⚫︎ 最近の攻撃傾向

⚫︎ 脅威に対するセキュリティ対策方法

⚫︎ セキュリティリスク管理、対策の強化

⚫︎ セキュリティポリシーの改善

⚫︎ セキュリティインシデントへの対応

⚫︎ 脅威トレンドの把握、共有

⚫︎ セキュリティ意識の向上

2025年9月に刊行された「情報セキュリティ白書2025」は、2024年度のサイバー攻撃による実際の被害やセキュリティ対策など、情報を守るための最新情報をまとめています。

⚫︎ 国内外のサイバー脅威の動向

⚫︎ 最近のサイバー空間を巡る注目事象

⚫︎ 国内の政策及び取り組みの動向

⚫︎ 国際的な政策及び取り組みの動向

付録

⚫︎ 社内の注意喚起に利用する

⚫︎ 人材育成のための国家試験や国家資格について知る

⚫︎ 情報データ：取引先情報や受注先情報

⚫︎ システム、サービス、機器：社内ITシステムとその構成機器

⚫︎ その他：取引先との信頼関係など

脅威が生じた場合の被害額を算出し、会社の経営方針を考慮し、優先順位をつけます。

⚫︎ 取引先である大企業へのサイバー攻撃の踏み台として悪用（サプライチェーンの弱点を悪用した攻撃）

⚫︎ 従業員による顧客情報や取引情報の不正持ち出し（内部不正による情報漏えい）

⚫︎ 被害の早期検知：システムの操作履歴の監視など

⚫︎ 被害を受けた後の対応：CSIRT、関係者への連絡、影響調査、バックアップからの復旧、復号ツールの活用など

②     対応計画を立案

③     対策の実施

攻撃者は、PCやサーバーをランサムウェアに感染させ、さまざまな脅迫を行い、金銭を要求します。組織の規模や業種に関係なく攻撃が行われているという点に注意が必要です。

事例：RaaSが利用された国内事例（某ソフトウェア開発・支援企業）

サーバーの脆弱性およびVPNルーターの設定不備を悪用して、攻撃者が社内ネットワークに侵入し、複数のサーバーに対してデータの暗号化を行いました。10万件以上の個人情報漏えいの可能性がありましたが、事件から約2か月経過しても外部への流出や二次被害は確認されていません。この事例では、RaaSの一種である「Phobos（フォボス）」を用いた攻撃だったことも確認されています。

RaaS（Ransomware as a Service）：サービスとして提供されるランサムウェアを指し、攻撃者は対価を払って利用し攻撃を行う。ランサムウェアの攻撃自体がビジネス化している。

商品の企画、開発から、調達、製造、在庫管理、物流、販売までの一連のプロセス、およびこの商流に関わる組織群をサプライチェーンと呼びます。このような「ビジネス上の繋がり」を悪用した攻撃は、自組織の対策のみでは防ぐことが難しいため、取引先や委託先も含めたセキュリティ対策が必要な脅威と言えます。

事例：業務委託先業者からの顧客情報漏えい（複数の保険会社）

原因は委託先業者サーバーへの不正アクセスであり、不正アクセスされたサーバーには適切なセキュリティ対策が施されていなかったことが発覚しました。流出した個人情報は海外のWebサイトに掲載されており、流出の規模は保険会社により異なりますが最大で約 130 万人に及ぶ情報が流出し、調査や対処に追われました。

製品開発ベンダー等による脆弱性対策情報の公開は、脆弱性の存在や対策必要性を広く呼び掛けることができるが、攻撃者はその情報を悪用し脆弱性対策が講じられていないシステムを狙って攻撃を行うこと（ゼロデイ攻撃）があります。脆弱性が発見されてから、それを悪用した攻撃が発生するまでの時間が短くなっているため、脆弱性の対策情報が公開された場合には早急な対策の実施が求められます。

事例：Windows上のPHPの脆弱性を悪用した攻撃

Windows上で動作するPHPには既存の脆弱性に対する保護がありますが、この保護を回避できるOSコマンドインジェクション（OSのコマンドを不正に実行させる攻撃）に対する脆弱性が発見され、情報公開がなされました。この公開された脆弱性を悪用し、webshell（Webサーバーの遠隔操作を行える悪意のあるスクリプト）が設置されるといった被害や、ランサムウェア「TellYouThePass」の感染活動に悪用された事例が確認されています。

従業員や元従業員などの組織関係者による機密情報の持ち出しや社内情報の削除などの不正行為が発生しています。

事例：顧客情報を転職先に持ち出し、営業活動に使用（某保険会社）

元社員が退職時に秘密保持の誓約書に署名していたにもかかわらず、顧客情報（契約者・被保険者）約980件を印刷した紙で不正に持ち出し、転職先で一部を使用していました。

標的型攻撃は、特定の組織（企業、官公庁、民間団体など）を狙う攻撃のことです。攻撃者は社会や働き方の変化に合わせて攻撃手口を変えるなど、組織の状況に応じた巧みな攻撃手法を用いることに注意が必要です。

事例：マルウェア感染による情報漏えい（某情報通信企業）

原因はマルウェアによるものと推測されますが、高度な手法で様々な偽装を行い検知されにくくしてあったため、発見が非常に困難であった事例です。通信ログや操作ログから、個人情報を含むファイルが社外に持ち出されている可能性がありました。

リモートワークの実現に必要な環境や仕組みを狙ったサイバー攻撃が多発していいます。攻撃を受けるとマルウェア感染や情報漏えい等、様々な不正アクセスが行われ、組織の事業が停止するなど重大な結果を招くおそれがあります。

事例： VPN 機器を介した個人情報の流失（某エネルギー関連システム子会社）

不正アクセスにより同社の保有する個人情報、約 416 万人分が流出した可能性があると公表されました。攻撃者が社内に設置されたVPN機器から社内ネットワークに侵入していると公表されたものの、侵入のきっかけとなったVPN機器についての脆弱性有無などについてはセキュリティの関係で公表されませんでした。

政治的に対立する周辺国に対して、社会的な混乱を引き起こすことを目的にサイバー攻撃を行う国家が存在します。そのような国家は、自国の産業の競争優位性を確保するために周辺国の機密情報等の窃取を目的とした攻撃や、政治体制維持のために外貨獲得のための攻撃を行うことがあります。このような国家からの攻撃に備えて、組織として常にサイバー攻撃への対策を強化していく必要があります。

事例：日本の個人や組織に対する標的型攻撃

日本の学術機関、シンクタンク、政治家等に関係する個人や組織に対するサイバー攻撃を、海外の国家の関与が疑われるサイバー攻撃グループMirrorFaceが行っていたことを、警察庁および内閣サイバーセキュリティセンターが確認しました。この攻撃では、ANELと呼ばれるマルウェアをダウンロードするリンクを記載したメールが送信されており、主に日本の安全保障や先端技術に係る情報窃取を目的とした組織的なサイバー攻撃活動であることも公表されています。

攻撃者に乗っ取られた複数の機器から構成されるネットワーク（ボットネット）から、インターネット上のサービス（サーバー）に対して大量のアクセスを一斉に仕掛けることで高負荷状態にさせる他、回線帯域を占有してサービスを利用不能にする等の分散型サービス妨害攻撃（DDoS攻撃）が行われています。標的にされたサーバーではWebサイト等の応答遅延や機能停止が発生するおそれがあります。

事例：某航空会社や複数の金融機関へのDDoS攻撃

大規模なDDoS攻撃を受けた航空会社は一部のシステムに障害が発生し、この障害により当日の国内線・国際線のチケット販売が一時停止する等の影響が出ました。また、同時期に複数の金融機関においてインターネットバンキングが利用できない事態も発生し、この原因もDDoS攻撃によるものでした。

今回の攻撃はいずれも、想定されていないパケットも用いられる混成型DDoS攻撃であり、これまでの一般的な対策では止められないものだったことが確認されています。

悪意のある第三者が標的組織やその取引先の従業員などになりすましてメールを送信し、あらかじめ用意した偽の銀行口座に金銭を振り込ませるという詐欺です。

事例：生成AIを利用したビジネスメール詐欺

セキュリティ企業であるVipre Security Groupは、過去1年間に世界中で18億通の電子メールを処理し、2億2600万件のスパムメールを検出したと公表しました。

検出されたスパムメールの49%がビジネスメール詐欺（BEC）で、標的は CEO、人事部門とIT部門の順に多く、その40％はAIによって生成されていました。生成AI 技術がより多くの攻撃者に使用されることで、BEC の量は飛躍的に増加するおそれがあると警告しています。

システムの設定ミスによる非公開情報の公開や、個人情報を含んだ記憶媒体の紛失など、不注意による機密情報の漏えいが発生しています。

事例：教育機関における意図しない個人情報漏えい（複数の公立学校）

教諭が会議で使用するデータをTeams（Microsoft社の会議ツール）にアップロードしました。約1か月後、他校の生徒から共有のアカウントで閲覧可能との指摘があり、そのデータの公開範囲がパブリックであったことが判明しました。別の事象では体力テストアプリのログイン情報一覧が、誰でも閲覧可能な状態となっていることが保護者の指摘で判明しました。学校側と委託業者の双方で、ログイン情報一覧の削除を失念していたことが原因でした。