻撃が検知された端末も多く、海外では医療機関や金融サービスを狙った“標的型ゼロデイ攻撃”の発生も確認されています。

Android端末でも深刻な脆弱性(CVE-2025-38352など)が確認されており、カーネルやランタイム部分の権限誤取得によって、スマートフォンが遠隔操作される事例が増加しました。Chromeブラウザでもゼロデイ脆弱性が発見され、公式パッチのリリースを急いだ流れがあります。これらの技術情報は国際的なセキュリティ速報サイトや公式ベンダーのアドバイザリが一次情報となっており、日々関係者向けに更新されています。

ビジネスシステムも標的に

さらに、Windowsのファイル圧縮ソフトWinRARでは「CVE-2025-8088」の脆弱性が報告され、悪意を持ったファイル一つでシステム内部に侵入されるリスクが浮上しました。Citrix NetScalerにおいてはリモートコード実行(RCE)を許す「CVE-2025-7775」、企業内パスワード管理ツールPasswordstateでもゼロデイ攻撃による被害が発生しています。こうしたビジネス系システムでは、管理画面だけで全システムが乗っ取られる危険性が顕在化しており、複数企業が業務停止・復旧対応に追われています。

ゼロデイ攻撃の基本的な流れ

ゼロデイ攻撃の基本的な流れは、メール・Web・ファイルアップロードなどを入り口として、権限昇格の脆弱性を突き、最終的に情報搾取や遠隔操作へと至るという流れです。特に企業ユーザーはパッチ適用・監視強化・多層防御など、従来型のセキュリティ運用だけでは防ぎきれない時代に直面しています。一般のエンドユーザーも自らが使うスマートフォンやタブレットがゼロデイ脆弱性を抱えている可能性を念頭に、定期的なアップデートや公式情報の取得を習慣化する必要があります。

ゼロデイ脆弱性は誰もが直面する脅威

ゼロデイ脆弱性は一部の大企業だけの問題ではありません。個人が使うアプリやデバイスにもリスクが存在し、誰もが常に脅威に晒される現状が2025年の特徴です。正確な情報源に基づき、自分自身と組織の防御体制を早急に見直すことが求められているのです。

【参考情報】

BBSecでは

サイバーインシデント緊急対応

セキュリティインシデントの再発防止や体制強化を確実に行うには、専門家の支援を受けることも有効です。BBSecでは緊急対応支援サービスをご提供しています。突然の大規模攻撃や情報漏洩の懸念等、緊急事態もしくはその可能性が発生した場合は、BBSecにご相談ください。セキュリティのスペシャリストが、御社システムの状況把握、防御、そして事後対策をトータルにサポートさせていただきます。

サイバーセキュリティ緊急対応電話受付ボタン
SQAT緊急対応バナー

Security NEWS TOPに戻る
バックナンバー TOPに戻る

ウェビナー開催のお知らせ

  • 2025年11月12日(水)14:00~15:00
    なぜ今“脆弱性診断”が必要なのか?実績データで見る検出傾向とサービス比較
  • 2025年11月26日(水)13:00~14:00
    【好評アンコール配信】「クラウド設定ミスが招く情報漏洩リスク -今こそ取り組むべき「クラウドセキュリティ設定診断」の重要性-
  • 最新情報はこちら


    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。

    Security Serviceへのリンクバナー画像
    BBsecコーポレートサイトへのリンクバナー画像
    セキュリティ緊急対応のバナー画像

    【2025年最新】日本国内で急増するランサムウェア被害-無印良品・アスクル・アサヒグループの企業の被害事例まとめ-

    Share

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    日本国内で急増するランサムウェア被害事例まとめアイキャッチ画像

    2025年、日本国内でランサムウェア被害がかつてない勢いで拡大しています。無印良品、アスクル、アサヒグループなど名だたる企業でシステム障害や物流停止が発生し、社会インフラにも影響が波及。中小企業を狙う攻撃も急増し、もはやどの組織も例外ではありません。本記事では、最新の統計と主要な被害事例をもとに、日本で深刻化する脅威の実態と求められる対策を解説します。

    日本国内で深刻化するランサムウェア被害の現状

    2025年に入り、日本ではランサムウェアによるサイバー攻撃が過去にないペースで増加しています。警察庁「令和7年上半期における サイバー空間をめぐる脅威の情勢等について」の統計データによると、2025年上半期だけで116件もの法人・団体被害が確認され、3期連続で100件を超える高水準が続いています。特に、製造業や物流、医療機関、教育関連といった社会インフラを支える業界が標的にされる傾向が顕著です。

    Cisco Talosの分析「2025年上半期における日本でのランサムウェア被害の状況」によれば、被害数は前年同期比1.4倍と急増し、約7割が資本金10億円未満の中小企業だったことから、攻撃者が「防御の甘い組織」を狙っている実態が浮き彫りとなっています。加えて、感染経路の多くでVPN機器やリモートデスクトップ経由の侵入が確認され、テレワーク環境に潜む脆弱性が依然として主要なリスク要因となっています。

    無印良品のネットストア停止、物流依存の脆弱性が露呈

    10月19日夜、良品計画が運営する「無印良品ネットストア」が突如として受注・出荷停止に追い込まれ、多くの利用者がアクセス不能となりました*1。原因は、配送委託先であるアスクル株式会社のシステムがランサムウェアに感染し、物流中枢が一時的にまひしたことにあります。復旧作業は続いているものの、再開時期は未定であり、公式アプリ「MUJIアプリ」にも障害が波及。店舗販売は継続しているものの、サプライチェーン全体の連動性が高い現代における、小売業の脆弱さを象徴する事例といえます。この一件を受けて、他企業でも外注先のセキュリティ体制見直しが急務となっています。

    アスクル全システム停止、全国的な影響が拡大

    事件の中心にあるアスクルでは、自社のWebサイト、FAX注文、会員登録、返品受付など主要サービスがすべて停止に追い込まれ、企業間取引にも連鎖的な影響が出ました*2 。特に、医薬品関連業務を扱う「ロハコドラッグ」でも受注と問い合わせがストップし、医療・小売業双方への波及が確認されている。物流プラットフォームとして無数の企業を支える同社の被害は、単一企業の障害にとどまらず、全国で商品供給遅延が発生する深刻な社会問題へと発展しています。専門家は、これを「日本版Colonia Pipeline事件」と形容し、サプライチェーン全体の“単一障害点(SPOF)”対策の必要性を強調しています。

    アサヒグループでも感染、製造・出荷に支障

    2025年9月末、アサヒグループホールディングスでランサムウェア感染による重大なシステム障害が発生しました。同社の調査報告によると、外部からの不正アクセスによるサーバ感染により、社内通信システムや受発注処理の一部が機能停止、復旧までには数週間を要したということです。また、現在は個人情報を含むデータ流出の可能性についても調査を継続中としています*3 。この事件を受け、世界的企業においても情報セキュリティ体制が問われ、飲料・食品メーカー各社が内部サーバ・VPN運用方針を見直す契機となりました。

    埼玉県商工会連合会への攻撃、地方組織にも波及

    10月中旬には、埼玉県商工会連合会がサイバー攻撃によるシステム障害を公表しました*4 。調査の結果、外部からの攻撃によってサーバが停止したことが確認され、業務システムの利用不能状態が続いています。現時点で個人情報の流出は確認されていないものの、復旧には時間を要しています。全国の商工団体や自治体は同様のシステム構成を採用しているケースが多く、今後同種の攻撃が波及する可能性も指摘されています。こうした事例は、地方行政や中小組織におけるセキュリティ対策の遅れを改めて浮かび上がらせました。

    被害の拡大要因と今後の対策

    各事例に共通していえるのは、ランサムウェア攻撃が単一の企業問題にとどまらず、社会的インフラとしての供給網全体に深刻な影響を与えている点です。警察庁の報告では、感染経路の6割がVPN機器経由であり、初期侵入を防ぐ「ゼロトラスト構成」や「多要素認証」が依然として導入不足であることが問題とされています*5 。加えて、国際的犯罪グループによる「日本語対応型ランサムウェア」も台頭しており、警告文を日本語化することで金銭要求の成功率を上げる手口も増えています。企業や団体においては、セキュリティパッチの即時適用、オフラインバックアップの準備、サプライチェーン全体でのセキュリティ協定の明文化といった具体的施策が今後不可欠となります。加えて、個人ユーザーも取引先の障害や情報流出の影響を受ける可能性があり、パスワードの管理や多要素認証の徹底も求められることになります。

    2025年の日本はランサムウェア攻撃が“社会的リスク”として定着する段階に入りつつあります。今後は、企業の危機対応力とサプライチェーン全体の連携体制こそが、経済活動の信頼を支える鍵となるでしょう。

    BBSecでは

    セキュリティインシデントの再発防止や体制強化を確実に行うには、専門家の支援を受けることも有効です。BBSecでは緊急対応支援サービスをご提供しています。突然の大規模攻撃や情報漏洩の懸念等、緊急事態もしくはその可能性が発生した場合は、BBSecにご相談ください。セキュリティのスペシャリストが、御社システムの状況把握、防御、そして事後対策をトータルにサポートさせていただきます。

    サイバーインシデント緊急対応

    サイバーセキュリティ緊急対応電話受付ボタン
    SQAT緊急対応バナー

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    ウェビナー開催のお知らせ

  • 2025年11月5日(水)13:00~14:00
    【好評アンコール配信】「SQAT®ペネトレーションテスト実演付き!-攻撃の“成立”を見極めるペネトレーションテストとは-
  • 2025年11月12日(水)14:00~15:00
    なぜ今“脆弱性診断”が必要なのか?実績データで見る検出傾向とサービス比較
  • 2025年11月26日(水)13:00~14:00
    【好評アンコール配信】「クラウド設定ミスが招く情報漏洩リスク -今こそ取り組むべき「クラウドセキュリティ設定診断」の重要性-
  • 最新情報はこちら


    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。

    Security Serviceへのリンクバナー画像
    BBsecコーポレートサイトへのリンクバナー画像
    セキュリティ緊急対応のバナー画像

    【続報】Qilinランサムウェア攻撃の実態と対策 -2025年の情勢と企業・個人が取るべき行動-

    Share

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    【続報】Qilinランサムウェア攻撃の実態と対策 アイキャッチ画像

    本記事は「Qilinランサムウェア攻撃の実態と対策:Fortinet脆弱性の悪用を解説」の続報となります。前回記事とあわせてぜひご覧ください。

    2025年10月8日、アサヒグループホールディングス株式会社を襲ったサイバー攻撃でランサムウェア攻撃グループ「Qilin(キリン)」から犯行声明が出されました。現在もなお、攻撃の手を緩めておらず、警戒が高まっています。

    アサヒグループホールディングスのサイバー攻撃に関する記事はこちら
    アサヒグループを襲ったランサムウェア攻撃

    本記事では、ランサムウェア攻撃の実態を踏まえ、企業がとるべき対策・行動について解説いたします。

    サイバー攻撃の現場では、年々脅威が高度化し被害規模も拡大しています。なかでも「Qilin(キリン)」と呼ばれるランサムウェアは、ここ数年で著しい存在感を示し、2025年も企業や社会インフラを揺るがす脅威の一つとなっています。

    Qilinとは何か—巧妙さを増した“身代金ウイルス”

    Qilinは、2022年ごろからサイバー犯罪の地下で「Agenda」として登場し、独自の犯罪ビジネスモデル(RaaS: Ransomware as a Service )を展開。WindowsやLinuxだけでなく、ESXiなど企業利用の仮想基盤まで標的とする、高度なマルチプラットフォーム型が特徴です。実装にはRustとC言語を用い、検知回避・高速暗号化など最新技術を積極的に採用している点でも業界の注目を集めています。

    MITRE ATT&CKで示されるように、Qilinは標的型メール(LockBit, Cl0p, BlackBasta 等)との主な違いは、攻撃の多様性・速度、そしてビジネスモデル(報酬率の高さ、サポート体制)にあります。

    何が問題なのか—現場で考えるインパクト

    例えば、大規模病院が攻撃を受ければ、診察や手術、ITシステムだけでなく命にもかかわる混乱が起こります。製造業でもプラント停止や供給網の寸断、金融機関であれば社会的信用の失墜につながります。実際にQilinの被害を受けた組織の多くでは、サイバー保険の範囲を超える損失や、事業継続そのものが難しくなるケースも報告されています。

    具体的な対策—被害を防ぐ/最小化するために

    システムの最新化と脆弱性管理

    まずはWindows、Linux、仮想化基盤などのシステム全てに最新のセキュリティパッチを適用。ベンダーが公開する脆弱性情報を定期的に確認し、重大度が高い場合は即時対処を徹底しましょう。

    バックアップルールの運用

    業務データは“3-2-1-1ルール”(3種類・2媒体・1コピーをオフライン・1つはイミュータブル)を参考に複数箇所へ分散。月1回以上の復旧テストも有効です。

    異常の早期検知と対応訓練

    エンドポイント保護や監視(EDR)、SIEMMFAによる多要素認証を導入し、万が一の場合は、従業員ごとに具体的なエスカレーション手順・初動マニュアルの整備が必要です

    従業員へのサイバーセキュリティ教育

    フィッシングメールや不審な操作に気付けるよう、月1回程度の模擬訓練や意識向上セミナーも推奨されます。

    まとめ:自ら考え動く対応力が肝要

    Qilinに限らず、ビジネスの現場とリアル社会双方に大きなインパクトを及ぼすサイバー攻撃が続く時代、一人一人がサイバー脅威を自分ごととして捉え、アップデート・バックアップ・初動訓練 の3本柱を習慣化することが、サイバー攻撃の被害を最小化するための基本戦略といえるでしょう

    【参考情報】

    本記事は2025年10月時点の公式発表・主要レポートをもとに作成しています。今後も技術進化や脅威情勢の変化に応じて、定期的に情報収集をされることをおすすめします。


    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    サイバーインシデント緊急対応

    サイバーセキュリティ緊急対応電話受付ボタン
    SQAT緊急対応バナー

    ウェビナー開催のお知らせ

  • 2025年10月22日(水)14:00~15:00
    ランサムウェア対策セミナー2025 ~被害を防ぐための実践的アプローチ~
  • 2025年10月29日(水)13:00~14:00
    【好評アンコール配信】「フィッシング攻撃の最新脅威と被害事例〜企業を守る多層防御策〜
  • 最新情報はこちら


    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。

    Security Serviceへのリンクバナー画像
    BBsecコーポレートサイトへのリンクバナー画像
    セキュリティ緊急対応のバナー画像

    アサヒグループを襲ったランサムウェア攻撃

    Share

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    アサヒグループを襲った大規模サイバー攻撃アイキャッチ画像

    2025年9月29日午前7時頃、日本を代表する飲料メーカー、アサヒグループホールディングス株式会社が大規模なサイバー攻撃を受けました*6 。サイバー攻撃を受け、アサヒグループの業務システムが全面的に停止する事態に陥り、ビジネスの根幹を揺るがす重大なインシデントとなりました。本記事では、公式発表をもとに攻撃の概要と影響範囲、今後の課題について解説します。

    【関連ウェビナー開催情報】
    弊社では10月22日(水)14:00より、「ランサムウェア対策セミナー2025 ~被害を防ぐための実践的アプローチ~」と題したウェビナーを開催予定です。最新のランサムウェア攻撃手口と国内外の被害事例を解説するとともに、企業が取るべき実践的な「防御の仕組み」を具体的に紹介します。ご関心がおありでしたらぜひお申込みください。

    事件の概要

    2025年9月29日午前7時頃、アサヒグループホールディングス株式会社が突如として大規模なサイバー攻撃を受けました。サイバー攻撃を受け、アサヒグループの業務システムが全面的に停止する事態に陥り、ビジネスの根幹を揺るがす重大なインシデントとなりました。アサヒグループは国内外で事業を展開する巨大企業であり、日本市場での売り上げが全体の約半分を占めています。そのため今回の攻撃は業界内外に大きな波紋を広げています。事件は単なる技術的問題にとどまらず、日本企業が直面するサイバーセキュリティの現状と課題を象徴するものであることを強調しておきたいところです。

    攻撃の影響範囲

    今回のサイバー攻撃は日本国内の事業に限定されており、特に受注や出荷をはじめとした物流業務、さらに顧客対応を担うコールセンター、さらには生産活動にまで深刻な影響を与えました。受注および出荷業務のシステム停止は全国内のグループ各社に及び、ビールや清涼飲料水などの商品供給が一時的に滞ったことは想像に難くありません。生産面では国内約30の工場の多くが停止し、供給網全体が断絶寸前の状況に追い込まれました。一方で、欧州やオセアニア、東南アジアなどの海外事業には影響がなく、地域単位でセキュリティ境界を設計していたことが一定の防御効果をもたらした可能性が示唆されています。

    情報漏洩の現状とリスク

    アサヒグループは公式声明で、現段階で個人情報や顧客データ、企業情報の漏洩は確認されていないと発表しているものの、詳細な調査は継続中であるとしています。サイバー攻撃の被害調査は時間を要するものであり、新たな事実が明らかになる可能性を完全には否定できません。この点は、情報管理が企業の信用維持に直結する食品・飲料業界において特に重要なポイントです。これまでのところ、流出がないことは幸いですが、それでも引き続き厳密な対応が求められています。

    サーバへのランサムウェア攻撃であることを確認

    これまでの調査で明らかにされている事実は、攻撃開始が9月29日の早朝であり、標的は日本国内の主要業務システムに絞られていることです。攻撃により業務システムの完全停止という被害をもたらしているものの、サイバー攻撃の詳細なシナリオは現時点(2025年10月3日時点)で非公表となっています。専門家たちはアサヒグループのサーバに対するランサムウェア攻撃である、と確認しましたが、犯行グループからの声明がなく、ダークウェブでの脅迫サイトにもアサヒの名はみられないため、具体的な状況は流動的です。身代金の要求自体も公にされていない中で、交渉が進行中であるとの報告もあり、今後の展開に注目が集まっています。

    巨大企業に与えたビジネスインパクトと市場への影響

    アサヒグループは従業員約3万人、年間で1億ヘクトリットルもの飲料を生産する日本最大級の飲料メーカーです。2024年の売上高は約2兆9,394億円に達し、日本のビール市場の約3分の1を占めています。今回のサイバー攻撃による業務停止は、たんにアサヒグループの損失にとどまらず、同業界全体に波及するリスクを含んでいます。食品・飲料業界はダウンタイムに対して極めて厳しい規制や慣習があり、1時間の停止だけで数億円の損失が発生するケースも珍しくありません。過去の類似事例では、Marks & Spencerが約3億ドル、Co-operative Groupが約1億8百万ドルの損失を出したことからも、アサヒグループの被害がいかに大きいか推測できます。

    システム復旧対応の状況と今後の課題

    2025年10月3日現在、アサヒグループは依然として復旧の見通しが立っておらず、生産再開が遅れている状況を公表しています。10月1日に予定されていた新商品発表会も中止され、事態の深刻さがうかがえます。今後の最大の課題は迅速な復旧とビジネス継続性の確保であり、これと並行してセキュリティ対策の抜本的な見直しと強化、顧客信頼の回復、そしてサプライチェーン全体の再構築が急務です。これらは単に企業の情報システムの問題のみにとどまらず、社会的信用や取引先との関係維持に直結する重要なポイントです。

    日本企業を襲うサイバー攻撃の波

    今回の事件は、日本企業全体が直面するサイバー脅威の一例に過ぎません。実際、日本国内ではランサムウェア攻撃が増加しており、特に中小企業は脆弱な体制のために深刻なリスクに晒されています。さらに、サプライチェーン経由の攻撃も増えており、2022年に起きた小島プレス工業株式会社の攻撃によりトヨタの国内14工場が操業停止に追い込まれたケース*2
    は記憶に新しいです。これらの事例は、業界全体や取引先と連携した包括的なセキュリティ対策の必要性を企業に対して訴えています。

    迅速な対応と長期的セキュリティ対策の重要性

    アサヒグループをはじめとする日本企業は、今回の事件を踏まえて即時的な対策を講じる必要があります。インシデント対応計画の見直しやバックアップ体制の強化、サプライチェーンのリスク評価は最低限必須です。また、危機時の情報伝達(Crisis communication)体制も整備し、ステークホルダーへの透明で迅速な対応が求められます。長期的にはゼロトラストアーキテクチャの導入、定期的なセキュリティ訓練、業界横断での脅威情報共有、さらにサイバー保険によるリスクの財務的緩和といった多層的な防御策を推進することが望まれます。

    食品・飲料業界全体への提言と未来への展望

    食品・飲料業界はその性質上、ダウンタイムに対する許容度が非常に低く、今回のアサヒグループの事件が業界全体に警鐘を鳴らすこととなりました。業界標準のセキュリティフレームワークを策定し、サプライチェーン全体での防御態勢を強化するとともに、官民が連携して新たな脅威に対抗するための研究開発へ投資を行うべきでしょう。こうした取り組みが、将来的な安全性の担保やブランド価値の維持に不可欠となります。アサヒグループの早期復旧と、事件を契機とした日本企業全体のセキュリティレベルの向上が期待されます。

    【関連情報】


    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    ウェビナー開催のお知らせ

  • 2025年10月8日(水)14:00~15:00
    ウェビナー参加者限定特典付き!
    ソースコード診断で実現する安全な開発とは?脆弱性対策とDevSecOps実践
  • 2025年10月22日(水)14:00~15:00
    ランサムウェア対策セミナー2025 ~被害を防ぐための実践的アプローチ~
  • 2025年10月29日(水)13:00~14:00
    【好評アンコール配信】「フィッシング攻撃の最新脅威と被害事例〜企業を守る多層防御策〜
  • 最新情報はこちら


    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。

    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。


    Security Serviceへのリンクバナー画像

    BBsecコーポレートサイトへのリンクバナー画像

    セキュリティ緊急対応のバナー画像

    AIとセキュリティ最前線 -AI搭載マルウェアとは?脅威とセキュリティ対策-

    Share

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    AIとセキュリティ最前線‐AI搭載マルウェアとは?脅威とセキュリティ対策‐アイキャッチ画像

    AIの進化により業務効率化を促進された一方で、ChatGPTを悪用したフィッシングメールやAI画像による偽装、AIを搭載したマルウェア・ランサムウェアの出現、さらにプロンプトインジェクションによる情報漏洩など、脅威が多様化しています。本記事では「AIとセキュリティ」をテーマに、AIの脆弱性と悪用事例を整理し、マルウェア検知や組織が取るべき防御策を解説します。AI活用に取り組む企業にとって必読の内容です。

    AIとセキュリティの関係性

    AI技術の進歩は、業務効率や創造性の向上に大きく寄与する一方で、サイバーセキュリティの面では新たな脅威を生み出しています。近年では、AIを悪用したフィッシングメールや偽画像の拡散、AIを組み込んだマルウェアやランサムウェアの登場、さらにプロンプトインジェクションによるチャットボットの不正操作や情報漏洩など、AIに関連した多様な攻撃手法が報告され、「AIとセキュリティ」は組織にとって喫緊の課題となっています。こうした脅威はいずれも、組織の情報資産や業務全体に影響を及ぼすリスクの一部として理解することが重要です。

    一方、防御の側面でもAIは進化しており、マルウェア検知やログ監視の高度化、EDRによる未知の脅威の早期発見など、攻撃と防御の双方でAIセキュリティは進化しています。組織には、脅威を正しく理解すると共に、防御面におけるAI活用を積極的に進める姿勢が求められます。

    SQAT.jpでは過去にも「ChatGPTとセキュリティ」をテーマにした記事を公開しています。こちらもあわせてぜひご覧ください。
    ChatGPTとセキュリティ-サイバーセキュリティの観点からみた生成AIの活用と課題-

    フィッシングメールの高度化

    従来までのフィッシングメールは、誤字脱字や不自然な日本語が多く、注意深い利用者であれば比較的容易に見抜くことができました。しかし、生成AIの普及により状況は一変しています。生成AIにより日本語の生成精度が飛躍的に高まり、違和感のない文章を伴ったフィッシングメールが大量に作成されるようになったからです。加えて、AIの支援により攻撃者は高度なソーシャルエンジニアリング手法を容易に組み込めるようになっています。例えば、受信者の立場や業務状況に即した文脈を織り込み、心理的に開封やクリックを誘導しやすいメールを簡単に作成できるのです。これにより、従来の「日本語が怪しい」「文脈が不自然」といった従来型のチェックでは見抜けないケースが増えています。

    世の多くの組織にとってそうであるように、サイバー攻撃者にとっても生成AIはコスト削減と効率化の強力な武器となっています。組織にとっては、こうしたフィッシングの高度化が新たなリスクとして突き付けられており、今後は人の注意力に依存した防御では限界があることを認識する必要があります。

    AI内蔵型マルウェア「LameHug」

    LameHugは、2025年7月にウクライナのCERT‑UAによって発見された、APT29の関与が疑われるAI(大規模言語モデル:LLM)を実行時に活用するマルウェアです。従来型マルウェアがあらかじめ定義されたコマンドや固定の挙動を持つのに対し、LameHugは感染端末の環境に応じてリアルタイムにコマンドを生成します。スピアフィッシングメールを起点に感染が始まり、攻撃メールには偽装されたアーカイブが添付されています。LameHugは被害者のファイル構造やネットワーク構成に応じて、LLMが最適なWindowsコマンド(systeminfo、tasklist、netstat、ipconfigなど)を組み合わせて指令を出すため、従来型マルウェアより柔軟な挙動が可能です。さらに、署名ベースや静的検知に頼る従来のセキュリティツールを回避しやすい点も特徴です。動的にコマンドを生成するため、固定パターンでは検知が困難です。また、データ窃取も迅速に行われ、持続的なバックドアより「一度に情報を奪う」設計となっています。

    このように、LameHugは従来型マルウェアと比べ、環境適応性・リアルタイム性・検知回避能力が大きく進化しており、サイバーセキュリティの脅威像を再定義する存在と言えます。

    AI搭載ランサムウェア「PromptLock」

    2025年8月、ESETの研究チームは世界初のAI搭載ランサムウェア「PromptLock」を発見したと発表し、セキュリティ業界に大きな注目を集めました。後にこれはニューヨーク大学(NYU)の研究者による実験的な取り組みであることが判明しましたが、AIを活用したランサムウェアのコンセプトが現実に成立し得ることを示した意義は非常に大きいといえます。

    PromptLockは、従来型ランサムウェアと異なり、感染後の挙動や身代金要求文をAIが自動生成できる点が特徴です。これにより、固定的なパターンに依存した従来の検知方法では捕捉が難しくなるだけでなく、対象組織の環境や状況に応じたカスタマイズ攻撃も可能となります。また、複数の端末やネットワーク構成に合わせた戦略的な攻撃展開も現実的に行えるため、AIを用いたランサムウェアの概念が現実の攻撃として成立し得ることが明確に示されました。

    プロンプトインジェクション攻撃

    近年、AIブラウザやチャットボットを対象とした「プロンプトインジェクション攻撃」が、新たな深刻な脆弱性として指摘されています。生成AIの普及とブラウザや業務システムとの連携拡大に伴い、攻撃の実現可能性は高まっています。この攻撃は、ユーザが入力する指示文に悪意あるプロンプトを仕込み、AIを騙して本来想定されていない動作をさせるものです。具体的には、外部の攻撃者が生成AIを組み込んだブラウザに不正な指示を与え、社内機密や顧客データを外部に送信させたり、悪意あるコードを実行させたりするリスクが確認されています。AIが入力テキストを過剰に信用する設計に起因するこの脆弱性は、単なる技術的課題にとどまらず、組織の情報漏洩や業務継続への影響、コンプライアンス違反など、幅広いリスクに直結します。AIを導入する際には、セキュリティ検証やアクセス制御を徹底し、AIであることを安全の前提と考えない姿勢が重要です。

    AIのセキュリティリスク

    AIの利活用が広がる中で、組織が直面するセキュリティリスクは多岐にわたります。代表的なものとして、学習データの改竄・汚染(データポイズニング)、情報漏洩、シャドーAIの3つが挙げられます。

    データの改竄・汚染(データポイズニング)

    AIは学習データに依存して判断を行うため、攻撃者が学習データに不正なデータを混入させると、AIは誤った判断を下す危険があります。例えば、不正な金融取引データを「正常」と学習させれば、不正検知システムは攻撃を見逃してしまいます。製造や物流などの業務プロセスでも同様に、AIが学習したセンサーデータや工程情報に不正を混ぜ込まれると、品質管理や異常検知の精度が低下し、損害や事故につながる可能性があります。データポイズニングは、従来のサイバー攻撃のようにネットワークや端末に直接侵入するものではなく、AIの判断プロセスそのものを標的にする攻撃である点が特徴で、組織のAI活用戦略全体に影響を及ぼす深刻なリスクです。

    情報漏洩

    生成AIはときに業務データや個人情報を入力したうえで利用されます。しかし、AIが取り扱うデータが外部に流出すると、個人のプライバシー侵害や顧客情報の漏洩、さらには競合優位性の喪失といった深刻な問題を引き起こすことを意味します。特に外部クラウド型AIサービスを利用する場合、データがどのように保存され、処理されるのかを正確に把握しておく必要があります。また、AIが生成したアウトプットに機密情報が含まれる場合、意図せず社外に配信される可能性もあるため、データ取り扱いルールやアクセス権限の厳格化が不可欠です。AIによる業務効率化の恩恵を享受する一方で、情報漏洩のリスクを軽視することはできません。

    シャドーAI

    まず、次の情報をご覧ください。

    • 44%の従業員が会社のポリシーに反してAIを職場で使用
    • 38%の従業員が承認なしに機密データをAIプラットフォームと共有

    【参考情報】

    このように、多くの組織では、従業員が個人アカウントで生成AIを業務に利用する「シャドーAI」の実態が明らかになってきています。このことは、管理部門の把握を超えてAIが利用されるため、セキュリティ上の盲点となる可能性があります。例えば、従業員が個人アカウントで顧客データをAIに入力して分析した場合、管理者はその行為を追跡できず、万一情報漏洩が発生しても原因究明が困難です。また、AIの利用ログが社内ポリシーで管理されていないと、不正利用や誤った意思決定の温床になる可能性があります。組織は、シャドーAIの使用状況を可視化し、利用ガイドラインや教育プログラムを整備することが求められます。

    これらのリスクは、AIの利便性と表裏一体です。経営層や情報システムの担当者は、AIがもたらす業務効率化の恩恵とリスクの両面を正しく理解し、自社の業務環境に即した具体的な対策を講じることが不可欠です。

    組織が実施すべきセキュリティ対策

    組織はAIを活用する環境において、従来のセキュリティ対策だけでは不十分です。まず、AIモデルやAPIを利用する際には、アクセス制御や権限管理を徹底する必要があります。利用者ごとに適切な権限を設定し、外部からの不正アクセスや情報の持ち出しを防ぐことが重要です。また、マルウェア検知やログ監視を強化することも不可欠です。これにより、AI環境を安全に運用しつつ、組織の情報資産を守る基盤を整備できます。

    SQAT.jpでは過去もフィッシング対策に関する記事を公開しています。あわせてぜひご参照ください。
    ソーシャルエンジニアリング最前線【第4回】企業が実践すべきフィッシング対策とは?
    フィッシングとは?巧妙化する手口とその対策

    セキュリティ人材の育成

    AIを含む高度化するサイバー攻撃に対応するには、技術だけでなく人材の育成も不可欠です。組織は情報セキュリティ教育を通じて、従業員にAIの利活用に伴うリスクや最新の脅威動向を理解させる必要があります。例えば、フィッシングメールの高度化やプロンプトインジェクションの可能性、シャドーAIではどのようなリスクがあるのかなどを具体的に学ぶことで、日常業務におけるリスク意識を高められます。また、社内での演習やシミュレーションを通じて、攻撃を想定した実践的な対応力を養うことも重要です。こうした取り組みにより、単なるツールの管理者ではなく、攻撃に対して能動的に判断・対応できる人材を育て、組織全体のセキュリティ体制を強化することが可能です。詳しくは下記のお問い合わせボタンからお問い合わせページに飛んでいただき、お気軽にお問い合わせください。

    AIの進化は、組織に大きな競争優位をもたらす一方で、新たなサイバー脅威を次々と生み出しています。今後の組織に求められるのは、防御と利活用のバランスを取りながらAI時代にふさわしいセキュリティ戦略を構築し、競争力を維持していくことでしょう。

    BBSecでは

    インシデント初動対応準備支援

    拡大するサイバーセキュリティの脅威に対応するために今すぐにでも準備すべきことを明確にします。

    https://www.bbsec.co.jp/service/evaluation_consulting/incident_initial_response.html
    ※外部サイトにリンクします。

    G-MDRTM

    サイバー攻撃への防御を強化しつつ、専門技術者の確保や最新技術への投資負担を軽減します

    https://www.bbsec.co.jp/service/mss/gmdr.html
    ※外部サイトにリンクします。

    エンドポイントセキュリティ

    組織の端末を24/365体制で監視。インシデント発生時には端末隔離等の初動対応を実施します。

    https://www.bbsec.co.jp/service/mss/edr-mss.html
    ※外部サイトにリンクします。

    サイバーインシデント緊急対応

    サイバーセキュリティ緊急対応電話受付ボタン

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    ウェビナー開催のお知らせ

  • 2025年10月1日(水)13:00~14:00
    2025年10月Windows10サポート終了へ 今知るべきサポート切れのソフトウェアへのセキュリティ対策ガイド
  • 2025年10月8日(水)14:00~15:00
    ウェビナー参加者限定特典付き!
    ソースコード診断で実現する安全な開発とは?脆弱性対策とDevSecOps実践
  • 2025年10月22日(水)14:00~15:00
    ランサムウェア対策セミナー2025 ~被害を防ぐための実践的アプローチ~
  • 2025年10月29日(水)13:00~14:00
    【好評アンコール配信】「フィッシング攻撃の最新脅威と被害事例〜企業を守る多層防御策〜
  • 最新情報はこちら


    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。

    Security Serviceへのリンクバナー画像
    BBsecコーポレートサイトへのリンクバナー画像
    セキュリティ緊急対応のバナー画像

    AIコーディング入門 番外編:オープンソースソフトウェアのサプライチェーン攻撃とタイポの落とし穴

    Share

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    AIコーディング入門番外編アイキャッチ画像(OSSのサプライチェーン攻撃)

    AIを活用したコーディングが普及する一方で、オープンソースソフトウェア(OSS)を狙ったサプライチェーン攻撃が増加しています。特に、開発者のタイポを悪用する「Typosquatting」や、AIのハルシネーションに便乗する「Slopsquatting」といった手法は、身近で深刻な脅威です。本記事では、実例を交えながらその仕組みとリスクを解説し、安全なAIコーディングを実践するためのポイントを紹介します。

    コードを書く人やインフラストラクチャの構築をする人ならば、人生で最低でも一度は経験しているであろうこと、それはタイプミス、いわゆるタイポ(typo)ではないでしょうか。タイポ、些細なミスで、日常的に発生するものなのですが、中には重大なものもあります。

    タイプミスが招く落とし穴 ─ Typosquattingとは

    皆さんは「タイポスクウォッティング」という言葉をご存じでしょうか。Web関連のお仕事をされている方であれば、URLのタイポスクウォッティング、つまり間違いやすい・紛らわしいURLでユーザーをおびき寄せる手法としてのタイポスクウォッティングをご存じの方も多いかと思います。この手法がオープンソースソフトウェアでも昨今使用されるようになっています。

    例えばnpmの場合、

    npm install package_name

    と入力することでパッケージのインストールを実行できます。インストールしたパッケージは例えばjavascript(react)を利用している環境であれば

    import {
    コンポーネント名
    } from “@/fullpath/to/package_name”;

    の形でコードの先頭で利用するパッケージ名を宣言します。

    世の中にはこのパッケージ名のよくあるタイプミス(typo)を狙って作られたマルウェアの一種が存在します。そんなマルウェア、何のためにあるのだろうという方も多いと思いますが、例えば暗号資産のウォレットを狙ったマルウェアや、システムへの侵害目的のマルウェアなどが最近では話題になっています。

    npmやPythonなどOSSでの事例

    暗号資産を狙うマルウェアの脅威

    暗号資産を狙ったマルウェアについては偽の採用面接中に実行を求められるケースも報告されています。

    Socket,[Another Wave: North Korean Contagious Interview Campaign Drops 35 New Malicious npm Packages]https://socket.dev/blog/north-korean-contagious-interview-campaign-drops-35-new-malicious-npm-packages

    偽の採用プロセスとソーシャルエンジニアリング

    採用面接に至るということは例えば採用条件面で魅力的である、採用プロセスに見せかけたフェーズで偽の採用者に対して高い信頼を持つよう誘導されている、著名な企業などに成りすますことで権威性・信憑性を信じさせられる、オンライン環境による信頼レベルを悪用される、といったソーシャルエンジニアリングの基本ともいえる「人」が抱える脆弱性をすでに悪用された状態です。

    関連記事:
    ソーシャルエンジニアリング最前線【第1回】ソーシャルエンジニアリングの定義と人という脆弱性」(https://www.sqat.jp/kawaraban/37089/

    その状態で、面接というストレスのかかる、失敗が許されないと思ってしまう状況で紛らわしい名称の不正なコードや、不正なパッケージを含むコードを実行させられた場合、気づくことは容易ではありません。面接で突然コードを実行させられることに違和感を覚えてその場を退出することが最善かもしれませんが、Zoomのリモートコントロール機能を使ってマルウェアを実行するケースもあることから、特にすべてをオンラインで完了させるタイプの採用プロセスそのものに対して常に疑わしいかどうか疑問を持ち続けるしか対策はないかもしれません。

    Zoomのリモートコントロール攻撃

    参考情報:

    The Trail of Bits Blog,[Mitigating ELUSIVE COMET Zoom remote control attacks](https://blog.trailofbits.com/2025/04/17/mitigating-elusive-comet-zoom-remote-control-attacks/

    なお、昨年末に警察庁・内閣サイバーセキュリティセンター・金融庁連名で偽の採用試験関連で注意喚起が出ています。今一度ご確認ください。

    警察庁/内閣サイバーセキュリティセンター/金融庁「北朝鮮を背景とするサイバー攻撃グループ TraderTraitor によるサイバー攻撃について (注意喚起)」(令和6年12月24日)(https://www.npa.go.jp/bureau/cyber/pdf/20241224_caution.pdf

    タイポよりも怖い?生成AI時代の新たな罠 ─ Slopsquatting

    生成AIやAIエージェントの普及でAIを使用したコーディングを行う人も増えていると思います。「typoもないし、いいじゃない?」と思う方も多いと思いますが、生成AIには「ハルシネーション」という最大の難点があります。人間のtypoぐらいの頻度で遭遇する現象の一つといっても言い過ぎではないかもしれません。そんなハルシネーションを狙って、偽のパッケージが用意されていたら?という内容のレポートが公開されました。

    参考情報:

    トレンドマイクロ株式会社「スロップスクワッティング:AIエージェントのハルシネーションにつけ込む攻撃手法」(https://www.trendmicro.com/ja_jp/research/25/g/slopsquatting-when-ai-agents-hallucinate-malicious-packages.html

    生成AI単体には生成内容の検証メカニズムがありません。このため、AIエージェントを利用したコーディングの場合はエージェント側の機能として備わっている検証機能を利用することが必要です。具体的な手法はレポートにも記載がありますが、日進月歩で新たな機能が登場する現状では最新の情報も併せて探すことをお勧めします。 また、エージェントを用いない場合も含めて、以下のようなリスク回避策を基本とするのもよいかもしれません。

    • 参照するパッケージ・モジュールを限定して、typosquattingやslopsquattingなどのリスクを回避する
    • やむを得ず新しいパッケージ・モジュールをインストールする場合は人の手を介したチェックを行うことで、リスクを抑制する

    実際に筆者もプロンプトで利用パッケージを限定していますが、特に利便性の阻害を感じたことはありません。また、周囲とのコミュニケーションでパッケージ・モジュールの情報の交換、推奨などの情報を得ることも多くあり、AI時代のコーディングとはいえコミュニケーションも併せて重要であることを実感しているところです。

    プロンプトエンジニアリングと検証の重要性

    前出のレポートで指摘されている原因の一つにはプロンプトの一貫性やあいまいさといった自然言語による指示ならではの問題があります。プロンプトエンジニアリングなどについては以下の記事でもご紹介しています。ただし、モデル側の実装状況などによりユーザー側の努力の反映には限界があるため、必ず生成結果に対する人のチェック(一種のHuman in the Loop)はプロセスとして欠かさないことが望まれます。

    関連記事:
    AIコーディング入門 第1回:Vibeコーディングとプロンプトエンジニアリングの基礎」(https://www.sqat.jp/kawaraban/38067/

    正規リポジトリの乗っ取りという最大の脅威

    2025年7月、npmの開発者をターゲットにしたフィッシングが報告されました。この後、複数のパッケージの乗っ取りが報告されています。

    npm開発者を狙ったフィッシング事例

    オープンソースソフトウェア(OSS)経由のサプライチェーン攻撃

    ここまででお気付きの方も多いと思いますが、今回取り上げた様々な攻撃手法はすべてオープンソースソフトウェア経由のサプライチェーン攻撃として、1つにまとめることができます。プログラミング言語の多く、そしてWebサイトの構築に用いられるJavaScriptのフレームワークの多くはオープンソースソフトウェアとして流通しています。プログラミング言語やJavaScriptのフレームワークは実際に利用するにあたって利便性を向上させる目的で多くのパッケージやモジュール、ライブラリなどがオープンソースとして開発・公開されています。これらのオープンソースソフトウェアは現在では多くが多数のコントリビューターとメンテナーによってGitHub上で公開され、開発が行われています。GitHubからnpmなどのパッケージ管理システムへの公開も一貫して行うことができるため、非常に利便性が高い反面、今までに挙げたような攻撃を仕掛けるための利便性も高くなっています。また、オープンソースソフトウェアは相互に依存性を持つことが多いことから、人気のあるモジュール・パッケージへの攻撃が多数のモジュール・パッケージやシステムへ影響を及ぼすことができます。これが、オープンソースソフトウェアへのサプライチェーン攻撃における最大の特徴ともいえるかもしれません。オープンソースソフトウェアを利用する以上、こういったリスクがあることは十分理解したうえで利用する必要があります。

    オープンソースソフトウェアの利用の条件としてセキュリティ面でかなりハードルが高いのは事実ですが、一方で利便性・柔軟性・モダンなシステムの構築といった観点からオープンソースソフトウェアを全く利用しない(プロプライエタリソフトウェアだけで構築する)というのは難しいという現状に鑑みるとやむを得ない選択であるとも言えます。

    開発者がとるべき対策

    こういったケースに対応するには依存関係のチェックや追跡、SBOMによる管理が必要になります。依存関係のチェックや追跡にはGitHubを使用している場合ならばDependabotの利用、その他のコードレポジトリを対象とする場合は各種の依存関係トラックツールを使用する必要があります。SBOMで自身のコードのコンポーネントと依存関係の管理を合わせて行うことで、システム全体としての管理を行うことが求められます。

    まとめ ― AI時代のオープンソースソフトウェア利用に求められる視点

    タイプミスを悪用した Typosquatting、AIのハルシネーションに便乗する Slopsquatting、さらには正規リポジトリの乗っ取りといった攻撃は、いずれもオープンソースソフトウェアを媒介とするサプライチェーン攻撃として位置づけられます。これらは利便性と引き換えに大きなリスクを伴い、暗号資産の窃取やシステム侵害といった深刻な被害へとつながりかねません。OSSの依存関係は複雑で、人気パッケージが狙われることで広範囲に影響が及ぶことも少なくありません。そのため、参照パッケージを限定する運用、人による確認(Human in the Loop)、Dependabotなどの依存関係管理ツールの活用、SBOMによる包括的なコンポーネント管理 といった対策が不可欠です。AIを活用したコーディングが普及する中でも、「便利だから任せる」のではなく、常に検証と疑問を持ち続ける姿勢 が求められます。セキュリティと利便性の両立こそが、これからのOSS利用とAI開発における鍵といえるでしょう。


    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    ウェビナー開催のお知らせ

  • 2025年9月24日(水)12:50~14:00
    製造業・自動車業界のためのサプライチェーン対策 -攻撃事例から学ぶ企業を守るセキュリティ強化のポイント-
  • 2025年10月1日(水)13:00~14:00
    2025年10月Windows10サポート終了へ 今知るべきサポート切れのソフトウェアへのセキュリティ対策ガイド
  • 2025年10月8日(水)14:00~15:00
    「ソースコード診断で実現する安全な開発とは?脆弱性対策とDevSecOps実践」
  • 最新情報はこちら


    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。

    Security Serviceへのリンクバナー画像
    BBsecコーポレートサイトへのリンクバナー画像
    セキュリティ緊急対応のバナー画像

    連載記事:企業の「攻め」と「守り」を支えるIoT活用とIoTセキュリティ
    第2回 身近に潜むIoTセキュリティの脅威とは?─リスクと被害事例から学ぶ必要性

    Share

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    IoT活用とIoTセキュリティアイキャッチ画像(IoTセキュリティの脅威)

    IoTの普及は企業活動を大きく変革する一方で、新たなセキュリティリスクを急速に拡大させています。スマートカメラや複合機といった身近な機器が攻撃の標的となり、情報漏洩や業務停止といった深刻な被害につながる事例も増加中です。本記事では、IoTセキュリティ特有の脅威や実際の被害事例を取り上げ、そのリスクを正しく理解することで、経営層やIT担当者が取るべき対策の必要性を明らかにします。

    IoTセキュリティの特殊性

    PCやサーバであればOSベンダーが月例パッチを配布し、管理者もGUIで容易に適用できます。ところが、IoTデバイスは制御用の軽量OSを採用しており、そもそも自動更新機能が実装されていない機種が少なくありません。屋外や高所に長期設置される機器の場合、物理的にアクセスしてUSB経由でアップデートする手間が大きく、結果として脆弱性が放置される確率が跳ね上がります。NIST SP 800-213は「設置場所と更新手段の乖離がIoT固有のリスクを増幅させる」と分析しています。

    攻撃者がIoT機器を狙う3つの合理性

    まず第1に台数の多さです。SonicWall社が公開している「2023 SonicWall Cyber Threat Report」によると、「世界のマルウェア感染端末の40%以上がIoT由来である」と指摘されています。第2に防御の甘さが挙げられます。JPCERT/CCが2024年に国内8,000台を調査*3したところ、Telnetや SSHのデフォルト認証情報がそのままのIoTデバイスが12%存在しました。第3は“隠密性”です。プリンタや監視カメラがマルウェアのC&C通信に使われても、ユーザは映像も印刷も通常どおり動くため気づきにくいという状況があります。

    代表的な被害事例

    2016年のMiraiボットネットはコンシューマー向けルーターとネットワークカメラに感染し、最大620GbpsのDDoSトラフィックを発生させ、米DNSプロバイダーDynを一時機能停止に追い込みました。2021年3月に表面化した Verkada社のスマートカメラ大量侵入事件では、管理者アカウント情報がGitHubに誤って公開され、テスラ工場や病院を含む15万台超の映像が外部から閲覧可能となりました。直近ではRapid7が2024年12月に公表したBrother製複合機の脆弱性(CVE-2024-22475ほか)も、認証バイパスによる遠隔コード実行が可能だったため、印刷ジョブを改ざんできるリスクが指摘されました*2

    主要IoTセキュリティ事件年表(2016-2025年)

    事件概要 影響・被害
    2016 Miraiボットネットが家庭用ルーターやネットワークカメラを大量感染させ、620Gbps超のDDoS攻撃で米DNS大手Dynを一時停止*3 大規模サービス停止・インターネット障害
    2017 国内外で小規模監視カメラへの不正ログインが相次ぎ、ライブ映像がストリーミングサイトに無断公開*4 プライバシー侵害・二次被害拡大
    2018 スマート冷蔵庫を含む家電の脆弱性が複数報告され、メーカーが初のOTAアップデートを緊急配布*5 家電乗っ取りリスク・アップデート体制の課題顕在化
    2019 スマートロックなど家庭IoT機器でデフォルト認証情報が放置され、遠隔でドア解錠される事例が報道*6 個人宅への侵入・安全確保への不安
    2020 新型Mirai派生マルウェアが出現、IoT機器を踏み台にしたDDoS攻撃件数が前年比2倍に*7 ネットサービス障害・帯域逼迫
    2021 Verkada社クラウド連携カメラの管理認証情報が流出し、15万台超の映像が外部閲覧可能に*8 大規模映像漏洩・企業ブランド毀損
    2022 国内調査で初期パスワードのまま運用されるIoTデバイスが12%見つかり、ボット化被害が多発 ネットワーク踏み台化・社内横展開
    2023 複数メーカーのスマート照明とセンサーでAPI認証不備が発覚し、遠隔操作や情報流出の恐れ*9 遠隔操作リスク・業務影響
    2024 Brother製複合機に遠隔コード実行脆弱性(CVE-2024-22475など)が公表、修正ファーム未適用機が残存*10 印刷ジョブ改ざん・情報漏えい
    2025 ランサムウェアが産業用IoT機器を暗号化し、生産ラインを停止させる事例が欧州で初報告*11 業務停止・身代金要求

    ※上記事例ソースはすべて一次ソース/一次レポートへの直接リンクもしくは、当該数値・事件を初報として扱った公式発表・専門調査記事です。

    放置すると何が起こるのか

    攻撃によってネットワーク経由で制御を奪われた生産ラインは、最悪の場合でシャットダウンや誤動作を招きます。IPAの試算では、主要部品メーカーが72時間停止した際のサプライチェーン損失は300億円規模に及ぶとされています。さらに監視カメラ映像の流出は顧客や従業員のプライバシー侵害となり、個人情報保護法やGDPRの制裁金が発生する可能性も否定できません。攻撃が社会的信用の喪失に直結する点で、IoTセキュリティは経営課題と捉える必要があります。

    国際・国内動向が示す「対策の必然性」

    ETSI EN 303 645(欧州電気通信標準化機構)は「サイバーセキュリティを前提にIoTを設計せよ」という“セキュリティ・バイ・デザイン”指針を2020年に発効しました。日本でも総務省が2022年に『IoT セキュリティアクション』を改定し、企業規模を問わず「現状把握・リスク分析・対策実装・監視運用」というPDCAを回すことを推奨しています。こうした規制・ガイドラインは今後さらに強化されると見込まれ、早期に準拠体制を整えた企業ほど市場競争力を高める構図になりつつあります。


    ―第3回へ続く―

    【連載一覧】

    ―第1回「今さら聞けないIoTとは?─IoTデバイスの仕組みと活用例で学ぶ基礎知識」―
    ―第2回「身近に潜むIoTセキュリティの脅威とは?─リスクと被害事例から学ぶ必要性」―
    ―第3回「企業が取り組むべき IoT セキュリティ対策とは?─実践例に学ぶ安全確保のポイント」―


    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    ウェビナー開催のお知らせ

  • 2025年9月10日(水)14:00~15:00
    フィッシング攻撃の最新脅威と被害事例〜企業を守る多層防御策〜
  • 2025年9月17日(水)14:00~15:00
    サイバーリスクから企業を守る ─脆弱性診断サービスの比較ポイントとサイバー保険の活用法─
  • 最新情報はこちら


    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。

    Security Serviceへのリンクバナー画像
    BBsecコーポレートサイトへのリンクバナー画像
    セキュリティ緊急対応のバナー画像

    狙われる医療業界2025 医療機関を標的とするサイバー攻撃

    Share

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    医療機関のサイバーセキュリティ(アイキャッチ画像)

    前回の記事の公開から約5年が経ちましたが、医療機関を標的とするサイバー攻撃の脅威はむしろ増加しています。特にランサムウェアによる被害は国内外問わず深刻化し、患者の命が危険に晒されてしまう可能性も出てきています。いまやインシデントを“他人事”とせず、「命を守るもの」という認識で組織一丸となってセキュリティ対策の見直しをすることが重要です。本記事では医療機関へのサイバー攻撃の脅威とセキュリティ対策の見直しのためのポイントをご紹介します。

    2020年12月公開の記事「狙われる医療業界―「医療を止めない」ために、巧妙化するランサムウェアに万全の備えを」をまだご覧になっていない方はぜひ、この機会にご一読ください。

    世界的に高まる医療分野へのサイバー攻撃

    ランサムウェアによる被害は世界中で後を絶たず、いまや医療分野は重要な標的の一つとされています。米国のセキュリティ監視サイトRansomware.liveの統計によれば、2025年時点でランサムウェア被害を受けた業種の中で、医療・ヘルスケア関連は第3位に位置しています。医療業界が金融や行政に並ぶほどの標的となっている現実は、決して無視できません。

    Ransomware.live統計円グラフ(ランサムウェア被害を受けた業界)
    出典:Ransomware.liveRansomware Statistics for 2025」(https://www.ransomware.live/stats

    国内でも相次ぐ深刻な被害事例

    日本国内でも、深刻な被害事例が相次いで報告されています。たとえば2024年3月、鹿児島県の国分生協病院では、ランサムウェアによるサイバー攻撃により、電子カルテをはじめとする複数のシステムが使用できなくなり、患者の診療に支障が出るという被害が発生*12しました。また、同年の5月に起きた岡山県精神科医療センターでは、外来診療の一部を中止せざるを得ない事態に追い込まれました*2。このように、サイバー攻撃は単に業務の一時停止を招くだけでなく、医療提供そのものに影響を与え、患者の命を危険に晒す恐れがあるという点で、他業種におけるサイバー被害とはその意味において一線を画します。

    サイバー攻撃は“日常の医療”を止めうる

    Silobreaker社がまとめた医療業界に関する分析レポートでも、ヘルスケア分野に対するサイバー脅威の増加は顕著であり、医療情報の価値の高さとシステムの脆弱性が攻撃を呼び込んでいると指摘されています。国内外でのこうした事例は、「サイバー攻撃が日常の医療を止め得る存在である」という現実を強く物語っています。特に日本では、「まさかうちが」という意識が依然として根強く残っているのが現状ですが、医療機関はすでに、攻撃者にとって“おいしいターゲット”であることを自覚すべき時期に来ています。

    攻撃者はなぜ医療機関を狙うのか

    攻撃側の論理①わきの甘さ=「機会要因」の存在

    医療機関がサイバー攻撃の標的になる。―これはもはや偶発的なものではなく、確かな傾向として定着しつつあります。過去の記事でも言及しましたが、2025年現在ではその背景にある“攻撃側の論理”がより鮮明になってきています。

    多くの人が誤解しがちなのは、「医療機関は狙われている」という表現があたかも特定の施設に対して意図的な攻撃が行われている、という印象を与えてしまう点です。確かに、一部には病院のネットワークやデータに照準を合わせた標的型攻撃も存在します。しかし実態としては、多くの場合、攻撃者は最初から「病院を狙って」いるわけではありません。攻撃者は、不特定多数の組織や端末に対して無差別にスキャンをかけ、リモートアクセスサービスやVPN機器、ファイル共有サーバといった、公開された情報から侵入経路を探しています。そしてその中で、意図せず医療機関が引っかかるのです。つまり、標的にされたのではなく、“侵入可能だったから侵入された”というのが現実なのです。

    医療機関では古いシステムが更新されずに残っている、または、ネットワークの分離が不完全なまま稼働していることがあります。また、パスワードの使い回し、脆弱性が放置されたソフトウェア、機器の寿命サイクルの見落としなど、基本的なセキュリティ対策に隙があることが少なくありません。そして、攻撃者にとっては、それこそが格好の「入り口」になるのです。

    攻撃側の論理②「動機」金になる標的としての医療機関

    ランサムウェア攻撃を実行するサイバー攻撃者の目的は、金銭的な利益です。医療機関には、個人情報(診療記録、保険情報、連絡先など)や経営上の内部資料、研究データといった売買可能な資産が豊富にあります。また、医療機関は儲かっているように思われており、そのうえで業務の中断が患者の生命に直結するため、身代金の支払いに応じやすいに違いない、と見られているわけです。つまり、医療機関が狙われるのは、「わきが甘いから侵入しやすい」+「金銭的利益を得やすい重要なデータの宝庫である」=“コストパフォーマンスに優れた良い標的”と見なされているからと考えられます。

    2020年以降医療サイバーセキュリティはどう変わったのか

    制度とガイドラインの整備が進む

    前回の記事からの5年間で、医療分野のサイバーセキュリティを取り巻く制度やガイドラインも着実に充実してきています。例えば2025年5月に、厚生労働省から「医療機関等におけるサイバーセキュリティ対策チェックリスト(令和7年5月版)」が公開され、以前に比べて具体的かつ実践的な内容になっています。クラウド環境やBCP(事業継続計画)への配慮、IoT・BYODといった新たなリスクへの言及も盛り込まれています。

    また、CSIRT(Computer Security Incident Response Team)を設けたり、EDR(Endpoint Detection and Response)などの対策製品を導入したりする医療機関も増えてきました。CSIRTを中心とした地域単位の訓練や、院内外のネットワーク構成の共有と点検を含む取り組みが、学術会議や業界団体の枠組みとして増加しています*3。サイバー攻撃に備える土台作りは、着実に進みつつあるといえるでしょう。

    2025年いまだ残る基本的な課題

    一方で、5年前と変わらぬ問題を目にする場面も少なくありません。その一つが、「パスワード管理」です。初期設定のまま放置されたアカウント、業務上の利便性から生まれる使い回し。こうしたわきの甘さが、攻撃者の入り口になることは以前から分かっていたはずですが、2024年の岡山県精神科医療センターの事例などを見ると、なおも同様の傾向が残っていることがうかがえます。また、電子カルテやシステムのクラウド化に対しても、依然として現場では極端な見方が交錯しているように思えます。「クラウドだから安全」と根拠のない安心感を持つ一方で、「クラウドだから怖い」「電子カルテという形式そのものが危ない」といった漠然とした不安も根強く見受けられます。

    どちらにしても共通するのは、仕組みやリスクを正しく理解しないまま思い込んでいるケースが少なくないということです。実際には、クラウドの活用は有効な手段のひとつでありつつも、アクセス制御や端末管理、ネットワーク構成など、設定次第でその安全性は大きく変化します。こういった基本的な理解の重要性や注意点は、5年前から現在も変わらずに示され続けてきたものですが、いまだに“本質的な理解”が広がり切っていないように見受けられます。

    基本的な課題の根底には、インシデントを“自分事”として捉えづらい空気があるのかもしれません。実際に深刻な被害を受けた他機関の事例を目にしても、「うちには関係ない」とどこかで思ってしまう感覚。それは、ごく自然な反応である一方で、取り返しのつかないインシデントに繋がりかねません。

    自組織のセキュリティ対策の見直しを

    医療機関向けチェックリストやガイドラインの活用

    ここまで見てきたように、医療機関に対するサイバー攻撃は後を絶たず、その影響は診療の継続性や患者の安全、そして組織の信頼性にまで及びます。「自分たちは大丈夫だろう。」「人命最優先で、他を考えている余裕はない。」―そのように考えがちですが、日々の業務に追われている医療現場こそ、今一度立ち止まって、対策の棚卸しを行うことが求められています。対策の見直しにあたっては、厚生労働省が公開している「医療機関等におけるサイバーセキュリティ対策チェックリスト(令和7年5月版)」の活用が効果的です。

    厚生労働省「医療機関等におけるサイバーセキュリティ対策チェックリスト(令和7年5月https://www.mhlw.go.jp/content/10808000/001253950.pdf

    本チェックリストは、技術的な対策だけでなく、組織体制や訓練、業者選定の観点まで網羅されており、現場レベルでも活用しやすい実践的な内容となっています。また、業界全体で参照される基準として、次のようなガイドラインも押さえておくとよいでしょう。

    これらの資料には、医療の特殊性を踏まえた対応策が具体的に記載されており、ベンダや関係業者との連携の際にも参考となります。

    現場の声と経営的視点をつなげる「可視化」

    セキュリティ対策は単なる技術的作業にとどまらず、組織全体で「守るべきもの」を共通認識することが大切です。そのためにも、経営層が積極的に関与し、現場の声を聴きながら継続的な投資と改善を進めていくことが求められます。医療機関にとって、セキュリティはコストではなく、患者の信頼と組織の生命線であることを改めて認識すべきです。その助けになるのが、リスクの「可視化」です。

    仮に端末のひとつがマルウェアに感染したとき、その端末が院内のどの機器と通信しているのか、そこから電子カルテや予約システムにアクセスされたりしないか、バックアップはきちんと機能するかなどなど…。こうした攻撃時の経路や起きうる事象をあらかじめ可視化し、把握しておくことは、被害拡大の防止やインシデント対応の迅速化に大きな効果をもたらすのみならず、経営層の理解を得ることにもつながります。可視化によって得られる「想定していなかった侵入経路」「明らかになる不十分なセキュリティ対策」「攻撃発生時に起きうる具体的な被害」といった情報が、経営層や多くの医療従事者に理解してもらい、組織全体で防御力を高めるための重要な意思決定のための正しい判断材料となりえるでしょう。

    BBSecでは

    BBSecでは以下のようなご支援が可能です。 お客様のご状況に合わせて最適なご提案をいたします。詳細・お見積りについてのご相談は、以下のフォームよりお気軽にお問い合わせください。後ほど、担当者よりご連絡いたします。


    アタックサーフェス調査サービス

    インターネット上で「攻撃者にとって対象組織はどう見えているか」調査・報告するサービスです。攻撃者と同じ観点に立ち、企業ドメイン情報をはじめとする、公開情報(OSINT)を利用して攻撃可能なポイントの有無を、弊社セキュリティエンジニアが調査いたします。

    また費用の問題から十分な初動対応ができないといった問題が発生しかねない状況を憂え、SQAT® 脆弱性診断サービスのすべてに、サイバー保険を付帯させていただいています。

    サイバー保険付帯の脆弱性診断サービス

    BBSecのSQAT® 脆弱性診断サービスすべてが対象となります。また、複数回脆弱性診断を実施した場合、最新の診断結果の報告日から1年間有効となります。詳細はこちら。
    https://www.bbsec.co.jp/service/vulnerability-diagnosis/cyberinsurance.html
    ※外部サイトにリンクします。

    エンドポイントセキュリティ

    組織の端末を24時間365日体制で監視し、インシデント発生時には初動対応を実施します。
    https://www.bbsec.co.jp/service/mss/edr-mss.html
    ※外部サイトにリンクします。

    インシデント初動対応準備支援

    体制整備や初動フロー策定を支援します。
    https://www.bbsec.co.jp/service/evaluation_consulting/incident_initial_response.html
    ※外部サイトにリンクします。

    ウェビナー開催のお知らせ

  • 2025年8月20日(水)13:00~13:30
    EC加盟店・PSP必見!クレジットカード・セキュリティガイドライン6.0版対応ウェビナー
  • 2025年8月27日(水)13:00~14:00
    【最短7営業日で診断&報告】サイバー保険付帯脆弱性診断「SQAT® with Swift Delivery」のご紹介
  • 2025年9月3日(水)13:00~14:00
    止まらないサイバー被害、その“対応の遅れ”はなぜ起こる?~サイバー防衛の未来を拓く次世代XDR:大規模組織のセキュリティ運用を最適化する戦略的アプローチ~
  • 最新情報はこちら

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る


    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。

    Security Serviceへのリンクバナー画像
    BBsecコーポレートサイトへのリンクバナー画像
    セキュリティ緊急対応のバナー画像
    セキュリティトピックス動画申し込みページリンクへのバナー画像

    【長期休暇前の見直しを!】ネットワーク図が消えた瞬間─ランサムウェア時代のインシデント対応を左右する“準備”の質

    Share

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    インシデントレスポンス・フォレンジック記事アイキャッチ画像(パソコンと火のイメージ)

    長期休暇は攻撃者にとっての“ゴールデンタイム”─攻撃の隙を突かれ、組織のネットワーク図や構成情報が暗号化されてしまえば、インシデント初動対応やフォレンジック調査に大きな支障が生じます。本記事ではランサムウェア攻撃の実例を交えつつ、サイバー攻撃への対策の要点を解説します。

    図面サーバが暗号化された実例が突きつけた現実

    2021年1月、プエルトリコ財務省(Hacienda)の共有サーバがランサムウェア「Ryuk」によって暗号化されました。困難を極めたのは業務システムそのものではなく、インシデント対応の羅針盤となるIDSログとネットワーク図まで人質に取られたことでした。CompSec Direct社は、外部のDFIR(Digital Forensics & Incident Response)チームが構成を把握するまでに数時間を費やし、その間オンライン納税が全面停止した結果、1日あたり2000万ドルを超える税収が失われたと報告しています。さらに同様のリスクが民間企業にも差し迫っています。Microsoft Igniteで発表されたランサムウェアバックアップ戦略ガイド「Ransomware attack recovery plan」では、「ネットワーク図やCMDBは攻撃者が真っ先に狙う復旧用ドキュメントであり、失えば復元計画そのものが成立しなくなる」と警鐘を鳴らしています。

    ネットワーク図はフォレンジック調査とCSIRTの羅針盤

    マルウェア感染が判明した直後、CSIRT(Computer Security Incident Response Team)はネットワークをどこで遮断すべきか、どのホストでメモリダンプやパケットキャプチャを始めるべきかを瞬時に決めなければなりません。その判断を支える“地図”こそ最新のネットワーク図です。AWS Incident Response「Document and centralize architecture diagrams」でも、アーキテクチャ図を一元的に保管し常に更新しておくことが「迅速かつ正確な封じ込めの前提」と明示しています。

    フォレンジック担当者にとっても図面は欠かせません。感染セグメントの境界を論理的に隔離し、ログ残存率の高い経路を優先してトラフィックを保存し、横展開を想定したホストに的を絞ってメモリを取得する—こうした分単位のオペレーションは、正確な構成情報があって初めて迷いなく実行できます。図面が欠落した状態では、調査は手探りになり、感染拡大のリスクが急激に高まります。

    攻撃者が真っ先に狙う“復旧用ドキュメント”

    近年のランサムウェアは単にシステムを暗号化するだけでなく、復旧の要となるバックアップやドキュメントを破壊・窃取する二重・三重恐喝が主流です。Microsoftは前述した「Ransomware attack recovery plan」の中で、図面を含む復旧ドキュメントを必ずイミュータブルまたはオフラインの領域へ隔離し、管理者権限を奪われても書き換えられないように設計することを強調しています。この”文書奪取型”の攻撃は、組織が身代金を支払わざるを得ない状態へ追い込む目的で計画的に行われます。したがって、図面の退避先をシステムとは別レイヤーに置く設計思想そのものが、ランサムウェア時代の事業継続計画(BCP)の根幹となります。

    三層バックアップと3-2-1 ルール—図面を守るための冗長化設計

    攻撃者がドキュメントを狙う前提を踏まえ、Microsoft Azureや多くのクラウド事業者は「三層バックアップ」を基準として推奨しています。第一層は多要素認証を必須化したオンラインバックアップで、日常的な迅速リストアを担います。第二層はクラウドのイミュータブルストレージで、週次コピーを保管し、管理者権限の奪取による改ざんを防ぎます。第三層は完全オフラインの隔離媒体で月次アーカイブを保持し、最悪のシナリオでも“最後の砦”として機能します。この三層構造の流れは下図の通りです。

    三層バックアップのイメージ図

    三層バックアップは、しばしば「三つのコピー・二種類の媒体・一つはオフサイト」という 3-2-1ルールとも呼ばれ、ログやアプリケーションデータだけでなくネットワーク図のような復旧必須ドキュメントにもそのまま適用できます。重要なのは、図面を単なるPDFとして保存するのではなく、バージョン管理システムやIaC(Infrastructure as Code)ツールで変更履歴を残し、更新が発生するたびに自動でイミュータブル層へ複製する運用プロセスを組み込む点にあります。

    長期休暇は“攻撃者のゴールデンタイム”

    大型連休や年末年始は、内部管理者の不在や監視体制の手薄さを突く格好のタイミングです。実際、米CISAと FBIは2021年のレイバー・デー (Labor Day=労働者の日)を前に、「過去の大規模ランサムウェア攻撃は、週末や祝日の直前に集中する傾向がある」と共同アドバイザリRansomware Awareness for Holidays and Weekends」を公開し、平時よりも高い警戒レベルを求めました。

    国内でも2024年4月、独立行政法人情報処理推進機構(IPA)が「2024年度 ゴールデンウイークにおける情報セキュリティに関する注意喚起」を発表し、「長期休暇中は管理者が長期間不在になるため、インシデント発生時の対応が遅れ、休暇明けの業務継続に影響が及ぶ恐れがある」と警告しています。連休を狙った攻撃が成功しやすい背景には、VPNリモートデスクトッププロトコル(RDP)のパッチ未適用、監視ログの見落としといった“人的スキマ”が重層的に生じる点があります。

    「連休前点検」と「連休後フォロー」を年間行事に

    休暇入りの二週間前を目安に、ネットワーク図とCMDB(構成管理データベース)の最新版をイミュータブル層へ複製し、外部ベンダーとも共有確認を行う—これだけで、もし連休中に図面サーバが暗号化されても代替コピーを即座に展開できます。さらに休暇明け初日に、ログの異常値とバックアップ整合性をチェックする“フォローアップ窓”を設ければ、潜伏期間の長いマルウェアを早期に検知できます。

    平時にベンダー契約を結び、図面を安全に共有する

    インシデント対応は社内リソースだけで完結しない局面が多くあります。経済産業省が公開した中小企業向け手引きでも、専門知識が不足する場合は外部ベンダーへ速やかに支援を依頼するよう明記されています。ところが緊急時に初めて見積もりを取得し、社内決裁を経て、機密保持契約(NDA)を交わすようでは手遅れになりかねません。またNIST SP 800-61 Rev.3でも、外部サービスプロバイダーとの契約には責任分界点・連絡フロー・緊急時の権限を事前に文書化し、図面や資産リストを暗号化して共有しておくべきだと指摘しています。

    図面を平時から共有しておけば、ベンダーは現地到着と同時に封じ込めポイントやログ取得手順を提示できる―これが、初動を数十分で完了させるか、半日を失うかの分岐点となります。

    図面更新運用「変更が起きた瞬間にバックアップを取る」

    ネットワーク構成は日々変化します。クラウドのセキュリティグループを1行書き換えるだけでも、感染経路や封じ込め手順は一変します。したがって、図面更新の責任を特定の担当者に寄せるのではなく、CI/CDのパイプラインに組み込んで自動化するアプローチが有効です。例えば、IaCテンプレートを最新版にマージすると同時に、図面を自動生成し、イミュータブル層へコミットする―こうして「変更=バックアップ」のトリガーを組織文化として定着させることで、人為的な更新漏れを防止できます。

    クラウド・オンプレミスを跨ぐハイブリッド環境への適用のポイント

    ハイブリッド環境では、クラウド側のアーキテクチャ図とオンプレの物理配線図を統合的に管理する必要があります。AWS Systems Manager Application ManagerやAzure Arcなどのサービスを活用すると、マルチクラウド/オンプレ資産を単一のリポジトリへ収集できる。こうして得られたメタデータをエクスポートし、Visioやdraw.ioで図面化して保管すれば、プラットフォームを跨いだ封じ込め手順を迅速に策定できます。

    90日で構築する“図面と契約”のロードマップ

    まず、30日以内に既存図面の所在を棚卸しし、漏れや重複を洗い出します。次の30日で三層バックアップを設計し、イミュータブル層とオフライン層へのコピーサイクルを自動化します。最後の30日でMSSPやクラウドベンダーとの契約書に図面共有条項を追加し、緊急連絡網と責任分界点を明文化します。こうした段階的な取り組みを通じて、図面が失われても数分で代替コピーを展開できる体制が完成します。

    まとめ:今日から始める“図面と契約”の棚卸し

    ネットワーク図は初動対応の生命線であり、失えば封じ込めもフォレンジックも大幅に遅れます。図面そのものが攻撃者の標的になる現実を踏まえ、イミュータブルストレージと完全オフライン媒体を組み合わせた三重の防御を施すことが不可欠です。さらに、平時からMSSPやフォレンジックベンダーと契約し、暗号化した図面を安全に共有しておけば、いざという時に“地図を持った専門家”が数分で封じ込めを開始できます。図面が手元にあるか否かで、インシデント対応は「数時間」で済むか「数日」を要するかが決まります。ランサムウェアが猛威を振るう2025年、まずはバックアップ設計とベンダー契約を棚卸しし、次の長期休暇を迎える前に備えを万全にしましょう。

    サイバーインシデント緊急対応

    サイバーセキュリティ緊急対応電話受付ボタン
    SQAT緊急対応バナー

    【参考情報】


    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    ウェビナー開催のお知らせ

  • 2025年8月5日(火)14:00~15:00
    企業サイトオーナー向け ユーザーからのレピュテーションを高めるWebサイトの在り方-Webサイトを取り巻くリスク・規制・要請とユーザビリティ向上-
  • 2025年8月20日(水)13:00~13:30
    EC加盟店・PSP必見!クレジットカード・セキュリティガイドライン6.0版対応ウェビナー
  • 最新情報はこちら


    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。

    Security Serviceへのリンクバナー画像
    BBsecコーポレートサイトへのリンクバナー画像
    セキュリティ緊急対応のバナー画像

    【警告】CVE-2025-22457 脆弱性悪用事例と対策
    –サイバー脅威の全貌–

    Share

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    本記事は、Google Cloud Blogで2025年4月3日に公開された「Suspected China-Nexus Threat Actor Actively Exploiting Critical Ivanti Connect Secure Vulnerability(CVE-2025-22457)」の情報をもとに、脆弱性の概要、攻撃手法、最新の悪用事例、そして推奨対策について解説します。

    瓦版号外記事(CVE-2025-22457悪用事例)サムネイル

    はじめに

    昨今、エッジデバイスやVPNシステムを狙ったサイバー攻撃が急増しています。その中でも、Ivanti Connect Secure(ICS)における脆弱性「CVE-2025-22457」が、2025年4月3日にIvantiによって公開され、実際に悪用されていることが確認されました。MandiantとIvantiの共同調査により、ライフサイクルが終了したICS 9.Xや、ICS 22.7R2.5以前のバージョンが標的となっています。

    脆弱性の概要とその影響

    CVE-2025-22457は、バッファオーバーフローに起因する重大な脆弱性です。攻撃者がこの脆弱性を悪用すると、リモートから任意のコードが実行可能となり、企業のVPNシステムに対して深刻なセキュリティリスクが生じます。対象は、ICS 22.7R2.5以前のバージョンおよび旧バージョン(ICS 9.X)で、攻撃成功時には不正アクセス、情報漏洩、システムの乗っ取りなどが懸念されます。

    悪用事例と新たなマルウェアの動向

    調査によると、初期の悪用は2025年3月中旬に確認されています。攻撃が成功すると、以下のような新たなマルウェアファミリーが展開されることが判明しました。

    • TRAILBLAZE
      シェルスクリプト形式のインメモリオンリードロッパー。システム内の特定プロセスに不正コードを注入する足がかりとなります。
    • BRUSHFIRE
      SSL_readのフックを利用するパッシブバックドアで、不正な通信を密かに行います。
    • SPAWNエコシステム
      SPAWNSLOTH、SPAWNSNARE、SPAWNWAVE など、連携してシステム内の不正操作やログ改ざんを実施するツール群です。

    これらのマルウェアは、シェルスクリプトドロッパーを起点に、ターゲットプロセス内へ段階的に展開される仕組みとなっており、システム再起動後にも再展開される可能性があるため、持続的な監視と迅速な対策が求められます。

    技術的な攻撃手法の解説

    攻撃の初期段階では、シェルスクリプトが以下のような手順で実行されます。

    1. プロセスの特定
      ターゲットとなる/home/bin/webプロセス(特に、子プロセスとして実行中のもの)を検出
    2. 一時ファイルの生成
      /tmpディレクトリに、対象プロセスのPIDやメモリマップ、バイナリのベースアドレス、さらにマルウェア本体が格納された一連のファイルが作成される
    3. マルウェアの注入
      生成された一時ファイルを利用し、TRAILBLAZEドロッパーが実行。これにより、BRUSHFIRE パッシブバックドアが対象プロセス内へ注入される
    4. クリーンアップ
      一時ファイルや不要なプロセスは削除され、攻撃自体は非永続的な形で行われる

    この攻撃手法は非常に巧妙であり、既存のパッチ対策や監視体制を回避するために設計されています。

    脅威アクターとその背景

    調査機関GTIG(Google Threat Intelligence Group)の報告によると、今回の攻撃は、中国関連の疑いがある諜報グループ「UNC5221」によるものと見られています。UNC5221は、過去にもゼロデイ攻撃やエッジデバイスへの不正侵入を実施しており、今回の攻撃でも従来の脆弱性を細かく解析した上で悪用していると評価されています。

    推奨対策と今後の対応

    MandiantとIvantiは、以下の対策を強く推奨しています。

    • 迅速なパッチ適用
      2025年2月11日にICS 22.7R2.6で公開されたパッチを、対象システムに速やかに適用すること
    • 監視体制の強化
      不審なコアダンプや、Integrity Checker Tool(ICT)の異常な動作が確認された場合、即座に対応する体制を整えること
    • セキュリティツールの活用
      内部および外部の監視ツールを併用し、システムの健全性を定期的にチェックすること

    これらの対策により、攻撃によるリスクを最小限に抑え、企業全体のセキュリティレベルの向上が期待されます。

    まとめ

    CVE-2025-22457 の悪用事例は、エッジデバイスを狙った攻撃が日々進化している現状を示しています。企業や組織は、最新パッチの適用と継続的な監視を徹底し、サイバー攻撃に対する防御策を強化する必要があります。今後も最新のセキュリティ情報に注意を払い、信頼性の高い情報源からのアドバイスを参考にすることが重要です。

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    サイバーインシデント緊急対応

    サイバーセキュリティ緊急対応電話受付ボタン
    SQAT緊急対応バナー

    ウェビナー開催のお知らせ

  • 2025年4月9日(水)13:00~14:00
    今さら聞けない!スマホアプリのセキュリティあれこれ
  • 2025年4月16日(水)14:00~15:00
    知っておきたいIPA『情報セキュリティ10大脅威 2025』~セキュリティ診断による予防的コントロール~
  • 2025年4月23日(水)14:00~15:00
    今知るべき!サポート切れのソフトウェアへのセキュリティ対策ガイド
  • 2025年4月30日(水)13:00~13:30
    CVSSとSSVCで実践する次世代脆弱性管理:サイバー攻撃対策セミナー2024
  • 最新情報はこちら


    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。

    Security Serviceへのリンクバナー画像
    BBsecコーポレートサイトへのリンクバナー画像
    セキュリティ緊急対応のバナー画像