脆弱性 | SQAT®.jp

2025年11月7日

世界で多発するゼロデイ攻撃とは？Apple・Google・Ciscoを襲った脆弱性の実態と対策

Security NEWS TOPに戻る
バックナンバー TOPに戻る

ゼロデイ攻撃とは？Apple・Google・Ciscoを襲った脆弱性の実態と対策アイキャッチ画像

2025年9月、世界各地で「ゼロデイ脆弱性」を悪用したサイバー被害が相次ぎました。ゼロデイ攻撃とは、まだ修正プログラム（パッチ）が公開されていない未知の脆弱性を突く攻撃であり、検知や防御が極めて困難です。今、ゼロデイ攻撃は誰にとっても避けて通れないサイバーリスクとなっているのです。本記事では、最新のゼロデイ攻撃の事例、被害の傾向、そして今すぐ取るべき対策について解説します。ゼロデイ脆弱性の脅威を正しく理解し、被害を防ぐための第一歩にしましょう。

世界各地でゼロデイ脆弱性が続発

2025年9月、世界中でゼロデイ脆弱性をめぐる一連のサイバー攻撃が相次いで報告されました。ゼロデイ脆弱性とは、ソフトウェアやOSに潜む修正前のバグ、つまり開発元ですら把握していない段階で第三者によって悪用される脆弱性のことであり、攻撃者は一般公開前・パッチ適用前にこれを利用して侵入や情報搾取、システム乗っ取りを仕掛けます。2025年9月には、AppleのiPhoneやiPad、GoogleのAndroid端末、CiscoルーターやVPN装置、SAPやAdobe、SonicWallなど多岐にわたるプロダクトが標的となりました。

Apple・Googleのゼロデイ脆弱性が顕在化

Apple関連では、「CVE-2025-43300」「CVE-2025-55177」という画像解析に関するゼロクリック型脆弱性が公表され、iPhoneやiPadが世界的な攻撃対象になりました。Apple社は直ちに150ヶ国以上のユーザーへ警告通知を送り、Lockdown Modeの利用を強く推奨しました。実際に攻撃が検知された端末も多く、海外では医療機関や金融サービスを狙った“標的型ゼロデイ攻撃”の発生も確認されています。

Android端末でも深刻な脆弱性（CVE-2025-38352など）が確認されており、カーネルやランタイム部分の権限誤取得によって、スマートフォンが遠隔操作される事例が増加しました。Chromeブラウザでもゼロデイ脆弱性が発見され、公式パッチのリリースを急いだ流れがあります。これらの技術情報は国際的なセキュリティ速報サイトや公式ベンダーのアドバイザリが一次情報となっており、日々関係者向けに更新されています。

ビジネスシステムも標的に

さらに、Windowsのファイル圧縮ソフトWinRARでは「CVE-2025-8088」の脆弱性が報告され、悪意を持ったファイル一つでシステム内部に侵入されるリスクが浮上しました。Citrix NetScalerにおいてはリモートコード実行（RCE）を許す「CVE-2025-7775」、企業内パスワード管理ツールPasswordstateでもゼロデイ攻撃による被害が発生しています。こうしたビジネス系システムでは、管理画面だけで全システムが乗っ取られる危険性が顕在化しており、複数企業が業務停止・復旧対応に追われています。

ゼロデイ攻撃の基本的な流れ

ゼロデイ攻撃の基本的な流れは、メール・Web・ファイルアップロードなどを入り口として、権限昇格の脆弱性を突き、最終的に情報搾取や遠隔操作へと至るという流れです。特に企業ユーザーはパッチ適用・監視強化・多層防御など、従来型のセキュリティ運用だけでは防ぎきれない時代に直面しています。一般のエンドユーザーも自らが使うスマートフォンやタブレットがゼロデイ脆弱性を抱えている可能性を念頭に、定期的なアップデートや公式情報の取得を習慣化する必要があります。

ゼロデイ脆弱性は誰もが直面する脅威

ゼロデイ脆弱性は一部の大企業だけの問題ではありません。個人が使うアプリやデバイスにもリスクが存在し、誰もが常に脅威に晒される現状が2025年の特徴です。正確な情報源に基づき、自分自身と組織の防御体制を早急に見直すことが求められているのです。

【参考情報】

BBSecでは

サイバーインシデント緊急対応

セキュリティインシデントの再発防止や体制強化を確実に行うには、専門家の支援を受けることも有効です。BBSecでは緊急対応支援サービスをご提供しています。突然の大規模攻撃や情報漏洩の懸念等、緊急事態もしくはその可能性が発生した場合は、BBSecにご相談ください。セキュリティのスペシャリストが、御社システムの状況把握、防御、そして事後対策をトータルにサポートさせていただきます。

Security NEWS TOPに戻る
バックナンバー TOPに戻る

ウェビナー開催のお知らせ

2025年11月12日（水）14:00～15:00
「なぜ今“脆弱性診断”が必要なのか?実績データで見る検出傾向とサービス比較」

2025年11月26日（水）13:00～14:00
【好評アンコール配信】「クラウド設定ミスが招く情報漏洩リスク -今こそ取り組むべき「クラウドセキュリティ設定診断」の重要性-」

最新情報はこちら

2025年11月7日2025年11月7日

2025年3Q KEVカタログ掲載CVEの統計と分析

Security NEWS TOPに戻る
バックナンバー TOPに戻る

本記事は2025年Q1：第1四半期（1月～3月）・Q2：第2四半期（4月～6月）の分析レポートに続く記事となります。過去記事もぜひあわせてご覧ください。
「2025年1Q KEVカタログ掲載CVEの統計と分析」
「2025年2Q KEVカタログ掲載CVEの統計と分析」

米国サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）から公開されている「KEVカタログ（Known Exploited Vulnerabilities）」は、実際に攻撃に悪用された脆弱性の権威あるリストとして、組織のセキュリティ対策の優先順位付けに不可欠なツールとなっています。本記事では、KEVカタログに掲載された全データのうち2025年7月1日～9月30日に登録・公開された脆弱性の統計データと分析結果をみながら、2025年10月以降に注意すべきポイントや、組織における実践的な脆弱性管理策について考察します。

KEVカタログの概要と目的

米政府CISAが公開するKEV（Known Exploited Vulnerabilities）カタログは、実際の攻撃で悪用が確認された脆弱性のみを掲載した公式リストです。セキュリティ担当者はこのカタログを参照することで、攻撃者の優先ターゲットを把握し、限られたリソースの中でも緊急度の高いパッチ適用など対策の優先順位を付けることができます。四半期ごとに更新され、米連邦政府機関（FCEB）は規定期限内の修正が義務付けられています（BOD 22-01）。民間企業・組織もこの知見を活用し、自組織の資産に影響する項目を常に監視・修正することでセキュリティリスクを低減できます。

2025年Q3の統計データ概要

登録件数推移：2025年7月～9月の3か月間に新規追加されたKEV登録脆弱性（CVE）は51件でした（7月:20件、8月:15件、9月:16件）。四半期全体では昨年同期よりやや減少していますが、依然として月によるバラつきが見られ（例：7月の米国定例更新後に登録が集中）、継続的な注視が必要です。

ベンダー別状況：登録数の多かったベンダーは Microsoft 5件、Cisco 5件、Citrix 4件、Google 3件、D-Link 3件、TP-Link 3件 などです。特にMicrosoftとCiscoが最多件数を占め、WindowsやCiscoネットワーク機器への攻撃が続いています。D-Link/TP-Linkなど家庭用・SOHO機器向け製品も含まれており、これらは脆弱な旧機種のファームウェア更新が滞っている可能性があります。

脆弱性タイプ（CWE）：DESerialze（CWE-502）関連の脆弱性が5件と最多で、続いてコマンド注入（CWE-77, 4件）やファイルパストラバーサル（CWE-918, 2件）、OSコマンドインジェクション（CWE-78, 2件）、SQLインジェクション（CWE-89, 2件）などが目立ちます。これらは過去に頻出した攻撃手法であり、継続的に悪用されています。

攻撃の自動化容易性（Automatable）:「攻撃の自動化容易性（Automatable）」では、32件がNo（63％）、19件がYes（37％）でした。多くは手動操作や特定条件を要するため、自動スキャンによる大規模攻撃には向かない脆弱性です。

Technical Impact：影響範囲では39件（約76%）がTotal（完全乗っ取り可能）に分類され、12件（24%）がPartialでした。攻撃者は主にシステム全面制御を可能にする脆弱性を狙う傾向が続いており、特にCriticalやHighスコアの欠陥を悪用しています。

CVSSスコア：Q3の脆弱性ではCVSSベーススコア10.0が5件、9.8が4件、8.8が9件などハイスコアが多く、Critical帯（9.0以上）が約43%、High帯（7.0～8.9）が約39%を占めています。Q1では上位が8.8止まりでしたが、Q3には最大10.0点が新規に含まれており、深刻度の高い欠陥が多いことが分かります。

攻撃手法・影響の深掘り分析

ランサムウェア vs APT：1Q同様、ランサムウェア攻撃で悪用が確認されている事例は依然わずかです。一方で、国家または高度な持続的脅威（APT）による攻撃・スパイ活動での利用が多く見られます。CVE-2018-0171（Cisco IOS Smart Install脆弱性）やCVE-2023-20198は、中国系APT「Salt Typhoon」が実際に悪用したことが報告されています。ただし、敵対的勢力に限定されず、複数の脆弱性が攻撃チェーンで組み合わされることもあるため（1QではMitel事例など）、ランサムウェア対策も同時に強化すべきです。

特定脅威の事例：FBIは2024年末、D-Link製カメラの脆弱性（CVE-2020-25078等）を狙った「HiatusRAT」活動を警告しており、実際にこの攻撃で3件の古いD-Link脆弱性がKEVに登録されました。サポート終了機器の脆弱性が未修正のまま放置されると、こうしたボットネットや遠隔操作マルウェアに利用されるリスクが高まります。

CWE別動向：過去同様、コマンドインジェクション（CWE-78/CWE-77）やパストラバーサル（CWE-22）といった入力系脆弱性が依然悪用されています。また3Qでは不適切なデータ逆シリアル化（CWE-502）やメモリバッファ境界内での不適切な処理制限（CWE-119）など、複雑なプログラム上のロジック欠陥も目立ちます。これらはシステム乗っ取りや権限昇格につながりやすく、修正優先度が高い種類です。

攻撃影響：攻撃者は依然として完全制御可能な脆弱性を好みます。たとえ部分的な影響にとどまる脆弱性であっても、別のTotal脆弱性と組み合わせて悪用されるケースもあります。したがって、CVSS値の大小だけにとらわれず、KEVに掲載されている時点で高い優先度で対応すべきです。

組織が取るべき対策

KEV優先パッチの適用：CISAは「KEV掲載項目を修正リストの優先対象とする」ことを強く推奨しています。組織は定期的にKEVカタログを監視し、自社使用製品に該当するCVEがあれば速やかにパッチ適用・緩和を実施する体制を整えましょう。

主要ベンダー製品の更新：Microsoft、Cisco、Apple、Googleなど主要ソフトウェア・機器ベンダーは攻撃者の標的になりやすく、3Qも多くの脆弱性が報告されています。特に月例セキュリティアップデートや緊急パッチ情報を速やかにキャッチアップし、テストを経て迅速に展開することが重要です。

ネットワーク機器・IoT機器の点検：D-Link、TP-Link、Ciscoのネットワーク機器やカメラ、NAS等のファームウェアも最新化しましょう。サポート切れ機種はできるだけ更新・交換し、致命的脆弱性の放置を避けます。公開緩和策（設定変更やネットワーク分離）も併用しつつ、インターネット上に不要なポート・サービスを露出しないようにします。

検知・インシデント対応強化：脆弱性が攻撃に使われた痕跡を検知する対策も欠かせません。IDS/EDRのシグネチャや検知ルールを最新化し、CISAやセキュリティベンダーが提供するIoC/YARAルールを適用します。たとえまだ被害が確認されていない場合でも、KEV脆弱性攻撃の兆候を積極的に探すことで早期発見につながります。

資産管理と教育：社内システムの全資産（ハードウェア・ソフトウェア）の棚卸しを行い、インベントリを最新化します。利用していないシステムや旧OSの台数削減、サードパーティーソフトの更新状況もチェックし、脆弱性の見逃しを防ぎます。また、開発・運用部門に対しては「古い脆弱性は放置厳禁」「セキュリティアップデート必須」の意識を共有し、定期的な啓発・トレーニングを行いましょう。

脆弱性管理体制の強化：上記対応を継続的に行うため、脆弱性管理プロセスやツールを整備します。パッチ適用状況の追跡、KEVカタログとの自動照合、レポート体制など、業務フローに組み込み、専門人員や自動化ツールの活用も検討します。新たな脆弱性報告が急増した場合でも迅速に対応できるよう、定期レビューと定量的なKPI設定も有効です。

まとめ

2025年3QのKEVカタログ分析からは、Microsoft/Cisco製品やネットワーク機器を狙った攻撃が依然として顕著であること、古い脆弱性も攻撃対象になりやすいことが分かります。また、攻撃者はCVSSスコア「Critical」に限らず、「High」の脆弱性も活用しています。組織はKEV掲載の脆弱性＝攻撃で狙われた証拠と捉え、迅速に対策を講じる必要があります。具体的には、KEVカタログを自社の優先パッチリストに組み込み、主要ベンダー更新と旧式機器の点検・更新を徹底することが重要です。セキュリティ担当者・経営層はこれらの統計を踏まえ、脆弱性管理の体制強化と運用改善に積極的に取り組むべきでしょう。

CISAおよび関連情報源から提供されるKEVカタログには、常に最新の悪用脆弱性情報が掲載されます。定期的な情報収集と早期対策実施により、組織のサイバーリスクを効果的に低減することができます。

BBSecでは

サイバーインシデント緊急対応

Security NEWS TOPに戻る
バックナンバー TOPに戻る

ウェビナー開催のお知らせ

2025年11月12日（水）14:00～15:00
「なぜ今“脆弱性診断”が必要なのか?実績データで見る検出傾向とサービス比較」

最新情報はこちら

2025年10月30日2025年11月5日

アサヒグループも被害に ―製造業を揺るがすランサムウェア攻撃

Security NEWS TOPに戻る
バックナンバー TOPに戻る

2025年9月末、アサヒグループホールディングスがランサムウェア攻撃を受け、出荷停止により一部商品が市場から姿を消しました。本事件は、サイバー攻撃が単なる情報漏洩にとどまらず、社会生活や経済活動にまで大きく影響を及ぼす時代を象徴しています。本記事では、近年の事例をもとに、製造業が今取り組むべきセキュリティ対策を考えていきます。

国内組織を狙うサイバー攻撃の脅威

2025年9月末、アサヒグループがランサムウェア攻撃を受け、複数拠点で受注・出荷システムが停止しました。一部の工場では生産ラインの稼働停止を余儀なくされ、復旧には時間を要し、決算処理にも影響が生じています。本事件は、サイバー攻撃が組織内部にとどまらず、流通・販売・消費の現場にまで波及することを社会に強く印象づけました。

多くのサイバー攻撃は依然として情報流出や業務データの暗号化など、社内で完結する被害が中心です。ところが今回の事案では、生産と出荷が止まったことで、店頭から商品が一時的に姿を消すという形で消費者の目にも影響が見えるようになりました。サイバー攻撃が経済活動だけでなく、日常生活の不便という形で現れることを実感させた象徴的な出来事だったといえます。

製造業が狙われる主な理由

経済的インパクトが大きい

生産ラインの停止は即座に損失を生み、納期遅延や契約不履行にも直結します。攻撃者にとっては「止めれば払う」確率が高く、身代金要求の成功率が高いと見込める業種です。

技術的な脆弱性が残りやすい

製造設備は長寿命で、古いOSやサポート終了機器が残っている場合が多く、パッチ適用や更新が困難です。攻撃者はこうした「更新できない装置」を標的にします。

サプライチェーン構造による攻撃のしやすさ

製造業は多くの委託先やサプライヤーとネットワークを共有しており、外部接続が多い構造です。攻撃者は、セキュリティが弱い取引先を突破口にして本体へ侵入します。

ITとOTの融合による弊害

近年、工場システム（OT）と情報システム（IT）の連携が進んでいます。このことにより、どの部分をどのように防御すべきかが把握しにくくなっており、セキュリティ対策の難易度は増しています。

これらの要因が重なることで、製造業は「狙いやすいターゲット」として攻撃者から認識されている可能性があります。このように、製造業を取り巻くサイバー脅威は、単なる情報漏洩リスクにとどまらず、事業停止や混乱に伴う社会的責任を負う可能性に繋がります。次項では、こうした脅威で、国内で発生したランサムウェア攻撃の事例を取り上げ、その実態を見ていきます。

ランサムウェア攻撃の事例

ここでは、国内で実際に発生したランサムウェア攻撃の事例を紹介します。いずれも公式発表に基づく事実であり、攻撃が一組織の問題にとどまらず、取引先や社会全体へ影響を及ぼしたことを示すものです。

時期	被害組織	概要
2025年9月	アサヒグループホールディングス	出荷停止が発生し流通に影響
2024年6月	KADOKAWAグループ	社内システム障害で業務に影響
2024年5月	岡山県精神科医療センター	電子カルテが暗号化され業務に影響
2022年2月	小島プレス工業	部品供給停止で全工場が稼働停止

相次ぐランサムウェア被害の実例

アサヒグループホールディングス（2025年9月）

2025年9月末、アサヒグループがランサムウェア攻撃を受け、グループ各社で受注・出荷システムが停止しました*1 。この攻撃により複数の国内工場が一時的に生産停止となり、復旧には時間を要することになりました。また情報漏洩も確認されており、被害の影響範囲は大きなものとなりました。さらに酒類の生産・出荷・物流にまで影響が及び、有名銘柄の商品が一時的に市場から姿を消すという形で消費者にも影響が及びました。この事件により、組織の被害が供給網を介して社会的混乱へ発展することを多くの人が強く意識することになったといえます。

KADOKAWAグループ（2024年6月）

2024年6月KADOKAWAグループがランサムウェア攻撃を受け、社内システムの一部が暗号化されました（公式発表に基づく*2 ）。業務の一部が停止し、コンテンツ制作といった事業基盤への影響も懸念されました。

岡山県精神科医療センター（2024年5月）

2024年5月、岡山県精神科医療センターは、電子カルテなどを含む院内システムがランサムウェア攻撃により暗号化され、診療や検査業務に支障をきたしたことを発表しました*3 。復旧までに数週間を要し、医療分野のサイバーリスクの高さを示す事例となりました。

小島プレス工業（2022年2月）

2022年2月末、トヨタ自動車の主要部品サプライヤーである小島プレス工業がランサムウェア攻撃を受けました*4。この影響で、国内で複数の工場やラインが一時停止する事態となりました。攻撃は子会社ネットワーク経由で発生し、リモート接続機器の脆弱性が悪用された可能性が指摘されています。このケースは、1社の停止が供給網全体の生産停止に波及した典型例であり、サプライチェーンリスクの深刻さを示しています。

上記の事例から以下のような点が読み取れます。つまり、ランサムウェア攻撃は単なるITトラブルではなく、経済活動全体を揺るがすリスク要因になっているといえるでしょう。

①侵入経路の多様化

フィッシング、VPN機器の脆弱性、リモート接続など、攻撃者が複数の経路を用いている。

②被害が社会に波及する構造

生産・出版・医療・自動車といった分野で、組織活動が止まると消費・生活・流通に影響が現れる。

③サプライチェーンの連鎖性

サプライチェーンの上流や下流に、被害が波及しています。特に自動車業界の事例は、関連会社一社の停止が系列全体の操業に影響するという顕著な例だと考えられます。

製造業が抱えるセキュリティリスク

前述のとおり、ランサムウェア攻撃は一組織の被害にとどまらず、サプライチェーン全体へ連鎖的に影響を及ぼす事例が増えています。ここでは、製造業特有のリスクを整理します。

制御システム（OT）への攻撃

製造業では、生産ラインを制御するOT（Operational Technology）システムが稼働の中心を担っています。近年、業務効率化のためにITネットワークやクラウドと接続するケースが増え、外部からの侵入経路が拡大しています。IPAは、OTを含む生産システムのサイバーリスクとして、ネットワーク分離や境界対策の重要性を指摘しています。ITとOTが連携する環境では、設計段階から防御を考慮しなければ、組織全体の稼働に影響を及ぼすおそれがあります。

生産データ・設計情報の漏洩

設計図面、加工条件、検査データなどの機密性の高い情報が外部に流出した場合、模倣や不正利用といった経営上の損失につながるおそれがあります。IPAの実践プラクティスでも、製造データの漏洩が組織活動に重大な影響を及ぼす点が指摘されています。また、キーエンスの解説では、クラウド連携や外部システム活用の増加により、情報流出経路が多様化しているとしています。

サプライチェーンを介した被害拡大

製造業は、部品の調達や設計、加工、物流などを多くの委託先と連携して行う業種です。自社が堅牢でも、取引先のセキュリティが十分でなければ、そこがリスクの入口となる可能性があります。こうした複雑で多岐にわたるサプライチェーン構造では、一つの組織の障害が全体の生産活動に波及するおそれがあります。

事業継続への影響

サイバー攻撃によるシステム停止は、生産遅延・品質問題・納期トラブルなどを引き起こし、取引先との信頼関係や市場供給に直接影響します。2025年のアサヒグループの攻撃事案では、受注・出荷システムが止まり、一時的に有名銘柄の商品が店頭から消えるという事態が発生しました。また、2022年の小島プレス工業での工場停止では、部品供給の途絶が主因となり、最終組立ラインまで稼働が止まりました。

両社に共通するのは、「一部の停止が連鎖的に拡大し、経営活動そのものを揺るがす」点です。被害が長期化すれば、納期遅延や契約不履行から損害賠償・ブランド毀損にも発展しかねません。こうした攻撃は今や、情報システムの問題ではなく、経営継続（BCP）全体を試す脅威となっています。いずれも、単一部門で解決できるものではなく、経営・現場・サプライヤーが一体で取り組むべき経営課題です。

セキュリティ対策の進め方

サイバー攻撃は生産現場の稼働や事業継続に直結する問題となっています。特に製造業では、IT/OTの境界を越えて被害が拡大する傾向があり、どこから手をつければよいのかが分かりにくいのも現実です。ここでは、経営層と現場が一体となって取り組むための基本方針を4つの段階で整理します。

情報資産の整理とリスクの可視化

まず、自社のシステム・設備・データなど、守るべき資産を明確に把握することが出発点です。特にOT環境では、稼働中の機器や通信経路が属人的に管理されているケースも多く、資産の洗い出しが不十分なことがあります。可視化によって、どこに脆弱性や依存関係があるかを明確にし、優先度を付けた対策計画を立てることが重要です。

従業員教育とセキュリティ意識の向上

システム面の強化だけではなく、人の意識と行動が対策の成否を左右します。メール添付やUSBメモリを経路とする感染事例はいまだ多く、日常的な警戒心の欠如が被害拡大につながります。定期的な研修や演習を通じて、「自分たちの作業が会社全体の防御につながる」という認識を浸透させることが求められます。

ポリシー策定と体制整備

経営層が主導し、セキュリティポリシーを策定して明文化することも不可欠です。製造業におけるセキュリティは「安全」「品質」「納期」と並ぶ重要事項です。インシデント対応手順や通報ルートを明確化し、現場が即応できる体制を整えることで、被害の長期化を防ぎます。

専門家との連携と継続的な改善

すべてを自社内で完結させるのは困難です。特に制御系ネットワークや脆弱性診断など、専門知識を要する分野はセキュリティベンダーとの連携が効果的です。また、定期的な点検・アセスメントを通じて、対策の有効性を確認し、改善のサイクルを回すことが重要です。

SQAT.jpでは関連記事を公開しています。こちらもあわせてぜひご覧ください。
「産業制御システムセキュリティのいまとこれからを考える」https://www.sqat.jp/information/5099/

まとめ：禍を転じて福と為す

今回取り上げたような事例は、いずれも深刻な被害をもたらしましたが、その一方で、社会全体がセキュリティの重要性を再認識する契機ともなりました。サイバー攻撃の脅威は避けられない現実ですが、それをきっかけとして自社の体制を見直し、他社との連携を強化することで、より強靭なサプライチェーンを築く機会にもなります。「禍を転じて福と為す」——すなわち、被害を教訓として組織の成熟へと変えていく姿勢こそ、これからのセキュリティ経営に求められる考え方となりえるのです。

BBSecでは

SQAT^® ペネトレーションテスト

ペネトレーションテストでは、自組織において防御や検知ができていない領域を把握するため、多様なシナリオによる疑似攻撃を実行してシステムへの不正侵入の可否を検証します。ペネトレーションテストの結果は、今後対策を打つべき領域の特定や優先順位付け、対策を実施する前の回避策などの検討に役立てることが出来ます。

CSIRT構築/運用支援

それぞれの企業文化・リソースに合ったCSIRTのプランニング / 構築 / 運用を専門家の立場から支援しています。独立系セキュリティベンダーであるBBSecの経験値を活かした適切なアドバイスやノウハウ提供は、実行力のある組織へと育成する上で大きな手助けとなります。

詳細はこちら。
https://www.bbsec.co.jp/service/evaluation_consulting/csirt.html
※外部サイトへリンクします。

情報セキュリティリスクアセスメント

専任コンサルタントが目的や企業環境に最適なフレームワークを選択して網羅的に実施するコンサルティング型アセスメントから、短時間・低予算でリスク概要のアセスメントレポートが得られるオンライン自己問診型アセスメントまで、幅広い情報セキュリティリスクアセスメントサービスを用意しています。

詳細はこちら。
https://www.bbsec.co.jp/service/evaluation_consulting/riskassessment_lineup.html
※外部サイトへリンクします。

サイバーインシデント緊急対応

Security NEWS TOPに戻る
バックナンバー TOPに戻る

ウェビナー開催のお知らせ

2025年11月5日（水）13:00～14:00
【好評アンコール配信】「SQAT^®ペネトレーションテスト実演付き!-攻撃の“成立”を見極めるペネトレーションテストとは-」

2025年11月12日（水）14:00～15:00
「なぜ今“脆弱性診断”が必要なのか?実績データで見る検出傾向とサービス比較」

最新情報はこちら

2025年10月16日2025年11月17日

【続報】Qilinランサムウェア攻撃の実態と対策 -2025年の情勢と企業・個人が取るべき行動-

Security NEWS TOPに戻る
バックナンバー TOPに戻る

本記事は「Qilinランサムウェア攻撃の実態と対策：Fortinet脆弱性の悪用を解説」の続報となります。前回記事とあわせてぜひご覧ください。

2025年10月8日、アサヒグループホールディングス株式会社を襲ったサイバー攻撃でランサムウェア攻撃グループ「Qilin（キリン）」から犯行声明が出されました。現在もなお、攻撃の手を緩めておらず、警戒が高まっています。

アサヒグループホールディングスのサイバー攻撃に関する記事はこちら
「アサヒグループを襲ったランサムウェア攻撃」

本記事では、ランサムウェア攻撃の実態を踏まえ、企業がとるべき対策・行動について解説いたします。

contents

サイバー攻撃の現場では、年々脅威が高度化し被害規模も拡大しています。なかでも「Qilin（キリン）」と呼ばれるランサムウェアは、ここ数年で著しい存在感を示し、2025年も企業や社会インフラを揺るがす脅威の一つとなっています。

Qilinとは何か—巧妙さを増した“身代金ウイルス”

Qilinは、2022年ごろからサイバー犯罪の地下で「Agenda」として登場し、独自の犯罪ビジネスモデル（RaaS: Ransomware as a Service ）を展開。WindowsやLinuxだけでなく、ESXiなど企業利用の仮想基盤まで標的とする、高度なマルチプラットフォーム型が特徴です。実装にはRustとC言語を用い、検知回避・高速暗号化など最新技術を積極的に採用している点でも業界の注目を集めています。

MITRE ATT&CKで示されるように、Qilinは標的型メール（LockBit, Cl0p, BlackBasta 等）との主な違いは、攻撃の多様性・速度、そしてビジネスモデル（報酬率の高さ、サポート体制）にあります。

何が問題なのか—現場で考えるインパクト

例えば、大規模病院が攻撃を受ければ、診察や手術、ITシステムだけでなく命にもかかわる混乱が起こります。製造業でもプラント停止や供給網の寸断、金融機関であれば社会的信用の失墜につながります。実際にQilinの被害を受けた組織の多くでは、サイバー保険の範囲を超える損失や、事業継続そのものが難しくなるケースも報告されています。

具体的な対策—被害を防ぐ/最小化するために

システムの最新化と脆弱性管理

まずはWindows、Linux、仮想化基盤などのシステム全てに最新のセキュリティパッチを適用。ベンダーが公開する脆弱性情報を定期的に確認し、重大度が高い場合は即時対処を徹底しましょう。

バックアップルールの運用

業務データは“3-2-1-1ルール”（3種類・2媒体・1コピーをオフライン・1つはイミュータブル）を参考に複数箇所へ分散。月1回以上の復旧テストも有効です。

異常の早期検知と対応訓練

エンドポイント保護や監視（EDR）、SIEM、MFAによる多要素認証を導入し、万が一の場合は、従業員ごとに具体的なエスカレーション手順・初動マニュアルの整備が必要です

従業員へのサイバーセキュリティ教育

フィッシングメールや不審な操作に気付けるよう、月1回程度の模擬訓練や意識向上セミナーも推奨されます。

まとめ：自ら考え動く対応力が肝要

Qilinに限らず、ビジネスの現場とリアル社会双方に大きなインパクトを及ぼすサイバー攻撃が続く時代、一人一人がサイバー脅威を自分ごととして捉え、アップデート・バックアップ・初動訓練 の３本柱を習慣化することが、サイバー攻撃の被害を最小化するための基本戦略といえるでしょう

【参考情報】

日本経済新聞：https://www.nikkei.com/article/DGXZQOUD01C7S0R01C25A0000000/
朝日新聞：https://www.asahi.com/articles/ASTB804HMTB8UHBI006M.html
Rocket Boys：https://rocket-boys.co.jp/security-measures-lab/ransomware-group-claims-cyberattack-and-unauthorized-access-on-asahi-group-holdings/
Cybereason：https://www.cybereason.co.jp/blog/threat-analysis-report/13417/
Qualys：https://blog.qualys.com/vulnerabilities-threat-research/2025/06/18/qilin-ransomware-explained-threats-risks-defenses
CYFIRMA：https://www.cyfirma.com/research/tracking-ransomware-june-2025/
SANS Institute：https://www.sans.org/blog/evolution-qilin-raas
Blackpoint Cyber：https://blackpointcyber.com/wp-content/uploads/2025/01/Qilin-3.pdf

本記事は2025年10月時点の公式発表・主要レポートをもとに作成しています。今後も技術進化や脅威情勢の変化に応じて、定期的に情報収集をされることをおすすめします。

Security NEWS TOPに戻る
バックナンバー TOPに戻る

サイバーインシデント緊急対応

ウェビナー開催のお知らせ

2025年10月22日（水）14:00～15:00
「ランサムウェア対策セミナー2025 ～被害を防ぐための実践的アプローチ～」

2025年10月29日（水）13:00～14:00
【好評アンコール配信】「フィッシング攻撃の最新脅威と被害事例〜企業を守る多層防御策〜」

最新情報はこちら

2025年10月10日2025年10月20日

Windows10サポート終了はいつ？影響と今後の対応策

Security NEWS TOPに戻る
バックナンバー TOPに戻る

Windows10は2025年10月14日をもってサポートが終了します。この日を境にHome、Proエディションに対するセキュリティ更新が停止します。これは世界中の数億台規模のPCに影響を与える重大なイベントであり、業務利用ではコンプライアンス上の問題や情報漏洩リスクが現実的に高まります。本記事では、終了スケジュール、影響、そして取るべき対応策まで解説し、今後の安全なPC運用への道筋を提示します。

本記事は2025年10月1日開催のウェビナー「2025年10月Windows10サポート終了！今知るべきサポート切れのソフトウェアへのセキュリティ対策ガイド」のフォローアップコンテンツです。

Windows 10 サポート終了のスケジュール

Microsoftの製品ライフサイクルによれば、Windows 10 HomeおよびProのサポートは2025年10月14日で終了します。この「サポート終了」は、機能追加や仕様改善だけでなく、最も重要なセキュリティ更新の提供停止を意味します。サポート終了後は、新たに発見される脆弱性に対しても修正が行われません。なお、業務向けのEnterprise LTSCには異なる期限が設定されており、例えばWindows 10 Enterprise LTSC 2021は2032年1月12日まで、LTSC 2019は2029年1月9日までサポートが継続されます。これらは組み込み機器や特定業務向けに設計された長期サポート版です。

サポート終了後に発生するリスク

サポート終了後は、OSの脆弱性が修正されず放置されるため、マルウェア感染、ランサムウェア被害、情報漏洩、不正アクセスなどのリスクが著しく高まります。特に法人利用では、顧客情報保護義務を規定する個人情報保護法や、金融分野のFISC基準、医療分野のHIPAA（海外拠点の場合）などに抵触する可能性があります。セキュリティ更新のない環境で継続運用することは企業の信用を損ねる要因にもなります。

延長セキュリティ更新（ESU）プログラム

マイクロソフトは、Windows 11へ移行できない環境向けにESU（Extended Security Updates）プログラムを提供します。これにより最大3年間、2028年までセキュリティ更新が継続されます。利用にはライセンス単位の更新が必要で、年間費用はエディションや契約形態により変動します。例えば1台ごとの契約で数千円〜数万円程度と見込まれ、法人契約ではボリュームライセンスが利用可能です。このプログラムは、古いハードウェアや特定業務向けソフトとの互換性のためにWindows10を維持せざるを得ないユーザが主な対象となります。

Windows11へのアップグレード

移行可能な環境ではWindows 11へのアップグレードが推奨されます。Windows 11は最新のセキュリティ機能（仮想化ベースのセキュリティ、ハードウェアルートの信頼機能など）を備え、サポート期限も先送りされます。アップグレードの要件としてはTPM 2.0の実装、64-bit対応CPU（第8世代以降のIntel、Zen 2以降のAMDなど）などがあり、Microsoftが提供するPC正常性チェックツールで互換性を確認可能です。移行時には、現行アプリや周辺機器の互換性検証も忘れないようにしましょう。

Windows10継続利用時の対応策

やむを得ずWindows10を継続使用する場合は、ESUへの加入が最も現実的な選択肢です。併せてネットワーク分離や限定用途での運用、社内イントラネット専用機への転用も有効です。また、更新が止まるOSを外部ネットワークに接続する場合はEPP（エンドポイントプロテクション）やEDR（高度な脅威検知・対応システム）の導入を強化し、対策を多層化する必要があります。

市場シェアの現状

StatCounterの最新データでは、2025年現在でもデスクトップOS市場の約55％前後がWindows 10を使用しています。Steamハードウェア＆ソフトウェア調査: September 2025でも、ゲーミングPCの過半数が依然Windows10です。これは法人・個人双方に大きく影響することを示しており、移行の遅れは全世界的なセキュリティリスク増大につながります。

まとめ

2025年10月14日をもってWindows10 Home/Proはセキュリティ更新が停止し、運用は高リスクになります。現実的な選択肢は、Windows11への移行か、ESU契約による延命です。市場規模が大きく影響範囲が広いため、企業も個人も早急な移行計画が求められます。特に法人利用では、法規制と顧客信頼維持のためにも、早急に計画に着手することが安全な未来への第一歩となるでしょう。

【参考情報】

https://learn.microsoft.com/en-us/windows/release-health/windows-message-center#3656
http://learn.microsoft.com/en-us/lifecycle/end-of-support/end-of-support-2025
http://store.steampowered.com/hwsurvey/Steam-Hardware-Software-Survey-Welcome-to-Steam

2025年10月1日開催のウェビナー「2025年10月Windows10サポート終了！今知るべきサポート切れのソフトウェアへのセキュリティ対策ガイド」の再配信予定にご関心のある方はこちらからお問い合わせください。

次回のウェビナー開催情報はこちら

サイバーインシデント緊急対応

Security NEWS TOPに戻る
バックナンバー TOPに戻る

ウェビナー開催のお知らせ

2025年10月22日（水）14:00～15:00
「ランサムウェア対策セミナー2025 ～被害を防ぐための実践的アプローチ～」

2025年10月29日（水）13:00～14:00
【好評アンコール配信】「フィッシング攻撃の最新脅威と被害事例〜企業を守る多層防御策〜」

最新情報はこちら

2025年10月2日2025年10月3日

今さら聞けない脆弱性とは-基礎から学ぶ脆弱性管理と効果的な脆弱性対策ガイド-

インターネットや情報システムの世界でよく耳にする「脆弱性」という言葉。普段の生活ではあまり使わないため、聞いたことはあっても正確に説明できないという方は少なくありません。特に近年はサイバー攻撃や情報漏洩のニュースが多く報じられるため、脆弱性という言葉はますます身近になってきました。しかし、「脆弱性とは一体何なのか」「個人や組織としては何をすればいいのか」と問われると、答えに詰まってしまう人も多いはずです。本記事では、初心者の方にも理解しやすいように、脆弱性の基本的な意味から具体的な事例、そして個人や組織が取るべき対策までを解説します。これからサイバーセキュリティの学びを始めたい方にとって、理解の入り口となる内容を目指しました。

脆弱性とは何か？

サイバーセキュリティにおける脆弱性とは、コンピュータやネットワーク、ソフトウェアなどに存在する思わぬ欠陥や弱点のことを指します。プログラムの設計ミスや設定の甘さ、想定されなかった挙動などが原因で発生し、それを悪用されると本来守られるべき情報やシステムが攻撃者に狙われてしまいます。もっと身近な言葉に例えるなら、家のドアに鍵をかけ忘れた状態や、窓の鍵が壊れている状態が「脆弱性」です。そこに泥棒（ハッカー）がやって来れば、侵入や盗難のリスクが高まります。つまり脆弱性そのものは「危険ではあるがまだ被害が起きていない不備」であり、攻撃者に利用されて初めて実際の被害につながるのです。

脆弱性が生まれる原因

脆弱性は無意識のうちに生まれることが多く、その理由は多岐にわたります。代表的な要因には以下が挙げられます。

ソフトウェアの開発過程における設計ミスやバグ
サーバーやOSのセキュリティ設定の不備
古いシステムやソフトウェアを更新せずに使い続けること
想定していなかったユーザーからの入力や操作
利用するプログラムやライブラリに潜む欠陥

実際、ソフトウェア開発は非常に複雑で、数百万行にも及ぶプログラムコードから成る場合もあります。そのため、すべてのバグや欠陥を完全に排除することは事実上困難です。

脆弱性の代表的な種類

脆弱性にはいくつも種類があり、攻撃手法によって分類されます。初めて耳にする方でもわかりやすい代表例を挙げてみましょう。

SQLインジェクション

ウェブアプリケーションにおける入力欄に悪意のあるデータベース命令文を仕込む手法で、見せてはいけない情報が外部に漏れてしまう危険があります。

クロスサイトスクリプティング（XSS）

ウェブサイトに不正なスクリプトを埋め込んで、閲覧者のブラウザ上で実行させる攻撃。利用者のIDやパスワードが盗まれる危険があります。

バッファオーバーフロー

プログラムに想定していない長さのデータが入力されることで、メモリ領域が壊され、攻撃者に任意のコードを実行されるリスクがあります。

セキュリティ設定不備

セキュリティ機能が有効化されていなかったり、不要なポートが開いたままになっていたりするケースも脆弱性の一つです。

脆弱性が悪用されるとどうなるのか

実際に攻撃者が脆弱性を利用すると、さまざまな被害につながります。たとえば以下のようなケースです。

クレジットカード番号や個人情報の漏洩
社内ネットワークが侵入されて業務停止
顧客の信頼を失い、企業のブランドに大打撃
勝手に改ざんされたWebサイトが利用者をウイルス感染させる

こうした被害は一度起きると回復に莫大なコストがかかり、企業経営に深刻な影響を与えます。近年報じられる情報漏洩事件の多くは、既知の脆弱性を放置していたことが原因とされています。

脆弱性対策として実施すべきこと

脆弱性はゼロにはできないため、いかに早く気づき、適切に対応するかが重要です。個人利用者と企業の立場で考えられる基本的な対策を見てみましょう。

個人ができること

OSやソフトウェアを常に最新バージョンに保つ
ウイルス対策ソフトを導入し、定義ファイルを更新する
怪しいリンクやメールの添付を開かない
強固なパスワードや多要素認証を利用する

企業がすべきこと

脆弱性診断やペネトレーションテストを定期的に実施する
セキュリティパッチが公開されたら速やかに適用する
社内従業員へのセキュリティ教育を徹底する
ログ監視や侵入検知システムの導入で不審な挙動を早期発見する

脆弱性とセキュリティ文化

技術的な対策も重要ですが、それ以上に「セキュリティを日常的に意識する文化づくり」が欠かせません。脆弱性は人間のちょっとした油断や不注意からも生まれます。更新通知を無視したり、利便性を優先してセキュリティを後回しにしたりすると、そこに必ず隙が生まれるのです。政府や専門機関が公表する脆弱性関連情報に目を通す習慣をつけるのも効果的です。たとえば国内では独立行政法人情報処理推進機構（IPA）が脆弱性関連情報を提供しており、日々の最新情報をチェックできます。

これからの脆弱性対策

今後はクラウドサービスやIoT機器の普及によって、脆弱性の範囲はさらに広がります。冷蔵庫やカメラ、工場の制御システムなど、私たちの生活に直結するモノがすべてインターネットにつながる時代となりつつあります。その一つひとつが脆弱性を抱えていた場合、想像以上に深刻なリスクが広がる可能性があるのです。そこで重要になってくるのが「ゼロトラスト」の考え方です。これはすべてのアクセスを信頼しないという前提に立ち、システムを多層的に守ろうとするセキュリティモデルで、近年世界中の企業が導入を進めています。

まとめ

脆弱性とは「情報システムやソフトウェアに存在する欠陥や弱点」であり、その多くは放置されることでサイバー攻撃に悪用され、大規模な被害を引き起こす可能性があります。重要なのは、脆弱性をゼロにすることではなく、発見されたときに迅速に対応し、常に最新の状態を保つことです。セキュリティ対策は専門家だけの仕事ではありません。個人ユーザも企業の一員も、日々の小さな行動が大きなリスク回避につながります。これまで「脆弱性」という言葉だけを知っていた方も、これを機に身近な問題として捉え、今日から個人や組織としてできる対策を一つずつ取り入れていきましょう。

【脆弱性対策および脆弱性管理に関する情報収集サイト・資料】

独立行政法人情報処理推進機構（IPA）「脆弱性対策関連情報」
https://www.ipa.go.jp/security/vuln/scap/index.html
一般社団法人日本シーサート協議会（NCA）「脆弱性管理の手引書システム管理者編」https://www.nca.gr.jp/activity/pub_doc/2024/imgs_u/%E8%84%86%E5%BC%B1%E6%80%A7%E7%AE%A1%E7%90%86%E3%81%AE%E6%89%8B%E5%BC%95%E6%9B%B8_%E3%82%B7%E3%82%B9%E3%83%86%E3%83%A0%E7%AE%A1%E7%90%86%E8%80%85%E7%B7%A8%201.0%E7%89%88(%E5%85%AC%E9%96%8B%E7%89%88).pdf

Security NEWS TOPに戻る
バックナンバー TOPに戻る

ウェビナー開催のお知らせ

2025年10月8日（水）14:00～15:00
ウェビナー参加者限定特典付き！
「ソースコード診断で実現する安全な開発とは？脆弱性対策とDevSecOps実践」

2025年10月22日（水）14:00～15:00
「ランサムウェア対策セミナー2025 ～被害を防ぐための実践的アプローチ～」

2025年10月29日（水）13:00～14:00
【好評アンコール配信】「フィッシング攻撃の最新脅威と被害事例〜企業を守る多層防御策〜」

最新情報はこちら

2025年9月30日2025年9月30日

AIとセキュリティ最前線 -AI搭載マルウェアとは？脅威とセキュリティ対策-

Security NEWS TOPに戻る
バックナンバー TOPに戻る

AIの進化により業務効率化を促進された一方で、ChatGPTを悪用したフィッシングメールやAI画像による偽装、AIを搭載したマルウェア・ランサムウェアの出現、さらにプロンプトインジェクションによる情報漏洩など、脅威が多様化しています。本記事では「AIとセキュリティ」をテーマに、AIの脆弱性と悪用事例を整理し、マルウェア検知や組織が取るべき防御策を解説します。AI活用に取り組む企業にとって必読の内容です。

AIとセキュリティの関係性

AI技術の進歩は、業務効率や創造性の向上に大きく寄与する一方で、サイバーセキュリティの面では新たな脅威を生み出しています。近年では、AIを悪用したフィッシングメールや偽画像の拡散、AIを組み込んだマルウェアやランサムウェアの登場、さらにプロンプトインジェクションによるチャットボットの不正操作や情報漏洩など、AIに関連した多様な攻撃手法が報告され、「AIとセキュリティ」は組織にとって喫緊の課題となっています。こうした脅威はいずれも、組織の情報資産や業務全体に影響を及ぼすリスクの一部として理解することが重要です。

一方、防御の側面でもAIは進化しており、マルウェア検知やログ監視の高度化、EDRによる未知の脅威の早期発見など、攻撃と防御の双方でAIセキュリティは進化しています。組織には、脅威を正しく理解すると共に、防御面におけるAI活用を積極的に進める姿勢が求められます。

SQAT.jpでは過去にも「ChatGPTとセキュリティ」をテーマにした記事を公開しています。こちらもあわせてぜひご覧ください。
「ChatGPTとセキュリティ-サイバーセキュリティの観点からみた生成AIの活用と課題-」

フィッシングメールの高度化

従来までのフィッシングメールは、誤字脱字や不自然な日本語が多く、注意深い利用者であれば比較的容易に見抜くことができました。しかし、生成AIの普及により状況は一変しています。生成AIにより日本語の生成精度が飛躍的に高まり、違和感のない文章を伴ったフィッシングメールが大量に作成されるようになったからです。加えて、AIの支援により攻撃者は高度なソーシャルエンジニアリング手法を容易に組み込めるようになっています。例えば、受信者の立場や業務状況に即した文脈を織り込み、心理的に開封やクリックを誘導しやすいメールを簡単に作成できるのです。これにより、従来の「日本語が怪しい」「文脈が不自然」といった従来型のチェックでは見抜けないケースが増えています。

世の多くの組織にとってそうであるように、サイバー攻撃者にとっても生成AIはコスト削減と効率化の強力な武器となっています。組織にとっては、こうしたフィッシングの高度化が新たなリスクとして突き付けられており、今後は人の注意力に依存した防御では限界があることを認識する必要があります。

AI内蔵型マルウェア「LameHug」

LameHugは、2025年7月にウクライナのCERT‑UAによって発見された、APT29の関与が疑われるAI（大規模言語モデル：LLM）を実行時に活用するマルウェアです。従来型マルウェアがあらかじめ定義されたコマンドや固定の挙動を持つのに対し、LameHugは感染端末の環境に応じてリアルタイムにコマンドを生成します。スピアフィッシングメールを起点に感染が始まり、攻撃メールには偽装されたアーカイブが添付されています。LameHugは被害者のファイル構造やネットワーク構成に応じて、LLMが最適なWindowsコマンド（systeminfo、tasklist、netstat、ipconfigなど）を組み合わせて指令を出すため、従来型マルウェアより柔軟な挙動が可能です。さらに、署名ベースや静的検知に頼る従来のセキュリティツールを回避しやすい点も特徴です。動的にコマンドを生成するため、固定パターンでは検知が困難です。また、データ窃取も迅速に行われ、持続的なバックドアより「一度に情報を奪う」設計となっています。

このように、LameHugは従来型マルウェアと比べ、環境適応性・リアルタイム性・検知回避能力が大きく進化しており、サイバーセキュリティの脅威像を再定義する存在と言えます。

AI搭載ランサムウェア「PromptLock」

2025年8月、ESETの研究チームは世界初のAI搭載ランサムウェア「PromptLock」を発見したと発表し、セキュリティ業界に大きな注目を集めました。後にこれはニューヨーク大学（NYU）の研究者による実験的な取り組みであることが判明しましたが、AIを活用したランサムウェアのコンセプトが現実に成立し得ることを示した意義は非常に大きいといえます。

PromptLockは、従来型ランサムウェアと異なり、感染後の挙動や身代金要求文をAIが自動生成できる点が特徴です。これにより、固定的なパターンに依存した従来の検知方法では捕捉が難しくなるだけでなく、対象組織の環境や状況に応じたカスタマイズ攻撃も可能となります。また、複数の端末やネットワーク構成に合わせた戦略的な攻撃展開も現実的に行えるため、AIを用いたランサムウェアの概念が現実の攻撃として成立し得ることが明確に示されました。

プロンプトインジェクション攻撃

近年、AIブラウザやチャットボットを対象とした「プロンプトインジェクション攻撃」が、新たな深刻な脆弱性として指摘されています。生成AIの普及とブラウザや業務システムとの連携拡大に伴い、攻撃の実現可能性は高まっています。この攻撃は、ユーザが入力する指示文に悪意あるプロンプトを仕込み、AIを騙して本来想定されていない動作をさせるものです。具体的には、外部の攻撃者が生成AIを組み込んだブラウザに不正な指示を与え、社内機密や顧客データを外部に送信させたり、悪意あるコードを実行させたりするリスクが確認されています。AIが入力テキストを過剰に信用する設計に起因するこの脆弱性は、単なる技術的課題にとどまらず、組織の情報漏洩や業務継続への影響、コンプライアンス違反など、幅広いリスクに直結します。AIを導入する際には、セキュリティ検証やアクセス制御を徹底し、AIであることを安全の前提と考えない姿勢が重要です。

AIのセキュリティリスク

AIの利活用が広がる中で、組織が直面するセキュリティリスクは多岐にわたります。代表的なものとして、学習データの改竄・汚染（データポイズニング）、情報漏洩、シャドーAIの3つが挙げられます。

データの改竄・汚染（データポイズニング）

AIは学習データに依存して判断を行うため、攻撃者が学習データに不正なデータを混入させると、AIは誤った判断を下す危険があります。例えば、不正な金融取引データを「正常」と学習させれば、不正検知システムは攻撃を見逃してしまいます。製造や物流などの業務プロセスでも同様に、AIが学習したセンサーデータや工程情報に不正を混ぜ込まれると、品質管理や異常検知の精度が低下し、損害や事故につながる可能性があります。データポイズニングは、従来のサイバー攻撃のようにネットワークや端末に直接侵入するものではなく、AIの判断プロセスそのものを標的にする攻撃である点が特徴で、組織のAI活用戦略全体に影響を及ぼす深刻なリスクです。

情報漏洩

生成AIはときに業務データや個人情報を入力したうえで利用されます。しかし、AIが取り扱うデータが外部に流出すると、個人のプライバシー侵害や顧客情報の漏洩、さらには競合優位性の喪失といった深刻な問題を引き起こすことを意味します。特に外部クラウド型AIサービスを利用する場合、データがどのように保存され、処理されるのかを正確に把握しておく必要があります。また、AIが生成したアウトプットに機密情報が含まれる場合、意図せず社外に配信される可能性もあるため、データ取り扱いルールやアクセス権限の厳格化が不可欠です。AIによる業務効率化の恩恵を享受する一方で、情報漏洩のリスクを軽視することはできません。

シャドーAI

まず、次の情報をご覧ください。

44%の従業員が会社のポリシーに反してAIを職場で使用
38%の従業員が承認なしに機密データをAIプラットフォームと共有

【参考情報】

このように、多くの組織では、従業員が個人アカウントで生成AIを業務に利用する「シャドーAI」の実態が明らかになってきています。このことは、管理部門の把握を超えてAIが利用されるため、セキュリティ上の盲点となる可能性があります。例えば、従業員が個人アカウントで顧客データをAIに入力して分析した場合、管理者はその行為を追跡できず、万一情報漏洩が発生しても原因究明が困難です。また、AIの利用ログが社内ポリシーで管理されていないと、不正利用や誤った意思決定の温床になる可能性があります。組織は、シャドーAIの使用状況を可視化し、利用ガイドラインや教育プログラムを整備することが求められます。

これらのリスクは、AIの利便性と表裏一体です。経営層や情報システムの担当者は、AIがもたらす業務効率化の恩恵とリスクの両面を正しく理解し、自社の業務環境に即した具体的な対策を講じることが不可欠です。

組織が実施すべきセキュリティ対策

組織はAIを活用する環境において、従来のセキュリティ対策だけでは不十分です。まず、AIモデルやAPIを利用する際には、アクセス制御や権限管理を徹底する必要があります。利用者ごとに適切な権限を設定し、外部からの不正アクセスや情報の持ち出しを防ぐことが重要です。また、マルウェア検知やログ監視を強化することも不可欠です。これにより、AI環境を安全に運用しつつ、組織の情報資産を守る基盤を整備できます。

SQAT.jpでは過去もフィッシング対策に関する記事を公開しています。あわせてぜひご参照ください。
「ソーシャルエンジニアリング最前線【第4回】企業が実践すべきフィッシング対策とは？」
「フィッシングとは？巧妙化する手口とその対策」

セキュリティ人材の育成

AIを含む高度化するサイバー攻撃に対応するには、技術だけでなく人材の育成も不可欠です。組織は情報セキュリティ教育を通じて、従業員にAIの利活用に伴うリスクや最新の脅威動向を理解させる必要があります。例えば、フィッシングメールの高度化やプロンプトインジェクションの可能性、シャドーAIではどのようなリスクがあるのかなどを具体的に学ぶことで、日常業務におけるリスク意識を高められます。また、社内での演習やシミュレーションを通じて、攻撃を想定した実践的な対応力を養うことも重要です。こうした取り組みにより、単なるツールの管理者ではなく、攻撃に対して能動的に判断・対応できる人材を育て、組織全体のセキュリティ体制を強化することが可能です。詳しくは下記のお問い合わせボタンからお問い合わせページに飛んでいただき、お気軽にお問い合わせください。

AIの進化は、組織に大きな競争優位をもたらす一方で、新たなサイバー脅威を次々と生み出しています。今後の組織に求められるのは、防御と利活用のバランスを取りながらAI時代にふさわしいセキュリティ戦略を構築し、競争力を維持していくことでしょう。

BBSecでは

インシデント初動対応準備支援

拡大するサイバーセキュリティの脅威に対応するために今すぐにでも準備すべきことを明確にします。

https://www.bbsec.co.jp/service/evaluation_consulting/incident_initial_response.html
※外部サイトにリンクします。

G-MDR^TM

サイバー攻撃への防御を強化しつつ、専門技術者の確保や最新技術への投資負担を軽減します

https://www.bbsec.co.jp/service/mss/gmdr.html
※外部サイトにリンクします。

エンドポイントセキュリティ

組織の端末を24/365体制で監視。インシデント発生時には端末隔離等の初動対応を実施します。

https://www.bbsec.co.jp/service/mss/edr-mss.html
※外部サイトにリンクします。

サイバーインシデント緊急対応

Security NEWS TOPに戻る
バックナンバー TOPに戻る

ウェビナー開催のお知らせ

2025年10月1日（水）13:00～14:00
「2025年10月Windows10サポート終了へ今知るべきサポート切れのソフトウェアへのセキュリティ対策ガイド」

2025年10月8日（水）14:00～15:00
ウェビナー参加者限定特典付き！
「ソースコード診断で実現する安全な開発とは？脆弱性対策とDevSecOps実践」

2025年10月22日（水）14:00～15:00
「ランサムウェア対策セミナー2025 ～被害を防ぐための実践的アプローチ～」

2025年10月29日（水）13:00～14:00
【好評アンコール配信】「フィッシング攻撃の最新脅威と被害事例〜企業を守る多層防御策〜」

最新情報はこちら

2025年7月25日2025年8月12日

緊急パッチ必須：SharePoint「TOOLSHELL」攻撃を招くCVE-2025-53770／53771の実態

Security NEWS TOPに戻る
バックナンバー TOPに戻る

Microsoft SharePointを運用する企業が見過ごせない脆弱性が今月、相次いで公開されました。7月14日に累積パッチで修正されたCVE-2025-53770とCVE-2025-53771は、ViewStateキー生成処理の競合状態を突いて、認証なしのリモートコード実行（RCE）をするクリティカルな脆弱性です。さらに、6月に報告済みのASPXテンプレート挿入系脆弱性CVE-2025-49704／49706を組み合わせた「TOOLSHELL」攻撃チェーンが現実化し、Unit 42とEye Securityは侵入後にPowerShell WebShellが配置される事例を確認しています。本稿では影響範囲と優先すべき対策を解説します。

contents

お問い合わせ

お問い合わせはこちらからお願いします。後ほど、担当者よりご連絡いたします。

なぜCVE-2025-53770が危険なのか

問題の本質は、SharePointが__VIEWSTATEを検証する際に用いるValidationKeyの競合状態にあります。攻撃者は未認証のまま細工したViewStateを送信し、LosFormatterのデシリアライズ処理を経由して任意コードを実行できます。Microsoftは「7月パッチ以前の修正は十分ではなく、今回の累積更新で初めて完全な防御が可能になる」と明言しました。

「TOOLSHELL」攻撃チェーンが示す実戦的リスク

Eye Securityが命名した「TOOLSHELL」攻撃では、まずCVE-2025-49706がRefererヘッダーを悪用してToolPane.aspxへ非認証アクセスを可能にし、続いてCVE-2025-49704がデシリアライズ経路を開きます。ここにCVE-2025-53770とCVE-2025-53771が結合すると、防御側が認証やCSRFトークンに依存していた場合でもRCEが成立します。侵入後はPowerShellでWebShell（spinstall0.aspxなど）が配置され、MachineKeyを窃取して永続化を図る点が確認されています。

CISAの緊急指令と企業が取るべきステップ

米国CISAは53770をKnown Exploited Vulnerabilitiesカタログに追加し、7月31日までのパッチ適用を連邦機関に義務付けました。官民問わず、以下のようなステップで対策を進めましょう。

SharePoint Server 2016/2019/Subscription Editionで最新の7月累積パッチを適用
適用後にMachineKey（ValidationKey／DecryptionKey）を再生成し、漏えい済みの署名を無効化
Microsoft Defender AntivirusとのAMSI統合と「ViewState暗号キー管理」機能を有効化し、未署名ViewStateの読み込みを防ぐ
管理ポートや/_layouts/配下を外部公開している場合は即時閉鎖し、Web Application FirewallやHIPSでUploadFilterを強制

残る課題―公開PoCと横展開

GitHub上には既に53770の概念実証コードが複数公開されており、Rapid7も実環境での悪用を観測したと報告しました。パッチを当ててもMachineKeyのローテーションを怠れば、攻撃者は署名済みの__VIEWSTATEを再利用して“再侵入”できます。特にTeamsやOneDriveと連携したハイブリッド環境では、SharePointから取得した認証トークンが横展開に利用されかねません。

まとめ

サイト運営者は最新パッチ情報を迅速に発信しつつ、自社環境の防御態勢を見直す必要があります。累積更新プログラムの適用とキー再生成を完了して初めて、SharePointは安全な状態に戻ります。多くの組織が抱えるオンプレミスSharePointは依然として攻撃者にとって魅力的な標的であり、今回の一連のゼロデイは“パッチ管理とキー運用の両立”という運用課題を改めて突きつけたといえるでしょう。

【参考情報】

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-53770

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-53771

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-49706

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-49704

https://msrc.microsoft.com/blog/2025/07/customer-guidance-for-sharepoint-vulnerability-cve-2025-53770/

https://support.microsoft.com/en-us/topic/description-of-the-security-update-for-sharepoint-server-2019-july-8-2025-kb5002741-d860f51b-fcdf-41e4-89de-9ce487c06548

https://research.eye.security/sharepoint-under-siege/

https://github.com/PaloAltoNetworks/Unit42-timely-threat-intel/blob/main/2025-07-19-Microsoft-SharePoint-vulnerabilities-CVE-2025-49704-and-49706.txt

https://www.cisa.gov/news-events/alerts/2025/07/20/cisa-adds-one-known-exploited-vulnerability-cve-2025-53770-toolshell-catalog

Security NEWS TOPに戻る
バックナンバー TOPに戻る

ウェビナー開催のお知らせ

2025年8月5日（火）14:00～15:00
「企業サイトオーナー向けユーザーからのレピュテーションを高めるWebサイトの在り方-Webサイトを取り巻くリスク・規制・要請とユーザビリティ向上-」

2025年8月20日（水）13:00～13:30
「EC加盟店・PSP必見！クレジットカード・セキュリティガイドライン6.0版対応ウェビナー」

最新情報はこちら

2025年3月17日2025年8月12日

【注意喚起】至急更新プログラムを適用しましょう！
Microsoft 製品の脆弱性（2025年3月）

Security NEWS TOPに戻る
バックナンバー TOPに戻る

contents

お問い合わせ

お問い合わせはこちらからお願いします。後ほど、担当者よりご連絡いたします。

概要

2025年3月12日（日本時間）に、Microsoft 製品に関するセキュリティ更新プログラム（月例）が公表されました。これらの脆弱性が悪用されると、アプリケーションの異常終了や攻撃者によるパソコンの制御など、深刻な被害が発生するおそれがあります。特に、以下のCVE脆弱性に関しては Microsoft 社が実際の悪用事実を確認済みであり、今後被害が拡大する可能性があるため、速やかに更新プログラムを適用する必要があります。

CVE-2025-24983

CVE-2025-24984

CVE-2025-24985

CVE-2025-24991

CVE-2025-24993

CVE-2025-26633

脆弱性の詳細と影響

CVE-2025-24983

(Base Score：7.0 HIGH)
Windows Win32 カーネルサブシステムにおける「Use after free」脆弱性。悪用されると、攻撃者がローカルで権限昇格を行い、システムの制御権を取得する可能性があります。

CVE-2025-24984

(Base Score:：4.6 MEDIUM)
Windows NTFS における、ログファイルへの機密情報挿入に関する脆弱性。物理的な攻撃と組み合わせることで、認証されていない攻撃者が情報漏洩を引き起こすリスクがあります。

CVE-2025-24985

(Base Score：7.8 HIGH)
Windows Fast FAT ドライバーにおける整数オーバーフローまたはラップアラウンドの問題。悪用されると、攻撃者がローカルで任意のコード実行を行う可能性があり、システム制御に至るリスクがあります。

CVE-2025-24991

(Base Score：5.5 MEDIUM)
Windows NTFS の領域外読み取り（Out-of-bounds read）により、システム内の情報が漏洩する脆弱性。権限を持つ攻撃者がローカルで情報を取得するリスクがあります。

CVE-2025-24993

(Base Score: 7.8 HIGH)

Windows NTFSにおけるヒープベースのバッファオーバーフロー脆弱性。悪用されると、認証されていない攻撃者がローカルで任意のコード実行を行う可能性があります。

CVE-2025-26633

(Base Score: 7.0 HIGH)

Microsoft Management Consoleにおける不適切なニュートラリゼーションの問題。これにより、認証されていない攻撃者がローカルでセキュリティ機能を回避する恐れがあります。

推奨される対策

更新プログラムの自動適用

Windows Update を利用する
Microsoft は通常、Windows Updateを通じて自動的にセキュリティ更新プログラムを配信しています。最新の更新プログラムを確認し、適用することで、上記脆弱性の悪用リスクを低減できます。

更新管理システムの利用
組織で管理している場合は、Microsoft 社のセキュリティ更新プログラム（月例）の情報を参照の上、早期に更新プログラムの展開を行ってください。

注意点

再起動の必要性
更新プログラムの適用後、システムの再起動が必要な場合があります。事前にスケジュールを調整し、業務への影響を最小限に抑えましょう。

Windows Update の利用方法
詳細な手順については、Microsoftの「Windowsの更新」や「PCを最新の状態に保つ」方法を参照してください。

まとめ

Microsoft 製品におけるこれらの脆弱性は、悪用されると深刻な被害を引き起こす可能性があるため、至急更新プログラムの適用が求められます。Windows Updateを通じた自動更新の確認と、組織内での更新管理体制の整備により、セキュリティリスクの低減に努めてください。

【参考情報】

IPA セキュリティ更新プログラム（月例、2025年3月12日公表）
https://www.ipa.go.jp/security/security-alert/2024/0312-ms.html

Microsoft Security Update Guide
https://msrc.microsoft.com/update-guide/

【関連：ウェビナー開催決定】

4月23日に「WindowsEOL」に関連したウェビナーを開催いたします。
お申し込み開始は3月24日を予定しております。ぜひお申し込みください。

Security NEWS TOPに戻る
バックナンバー TOPに戻る

サイバーインシデント緊急対応

ウェビナー開催のお知らせ

2025年3月19日（水）13:00～14:00
「ランサムウェア攻撃の脅威～感染リスクを可視化する防御策の実践を紹介～」

2025年3月26日（水）13:00～14:00
「予防で差がつく！脆弱性診断の話～脆弱性による脅威とその対策～」

2025年4月16日（水）14:00～15:00
「知っておきたいIPA『情報セキュリティ10大脅威 2025』～セキュリティ診断による予防的コントロール～」

最新情報はこちら

2024年11月22日2025年5月8日

サイバー攻撃の脅威と新しい脆弱性診断サービス「SQAT^® with Swift Delivery」のご提案

Security NEWS TOPに戻る
バックナンバー TOPに戻る

第1章：深刻化するサイバー脅威の現状

サイバー攻撃の進化と企業が直面するリスク

デジタルトランスフォーメーション（DX）が加速する中で、企業を取り巻くサイバー脅威は急速に高度化しています。2023年には以下のような深刻なサイバー攻撃が顕在化しました。

サプライチェーン攻撃の増加：前年比で112%の増加（出典：ENISA Threat Landscape 2023）

ランサムウェア被害の深刻化：平均復旧時間は30日（出典：Sophos「The State of Ransomware Report 2023」）

ゼロデイ攻撃の増加：報告件数は前年比57%増加（出典：Mandiant「M-Trends 2023 Special Report」）

フィッシング攻撃の高度化：AIを活用したフィッシング手法が急増（出典：Verizon Data Breach Investigations Report 2023）

企業における脆弱性管理の課題

多くの企業が抱える脆弱性管理の課題は、次の3点に集約されます。

脆弱性の発見遅延：新規脆弱性の平均発見所要時間は205日（出典：Ponemon Institute 2023 Vulnerability Report）、重大な脆弱性の見落とし率は約27%（出典：Cybersecurity Ventures）

対応の遅延：脆弱性の発見から修正までの平均所要時間は67日（出典：Verizon Data Breach Investigations Report 2023）、クリティカルな脆弱性の放置率は約21%（出典：Gartner Security Trends 2023）

リソースの不足：セキュリティ人材不足率は約64%（出典：ISC2「Cybersecurity Workforce Study 2023」）、予算不足を報告する企業は68%に上る（出典：Deloitte Cyber Risk Report 2023）

事例から見る被害の実態

事例1: 大手小売業A社
被害額：約8.5億円。原因は既知の脆弱性の放置で、顧客情報320万件が流出。

事例2: 製造業B社
被害額：約12億円。新規サービス展開時の脆弱性を突かれ、生産ラインが14日間停止。

第2章：脆弱性診断の重要性

なぜ今、脆弱性診断が重要なのか

攻撃手法の高度化：AIを活用した自動攻撃やサプライチェーン攻撃の増加、ゼロデイ攻撃の脅威が拡大している

法規制の強化：個人情報保護法の改正やGDPR、CCPAなどの規制が強化されており、企業に高いセキュリティ対策が求められている。

ビジネスリスクの増大：セキュリティインシデントによる信用失墜、損害賠償リスク、事業継続への影響が深刻化している

脆弱性診断がもたらす価値

予防的価値：攻撃を事前に防ぎ、リスクを早期に発見することで、セキュリティ体制を強化

コンプライアンス価値：法規制に適合し、監査対応を効率化することで、企業の説明責任を果たす

ビジネス価値：顧客の信頼を維持し、競争優位性を確保。事業継続性を向上させる

新サービス「SQAT^® with Swift Delivery」の特長

当社が提供する「SQAT^® with Swift Delivery」は、迅速かつ効果的な脆弱性診断を実現し、企業の安全性向上に貢献します

主な特長

最短7営業日での報告書提出
スピードを重視した診断を行い、ビジネスの迅速な意思決定をサポート

明確な料金体系
診断日数に応じた料金を設定し、予算の見通しが立てやすい

セキュリティ保険の付帯
万が一のリスクに備え、保険による保証を提供いたします

60,280システム以上の診断実績
幅広い業界での豊富な経験により、高い信頼性を確保

わかりやすい報告書
専門用語をなるべく避け、分かりやすく整理された報告書を提供し、改修のための情報を的確に伝える

サービスご提供の流れ

初期相談：要件をヒアリングし、基点URLを基に診断の準備を開始。スケジュール確定が重視される

診断の実施：優先順位をつけて重要な部分から診断を行い、全体を効率よくカバー

報告書の提出：診断終了から2営業日以内に提出

フォローアップ：報告書の内容についての質問対応を行い、次の対策につなげるサポートを実施

まとめ

サイバー攻撃の脅威が増す中、迅速かつ効果的な脆弱性診断は企業の存続に不可欠です。「SQAT^® with Swift Delivery」は、スピーディーな診断と的確な情報提供により、企業のセキュリティ強化をサポートし、事業継続の安全性を確保するための理想的なサービスです。

Security NEWS TOPに戻る
バックナンバー TOPに戻る

サイバーインシデント緊急対応

ウェビナー開催のお知らせ

2024年11月27日（水）12:50～14:00
【好評アンコール配信】
「Webアプリケーションの脆弱性対策-攻撃者はどのように攻撃するのか-」

最新情報はこちら

世界各地でゼロデイ脆弱性が続発

Apple・Googleのゼロデイ脆弱性が顕在化

ビジネスシステムも標的に

ゼロデイ攻撃の基本的な流れ

ゼロデイ脆弱性は誰もが直面する脅威

【参考情報】

BBSecでは

サイバーインシデント緊急対応

ウェビナー開催のお知らせ

KEVカタログの概要と目的

2025年Q3の統計データ概要

攻撃手法・影響の深掘り分析

組織が取るべき対策

まとめ

BBSecでは

サイバーインシデント緊急対応

ウェビナー開催のお知らせ

国内組織を狙うサイバー攻撃の脅威

製造業が狙われる主な理由

経済的インパクトが大きい

技術的な脆弱性が残りやすい

サプライチェーン構造による攻撃のしやすさ

ITとOTの融合による弊害

ランサムウェア攻撃の事例

アサヒグループホールディングス（2025年9月）

KADOKAWAグループ（2024年6月）

岡山県精神科医療センター（2024年5月）

小島プレス工業（2022年2月）

①侵入経路の多様化

②被害が社会に波及する構造

③サプライチェーンの連鎖性

製造業が抱えるセキュリティリスク

制御システム（OT）への攻撃

生産データ・設計情報の漏洩

サプライチェーンを介した被害拡大

事業継続への影響

セキュリティ対策の進め方

情報資産の整理とリスクの可視化

従業員教育とセキュリティ意識の向上

ポリシー策定と体制整備

専門家との連携と継続的な改善

まとめ：禍を転じて福と為す

BBSecでは

SQAT® ペネトレーションテスト

CSIRT構築/運用支援

情報セキュリティリスクアセスメント

サイバーインシデント緊急対応

ウェビナー開催のお知らせ

Qilinとは何か—巧妙さを増した“身代金ウイルス”

何が問題なのか—現場で考えるインパクト

具体的な対策—被害を防ぐ/最小化するために

システムの最新化と脆弱性管理

バックアップルールの運用

異常の早期検知と対応訓練

従業員へのサイバーセキュリティ教育

まとめ：自ら考え動く対応力が肝要

【参考情報】

サイバーインシデント緊急対応

ウェビナー開催のお知らせ

Windows 10 サポート終了のスケジュール

サポート終了後に発生するリスク

延長セキュリティ更新（ESU）プログラム

Windows11へのアップグレード

Windows10継続利用時の対応策

市場シェアの現状

まとめ

【参考情報】

サイバーインシデント緊急対応

ウェビナー開催のお知らせ

脆弱性とは何か？

脆弱性が生まれる原因

脆弱性の代表的な種類

SQLインジェクション

クロスサイトスクリプティング（XSS）

バッファオーバーフロー

セキュリティ設定不備

脆弱性が悪用されるとどうなるのか

脆弱性対策として実施すべきこと

個人ができること

企業がすべきこと

SQAT^® ペネトレーションテスト

G-MDR^TM

新サービス「SQAT^® with Swift Delivery」の特長