Cyber Security Intelligence Vox

マイナビニュースによると『情報セキュリティに関する脅威への対策について、9割以上が概ね十分な対策ができていると回答したにも関わらず、約6割が過去1年間に情報セキュリティインシデントに遭遇していることが分かった。』と報じています。

『「重要な情報」のセキュリティ対策をどの程度実施しているか聞いたところ、「十分対策している」「おおむね十分だが改善の余地はある」（といった対策済）が91%にのぼった。』一方で『過去1年間にセキュリティインシデントの経験があるか聞いたところ、63.4%が経験があると回答。』とも報じています。

企業の認識が甘いとか、対策が十分であると（思って）対策しているだけ、といった経営者の意識が低い、という見方もあるかと思います。

「重要情報」が全て暗号化されている率が50%程度ということから、確かに認識の甘さという指摘も否めない点もあると思います。

一方で逆の見方もできます。つまり、自社としてはリスクレベルに応じた予算を投じて「十分な対策」を実施しているものの、それでもインシデントが発生してしまっている。ということです。

サイバーセキュリティに「完全」はないので、打率に換算するのも変かも知れませんが、91%の十分な対策をしても63%がヒットしてしまっている。野球の防御率ではないですが、被弾率70%程度として、インシデント対応を設計しておく、ということの方が重要なのかも知れません。もちろん、被弾率ゼロの方がいいに決まってます。

https://news.mynavi.jp/techplus/article/20250109-3103333/

経営層の「根拠なき過信」が企業をリスクに晒す、9割以上が「十分なセキュリティ対策を実施」と認識

https://www.dreamarts.co.jp/news/press-release/pr250109/

大企業の情シス500名に聞いた「情報セキュリティ」に関する調査

ScanNetSecurityによると、『株式会社イトーキは12月25日、2024年7月1日付で株式会社イトーキに吸収合併した株式会社イトーキエンジニアリングサービスの業務委託先への不正アクセスについて発表した。』と報じています。

さらに『2024年6月8日に、イトーキエンジニアリングサービスがPCキッティングを委託していた事業者の再々委託先にランサムウェアによる不正アクセスがあった』とも報じています。

記事によると『漏えいした可能性があるのは、イトーキエンジニアリングサービスに勤務していた従業員299名の利用者名、管理者アカウント、ユーザーアカウントPWなどを含む個人情報。』とあり、企業情報となるようです。

サプライチェーンリスクという認識が広まりつつありますが、大規模な業務委託先の情報漏えい事件を通じて、直接委託先については、かなり注意が払われていることと思います。

つまり、再々委託先というところが、今回のポイントとなり、サプライチェーンリスク管理の難しいところです。

委託契約などに外部委託率などが記されている場合には、そうしたリスクに気づきやすい面もありますが、完全に委託先依存だとインシデントが起きてから気づく事になります。

https://scan.netsecurity.ne.jp/article/2025/01/10/52146.html

イトーキエンジニアリングサービスが PC キッティングを委託していた事業者の再々委託先にランサムウェア攻撃

https://www.itoki.jp/company/news/2024/1215_info/

業務委託先への不正アクセスについて

警視庁と内閣サイバーセキュリティセンター(NISC)は、中国系サイバー攻撃集団「MirrorFace」（ミラーフェイス）（別名、「Earth Kasha」（アース カシャ））によるサイバー攻撃に関して注意喚起を行いました。

Rocket Boysによると『具体的な被害組織の明言はありませんが、内容から恐らくJAXAへのサイバー攻撃も同グループが行った可能性が高いです。』とも報じています。

記事によると『MirrorFace による攻撃キャンペーンは、日本の安全保障や先端技術に係る情報窃取を目的としており、警察庁は「中国の関与が疑われる組織的なサイバー攻撃活動である」と評価しています。』とあり、非常に高度な攻撃であるとの分析です。

ただし、この攻撃キャンペーンによる独自の手法が用いられていることもなさそうで、フィッシングやマルウエアを通じた情報搾取を実施している様です。

つまり、既存の企業活動の中で、セキュリティに関する行動を確実に実施し、怪しいなどの状況に対して、適切なエスカレーションと対応をすることで対応可能だと思います。

さらに、今回の警視庁・サイバーセキュリティセンターの詳細な報告を理解し、自社の活動の確認・強化に役立てばさらに良いと思いますし、発表の意図もそこにあると思います。

https://rocket-boys.co.jp/security-measures-lab/11855/

警察庁、JAXAへサイバー攻撃を行ったとする中国系サイバー攻撃集団 MirrorFace(ミラーフェイ ス)の注意喚起

https://www.npa.go.jp/bureau/cyber/pdf/20250108_caution.pdf

MirrorFace によるサイバー攻撃について （注意喚起）

SecurityNEXTによると『Appleは現地時間1月27日、Mac向けに最新OSとなる「macOS Sequoia 15.3」をリリースした。あわせて「macOS Sonoma 14.7.3」「macOS Ventura 13.7.3」を提供しており、複数の脆弱性を修正している。』と報じている。

さらに（最新版とmacOSである）『macOS Sequoia 15.3」では、CVEベースで60件の脆弱性に対処した。「macOS Sonoma 14.7.3」では41件、「macOS Ventura 13.7.3」においても31件の脆弱性を解消した。』と発表されています。

Apple Macintoshを利用している方も増えているかと思います。macOSは安全といった話を聞くこともありますが、適切なアップデートをすることが、その前提条件となります。

今回は幅広く古いmacOSの更新も行われているため、古い機種でもアップデートをした方がいいと思われます。

https://www.security-next.com/166599

ゼロデイ脆弱性に対応した「macOS Sequoia 15.3」など公開 - Apple

Rocket Boysによると『2024年11月30日に公開された論文によると、AIが作成したフィッシングメールのリンククリック率は50%を超え人間の専門家が作成したメールと同等以上の成果を出しました。』と報じている。

さらに『AIと人の組み合わせで標的の情報収集(OSINT)、文章作成は手動の作業時間より95%も高速でした。』ということです。

フィッシングメールの発信量だけでなく、その質の向上による被害も多数報じられている昨今ですが、かなり以前から「AIによってフィッシングメールを作成されたら危ない」という警戒はされていました。

この研究論文の概要しか読んでいませんが、人間の専門家の作成したフィッシングメールのクリック率と変わらないレベルの内容が作成されており、それらの脅威は現実化したと見た方がいいでしょう。

送付先を調査したうえでフィッシングメールを作成・送付することを、標的型攻撃（別名ではスピアフィッシング）とも呼ばれ、脅威度はかなり高いと認識されています。

ここでの論文概要を見ると、明らかに標的型の手法を使ってクリック率を上げているので、企業が公表している情報にさえ注意するレベルの警戒が必要なのかも知れません。

https://rocket-boys.co.jp/11818/

AIが作成したフィッシングメールのクリック率が50%を超える

https://www.keepersecurity.com/blog/ja/2024/10/16/how-to-identify-spear-phishing-with-case-studies/

標的型攻撃メールの見分け方や手法を徹底解説

SecurityNEXTによると『Appleは現地時間2025年1月27日、「iOS 18.3」「iPadOS 18.3」をリリースした。ゼロデイ脆弱性を含む多数の脆弱性に対処している。カーネルに関する権限昇格の脆弱性「CVE-2025-24107」「CVE-2025-24159」をはじめ、あわせて29件の脆弱性を解消した。』と報じている。

さらに『悪意あるアプリケーションによって権限の昇格が可能となる「CoreMedia」の脆弱性「CVE-2025-24085」に関しては、「iOS 17.2」より以前のバージョンを対象として、積極的に悪用されている可能性があるという。』と発表されています。

iPhone/iPadを利用されている方は、自動アップデートされることだと思います。

既に悪用される事例が発生しているとのことで、手動でアップデートをしてもいいでしょう。

https://www.security-next.com/166592

Apple、「iOS 18.3」を公開 - ゼロデイ脆弱性などへ対応

SecurityNEXTによると『大阪医科薬科大学病院は、同院緩和ケアセンターにおいて、患者の個人情報が保存されたUSBメモリの所在がわからなくなっていることを明らかにした。』と報じられている。

さらに『2022年12月から2024年11月までに緩和ケアセンターが必要とした患者情報が保存されたUSBメモリが所在不明となっている』と発表されています。

USBメモリに個人情報を保存する理由が何かあったのでしょうが、盗難・紛失の際には様々な対応をせざるを得ない事まで考えると、懸命な選択肢でない事は自明だと思います。

こうした事態が発生した際の発表資料にも、具体的対応が注意喚起しか記されていないので、外部から見ていて不安が残ります。

https://www.security-next.com/165880

患者の個人情報含むUSBメモリが所在不明 - 大阪医薬大病院

https://hospital.ompu.ac.jp/news/l1mbah0000002o8e.html

個人情報を記録したUSBメモリの所在不明事例に関するお詫びとご報告

Rocket Boysによると『株式会社モダリスは子会社で悪意ある第三者による取引先を装った詐欺被害が発生し、資金流出が確認されました。』と報じている。

さらに経緯として『納品済みの取引に関する支払依頼メールが、A社を装った犯人から送付され、指定された虚偽の銀行口座に送金してしまったことで被害が生じました。犯人は、A社担当者のメールアカウントを乗っ取った後、同社とA社の取引内容や支払スケジュールを観察し、巧妙に偽装した請求書を送付しており』ということです。

報じられている内容からは、かなり巧妙に仕掛けられた詐欺にやられた様な話に聞こえます。

しかしながら、虚偽の銀行口座に振り込ませるまでの確認手段があったはずで、約1,400万円の取引規模に対して、確認手続きが脆弱であると見えます。

メールアカウントを乗っ取り、口座番号が変更になった、などと詐欺メールを送られて、搾取される事案もあり、振込先確認手順のガバナンス不備と言わざるを得ない事案もあります。

ここでは結論めいたことは書けませんが、例えば個人認証で使われ始めている「多要素認証」はID（記憶情報：知識情報）以外に、指紋や顔認証（生体情報）や、電話やカード（所持情報）のうち、複数を使うことをいいます。この概念から展開すると、メール（知識情報）以外に生体情報や所持情報を利用して確認すべきであるという話になります。

https://rocket-boys.co.jp/11793/

株式会社モダリス、子会社が取引先を装った送金詐欺の被害を発表

https://contents.xj-storage.jp/xcontents/AS04819/7189ea3b/e1be/4248/88ba/ff080c803bff/140120241227545975.pdf

当社子会社における資金流出被害の発生と特損計上に関するお知らせ

マイナビニュースによると『Google Chromeのブラウザ拡張機能から悪意のあるコードが発見されたと報じた。』と報じている。

さらに『発見された36の拡張機能からは情報窃取コードが発見されている。これら拡張機能を使用したユーザーは認証情報、アクセストークン、Cookieなどを窃取された可能性がある。』ということで、悪意のあるサードパーティーアプリケーションに注意が必要としている。

報じられている内容からは、かなり規模の大きい話に聞こえます。

拡張機能のデベロッパーにフィッシングメールが送付され、それに騙されることで、他の悪意のあるサードパーティーアプリケーションを承認させ、最終的には拡張機能を利用しているユーザが侵害されるという図式とのことです。

拡張機能は自動更新される設定が一般的なので、デベロッパー側が気づけば対応されますが、そうでないものは、放置されてしまうということです。

ここでは結論めいたことは書けませんが、拡張機能はChrome側の審査などでガードされていて、脆弱性対応から漏れてしまいがちなので、改めて拡張機能も不要なものはアンインストールするなどの注意が必要そうです。

https://news.mynavi.jp/techplus/article/20250106-3101219/

Chromeで拡張機能使っているなら要確認、260万人に認証情報窃取のリスク

https://therecord.media/hackers-target-vpn-ai-extensions-google-chrome-malicious-updates

Hackers target dozens of VPN and AI extensions for Google Chrome to compromise data

Security NEXTによると『長野県塩尻市は、同僚職員にストーカー行為をしたほか、システムで同職員の家族に関する個人情報を不正に閲覧していた職員の懲戒処分を行った』と報じている。

さらに『税情報システムのアクセスログを確認したところ、同職員は業務権限を不正に利用し、2021年12月から2022年9月まで6回にわたり税情報システムで業務とは関係ない女性職員の家族の個人情報へアクセスしていたことが発覚。ストーカー行為に利用した疑いが持たれている。』ということで、既に実害が発生している点にある。

アクセス権限と職務権限の定期棚卸しや監査などが定期的に実施されるべきですが、半年に渡って権限がないのに、それらが実施されていたという事かと思います。

また、アクセスと職務の権限の問題に加えて、アクセス履歴の定期監査などが実施されていたのでしょうか？

いずれにせよ、職員の性善説に立ったガバナンスが許してしまったインシデントだと思います。

https://www.security-next.com/162582

同僚にストーカー、システムで個人情報閲覧した職員を処分 - 塩尻市

https://www3.nhk.or.jp/lnews/nagano/20241004/1010032425.html

塩尻市職員 同僚女性職員などに性的文書など 停職３か月

Rocket Boysによると『株式会社シャトレーゼホールディングスは同社が運営するシャトレーゼホテル長野が利用していた宿泊予約情報管理システム「Booking.com」に対して、悪意のある第三者による不正アクセスが発生したことが判明し、個人情報漏洩とフィッシングメール配信をされたことを発表しました。』と報じている。

ここでの注目すべき点は『Booking.com経由で予約された一部の顧客宛に、当ホテルを装ったフィッシングサイトへのリンクを含むメッセージが送信されていたことが確認される。』ということで、既に実害が発生している点にある。

Booking.comの利用状況はよく分かりませんので、影響規模は想定しづらいですが、ここでは実害発生という事で、即座に発表されたと見られます。

また、Booking.com側からの発表内容は、少々読みにくく内容が掴みづらいですが、『まず強調させていただくのは、Booking.comのバックエンドのシステムやインフラへの侵害の事実はありません。』とサービスへの侵害はないという事と『例えばパートナー施設様のアカウントに不正アクセスが検出された場合には直ちにそのアカウントをロックする等対策を講じ』とあるので、情報漏えいの原因については判然としません。

いずれにせよ、情報漏えいからフィッシングメールへのつながりや流れがハッキリしている点が特徴のインシデントだと思います。

https://rocket-boys.co.jp/chateraise-hotel-booking-hack-leak/

シャトレーゼホテル長野が利用していたBooking.comへ不正アクセス、個人情報漏洩

https://news.booking.com/ja/-【重要-】お客様へのお願い-フィッシングメールと宿泊施設への宿泊に関する注意喚起/

【重要】お客様へのお願い-フィッシングメールと宿泊施設への宿泊に関わる注意喚起

Oracle Java に関するセキュリティ更新プログラムが公表されています。

（この脆弱性は）『悪用された場合、アプリケーションプログラムが異常終了する、攻撃者によってパソコンを制御される、といった様々な被害が発生するおそれがあります。』と発表されています。

サーバだけでなくパソコンも含めて、かなり広い範囲で使われていると思われます。手元のパソコンをチェックし、必要に応じて「手動で」アップデートをかける必要があります。

こうした脆弱性の対応漏れがないか？「MyJVNバージョンチェッカ」というツールが、内包するソフトウエアの脆弱性対応漏れの有無をチェックしてくれますので、こうした機会に使ってみて欲しいと思います。

https://www.ipa.go.jp/security/security-alert/2024/0122-jre.html

Oracle Java の脆弱性対策について(2025年1月)

ランサムウェア等のサイバー攻撃により、情報漏えいの事例が後を絶たない。日経XTECHの有名コラム「動かないコンピュータ」に掲載された記事では『発送代行受託業者が、ランサムウエア攻撃を受けた。30万人超の発送先情報が漏洩した可能性がある。狙われたのは、サーバーで使用しているソフトウエアに残っていた脆弱性だった。関係各所への連絡が遅れ、技術面以外でのサイバー攻撃対策の不備が露呈。委託元企業の委託先管理の甘さも否定できない。』と記されている。

ここでの注目すべき点は『9月12日に受けたランサムウエア攻撃に関する最終報告を、同年11月11日に公開した。』というところにある。30万人にも及び規模のせいか、3ヶ月もの結果発表まで時間がかかっており『顧客離れが発生した委託元もあった。』ということである。

漏洩の可能性のある規模が30万人に及ぶ規模に対して、脆弱性対応の不備という原因では、委託元は文句もいいたくなる。

さらに、個人情報を扱う発送業であるわりには、漏洩の可能性が発覚してからの、対応が稚拙という事である。

サイバーセキュリティに対する危機感について、経営的なインパクトを軽く見積もる経営や組織が見られるが、こうした事例が見直す機会になってほしいところである。

https://xtech.nikkei.com/atcl/nxt/mag/nc/18/020600011/121700170/

30万人超の情報漏洩の恐れ　連絡遅れに委託元「遺憾」

ポピュラーなファイル圧縮「7-Zip」が脆弱性の修正版をリリースしました。

（この脆弱性は）『インターネットからダウンロードされたファイルが潜在的に危険である可能性があることをユーザーに警告するフラグを設定する』部分に脆弱性を含んでおり、この脆弱性が悪用されると、警告メッセージが表示されず気づかないうちに悪意のあるファイルをダウンロードしてしまう可能性があります。

プレインストールも含めて、かなり広い範囲で使われていると思われます。自動アップデート機能は「ない」そうなので、手元のパソコンをチェックし、必要に応じて「手動で」アップデートをかける必要があります。

セキュリティ会社であるトレンドマイクロ社のセキュリティ研究者が発見した脆弱性ということですが、危険性が高い脆弱性ということです。

https://securityonline.info/cve-2025-0411-7-zip-security-vulnerability-enables-code-execution-update-now/

CVE-2025-0411: 7-Zip Security Vulnerability Enables Code Execution – Update Now

パスワードの設定では、長く複雑な文字列を設定し、（記憶出来ないので）パスワードマネージャを使う。という方法が推奨されている。

しかし、この方法により『従業員の私用端末がマルウエアに感染することによって、企業の業務システムが不正アクセス被害を受ける事件が増加傾向にある。狙われているのは従業員が私用アカウントで利用する「パスワードマネージャー」に保存された、ID／パスワードなどの認証情報だ。』という。

会社のシステムのパスワードを堅牢にするために、個人利用のスマートフォンなどに保存するのも、ある種の企業情報の持ち出しという事になるのでしょうか。

セキュリティや管理の甘い、個人端末に狙いが移っているという記事から、やはりパスワードによる認証の限界が見えていると思います。

多要素認証（パスワードと、それ以外の認証要素により認証するもの）にする事が現時点では正解なのかも知れません。

https://xtech.nikkei.com/atcl/nxt/column/18/00989/122500166/

私用アカウントが危ない、パスワードマネージャーから情報流出で不正アクセスの恐れ

マイクロソフトは、「Microsoft Edge」のセキュリティアップデートをリリースした。計15件の脆弱性を解消していると発表している。

（レンダリングエンジンである）「Chromium」における脆弱性13件の修正を反映。くわえて「MS Edge」独自に脆弱性2件を解消している。いずれも悪用、公表は確認されていない。

『悪用等が確認されていない』ということで、緊急性は低そうです。

https://learn.microsoft.com/ja-jp/deployedge/microsoft-edge-relnotes-security

Microsoft Edge セキュリティ更新プログラムのリリースノート

JPCERT/CCは『近年の水飲み場攻撃事例』と題したインシデント解説記事が発表しました。

『攻撃者の侵入経路はVPNやファイアウォールなどの外部公開資産の脆弱性の悪用』を侵害の主な要因とされているが『他の侵入経路への対策が忘れられがちになること』から、水飲み場攻撃事例の公表とした、としています。

水飲み場攻撃とは、ユーザーが、改ざんされたWebサイトにアクセスすると偽の（Adobe Flash Playerなどの）アップデート画面が表示され、指示に従ってファイルをダウンロードおよび実行すると、マルウェアに感染するものです。2023年を中心に発生していた攻撃パターンです。

近年はウェブのアクセスもセキュアな接続、つまりHTTPSによる接続が主体になっていて、それ以外の接続は、ブラウザが「安全ではない接続です」などのアラートを表示する様になっていて、気づきやすい環境になっています。

それでも、JPCERT/CCの記事を読むと、「経済産業省から公開されている文書が利用されている」ことや、「ウイルス対策ソフトを停止する機能や耐解析機能として検知する機能を持つ」などの巧妙さをより増していて、継続して注意すべき攻撃であるとの認識を新たにしました。

https://blogs.jpcert.or.jp/ja/2024/12/watering_hole_attack_part1.html

近年の水飲み場攻撃事例

Rocket Boysの記事によると『WordPressで人気のキャッシュ プラグイン「 W3 Total Cache」で重大な脆弱性(CVE-2024-12365)が発生しています。このプラグインは100万以上のサイトで利用されているので該当者はアップデートする事をお勧めします。』とアップデートが推奨されている。

記事では、この脆弱性について『データへの不正アクセスに対して脆弱』とされており、データへの不正アクセスなどの様々な悪影響が出る恐れがあるとの事です。

WordPressのプラグインは常にその脆弱性報告をよく見ておく必要がありそうです。

ベンダーに構築を依頼し、そのプラグインの内容が不明の場合など、非常に危険な状態なので、内容の精査を出来れば定期的に実施する事をお勧めします。

https://rocket-boys.co.jp/12079/

WordPressで人気のキャッシュ プラグイン「 W3 Total Cache」で重大な脆弱性(CVE-2024-12365)

https://nvd.nist.gov/vuln/detail/CVE-2024-12365/

CVE-2024-12365 Detail

2024年12月26日、日本航空は同社のネットワーク機器に対して大量のデータ送付を受けたことによるネットワーク障害が発生し、一部運航に影響が及んだことを明らかにしました。

障害は同日14時までに復旧しています。また関連は不明ですが、その後も金融機関において大量のデータ送信に起因したとみられる障害が発生しています。

年末年始の時期に、航空会社・銀行・気象関連機関・通信会社などへ、大量のデータ送付攻撃（いわゆるDDoS攻撃）を受けてサービス停止状態となる事象が発生しました。

警視庁・警察庁は、攻撃者に関する調査を開始していると言われており、一方でインフラ機関である銀行や交通機関の脆弱性も露呈しました。

愉快犯によるものであるとか、地政学的に特定の国や機関が予行演習的に実施したものであるとか、様々な専門家の方のご意見などがありますが、いずれにしても、対応に非常に時間がかかっており攻撃自体の有効性を証明してしまいました。

一般的には、ネットワーク上位のプロバイダや通信会社による制御（防御）や、CDNと言われる特殊なネットワークサービスによる制御（防御）が挙げられますが、そうしたハードウエア的な対策とは別に、対応体制や対応手順などの運用面での整備に対する課題も多いと思われ、その対応も急務だと思います。

https://piyolog.hatenadiary.jp/entry/2024/12/30/154109

日本航空で発生した大量データ送付起因のネットワーク障害についてまとめてみた

noteに『サクッと読む！セキュリティインシデントから学ぶこと』と題した投稿が記載されており、「ここ1年ほどで起きた情報セキュリティインシデントの中から、教訓として活かせそうなものや新手と思われるもの（実際には新しくなくとも、あまり認知されていないもの）をサクッと読んで新たな気づきを得ていただけるように、事例をご紹介したいと思います。」と事例紹介が記載されている。

この内１件の標的型フィッシング攻撃の事例が非常にシビアな内容だったので、ここで取り上げてみたいと思います。

『東京大学教員が偽の講演依頼メールを通じた標的型攻撃を受ける事件が発生しました。この攻撃では、実在する組織をかたる巧妙な手口が使用され、日程調整のため教員がやりとりをしている中でメールに記載されたURLにアクセスしたところ、マルウェアに感染し、PCに保存されているデータが流出した可能性が高いです。』

例として掲載されていたメールのタイトルなどを見たのですが、これは不審メール（フィッシングメール）対策では防ぎきれないかも知れません。（自分でも自信がありません） そのため、次段階に踏み込んだ防御態勢が必要で、このブログでも「マルウエア感染しても被害を最小にする」「インシデント対応計画を立案し、訓練しておく」といった事を挙げています。

そうした防御網を破られたときの備えをしっかりと構築しておく必要を感じました。

https://note.com/secure_navi/n/n42ad29d68d99

サクッと読む！セキュリティインシデントから学ぶこと

SecurityNEXTよると『マイナビの子会社で、学校向けのプログラミングスキル測定サービス「TechFUL」を展開する444は、同サービスの開発用サーバが侵害され、契約者やユーザーに関する個人情報が外部に流出したおそれがあることを明らかにした。』と報じました。

さらに記事には『クラウド管理会社よりネットワーク不正活動に関するアラートメールを受信。「TechFUL」のシステムについて調査したところ、開発用サーバが不正侵入されたことが判明したという。機密データを公開しないことを条件に身代金の支払いを要求する文面を発見した。』と記されている。

本番データベースに開発機を接続し、その開発機はサービス用と違ってセキュリティ設定が不十分であった。というのが大まかな原因となると思います。

攻撃者はネットワークに接続している全ての面に攻撃を仕掛けてくるので、ネットワークに接続した時点で攻撃対象なのですが、開発機は一般サービスの運用基準が適用されないケースがある様です。

最悪なのは、今回の情報漏洩に内容には『お客様のパスワードを暗号化した情報（ハッシュ）が流出』しています。ハッシュからパスワードを逆変換するのは無理だとしても、総当たりでパスワード候補をハッシュ変換して、合致したものを攻撃に使うことぐらいは、攻撃者はとっくに実行していると思います。（※プルートフォース攻撃として知られています）

それを考えると、マイナビはパスワードが漏洩したのと同じくらいの公表をすべきだと思います。

https://www.security-next.com/165751

開発サーバから情報流出か、DB破壊され脅迫文 - マイナビ子会社

https://techful.jp/info/4237/

不正アクセスによる個人情報流出に関するお詫びとお知らせ

ScanNetSecurityよると『トビラシステムズ株式会社は12月19日、「スミッシングトレンドレポート2024」を公開した。同レポートは、独自の迷惑情報データベースをもとにSMSを悪用したフィッシング詐欺「スミッシング」について調査し、2024年に流行した手口の傾向をまとめたもの。』と報道されている。

報道では『2024年に確認されたスミッシング手口の1位は宅配事業者をかたるSMSの75.9%で、4年連続で1位となっている。宅配事業者に関連する「荷物」「不在」「配達」「住所」などの単語が頻出した。』とされています。

スミッシングとはSMS phishing（SMSとフィッシング）の混成語であり、SMSを利用するフィッシング詐欺をスミッシングと呼びます。

つまり金融・決済サービスや、通信事業者をかたったショートメッセージを送付し、詐欺サイトへ誘導するものです。

宅配事業者が相変わらずのトップで、読者にもメッセージを受信された方も多いと思います。最近は銀行名を名乗ったり、通信事業者を語ったりといった様に、バライティ度合いが増えている様で、引き続き注意が必要です。

https://scan.netsecurity.ne.jp/article/2024/12/27/52107.html

「荷物」「不在」「配達」2024年 スミッシング “流行語” 大賞

https://tobila.com/news/report/p2160/

トビラシステムズ、「スミッシングトレンドレポート2024」を公開 2024年に流行した手口やランキングを発表

ScanNetSecurityよると『警察庁は12月13日、「ボイスフィッシング」による不正送金被害の急増について「サイバー警察局便り」で発表した。』と報じました。

さらに記事には手口として『銀行担当者を騙った犯人が被害者企業に電話（自動音声の場合あり）をかけてメールアドレスを聞き出し、フィッシングメールを送信した上で電話で指示しながら被害者をフィッシングサイトに誘導し、インターネットバンキングのアカウント情報等を入力させて盗取し、当該アカウント情報を用いて犯人が法人口座から資産を不正に送金する。』と記されている。

フィッシングというと、メールによるものと思われがちなので、企業を狙った詐欺電話のたぐいがこうした「ボイスフィッシング」だとこの記事で知りました。

法人を狙ったこうした詐欺は様々な手口がありますが、よくあるのがメールサービスをハッキングして、乗っ取り、そのメールを使って支払い口座の変更を語った詐欺というのが（最近では）発生しています。

いずれにしても、担当者が一人で判断するのではなく、銀行に確認を取ったのか？などのチェックする体制があると、こうした詐欺系には対抗できそうです。

つまり業務上のルールにより防止できる可能性の方が高いと思います。

https://scan.netsecurity.ne.jp/article/2024/12/26/52098.html

「ボイスフィッシング」による不正送金被害が急増、警察庁が対策を呼びかけ

https://www.npa.go.jp/bureau/cyber/pdf/R6_Vol.15cpal.pdf

サイバー警察局便り

2025年1月15日（日本時間）に Microsoft 製品に関するセキュリティ更新プログラム（月例）が公表されています。

この内３件の脆弱性について、Microsoft 社では悪用の事実を確認済みと公表しており、今後被害が拡大するおそれがあるため、至急、更新プログラムを適用してください。

定例アップデートですが、既に脆弱性を悪用する事例があるという事なので、なるべく早急に対応した方がいいでしょう。

https://www.ipa.go.jp/security/security-alert/2024/0115-ms.html

Microsoft 製品の脆弱性対策について(2025年1月)

https://msrc.microsoft.com/blog/2025/01/202501-security-update/

2025 年 1 月のセキュリティ更新プログラム (月例)

ScanNetSecurityよると『医師の個人用パソコンを入れたバッグが盗難被害に遭い、当該医師は盗難発覚後に、警察に盗難届を提出しているが、12月10日現在で発見に至っていない。個人用パソコンは、起動時のパスワード設定とデータの自動消去設定を行っている』と報道されている。

報道では『約1,000名の患者の医療個人情報が保存されていた』とされており、個人情報であることから、盗難した時点で届け出ていると見られます。

起動用のパスワードとデータ自動消去がされているパソコンなので、パソコンの中身を取り出すのは非常に難しいとは思いますが、個人情報の場合「漏洩の可能性がある」時点で届け出る必要があるわけです。

また、その情報が個人のパソコンに保存されている点も、２重に問題があります。セキュリティ意識が低いことや、組織のコンプライアンスに対するマネジメントの弱さが出ています。

さらに言うと、個人パソコンの紛失経緯が発表内容からは分かりませんが、お酒に酔った帰り道に寝込んでしまって紛失、などであれば３重に問題があるわけです。

https://scan.netsecurity.ne.jp/article/2024/12/25/52094.html

慶應義塾大学病院 医師の医療個人情報が保存された PC が盗難被害

https://www.hosp.keio.ac.jp/oshirase/hosp/detail/43536/

個人情報が含まれるPCの盗難事案に対するお詫びとご報告

ITmediaニュースよると『警察庁などは12月24日、DMMグループの暗号資産の取引業務を手掛けるDMM Bitcoinで、5月に発生したビットコイン約482億円分の不正流出について、北朝鮮のサイバー攻撃集団による犯行と特定したと発表した。採用活動を装って、暗号資産の管理会社の従業員にメールを送り、情報を盗み出したという。』と報じました。

さらに記事には手口として『（北朝鮮当局の下部組織が）ビジネスSNS「LinkedIn」上で、リクルーターになりすまし、暗号資産の保管場所「ウォレット」の管理を委託していた会社のウォレット管理システムのアクセス権を持つ従業員に対し、採用前の試験を装った悪意のあるPython スクリプトへのURLを送付。従業員にこのコードを自身のGitHubページにコピーさせて侵害した。』と記されている。

今回の捜査は、警察庁と警視庁、米国連邦捜査局（FBI）、米国国防省サイバー犯罪センター（DC3）が協力して実施したとあるので、国際的な協力の元で行われたと発表しています。

LinkedInは日本ではそれほど有名ではありませんが、転職などで活用されるビジネスSNSと区分されるサービスです。ここにはリクルーティング（転職仲介業者）などが、スカウトなどを行っています。

さらに本件は、ビットコインという換金性の高い商品取引業務なので、企業のコンプライアンスだけでなく個人の意識も高かったはずですが、個人に対して送付した（であろう）内容が、業務用のPCやネットワークに入り込んでおり、巧妙な手口であった事が想像出来ます。

こうしたフィッシング詐欺は、騙されるものと思って防御網を構築するしかないのかも知れません。

https://www.itmedia.co.jp/news/articles/2412/24/news131.html

DMMビットコイン流出、“北朝鮮のハッカー集団”の犯行と特定　採用活動を装い、委託先の従業員に接触か

https://www.npa.go.jp/bureau/cyber/koho/caution/caution20241224.html

北朝鮮を背景とするサイバー攻撃グループTraderTraitorによる暗号資産関連事業者を標的としたサイバー攻撃について

Rocket Boysよると『株式会社ストレージ王、は取引先金融オペレーターを騙る第三者の指示を受け、第三者の指定の操作を行い、資金が不正に流出した事を発表しました。』と報道されている。

報道では『取引先金融機関を装う第三者からの虚偽の電子証明手続き指示により、不正送金が発生。被害発覚後、直ちに捜査機関に通報。』とされており、マルウェアなどを一切使わない、ソーシャルエンジニアリングによる攻撃とのこと。

ソーシャルエンジニアリングとは、ハッキングなどのようインターネットや情報通信技術を利用せずに、ID　パスワードを不正に取得する方法。その手口の多くは人間の心理的な隙や、行動のミスを利用するとされています。

詐欺師は違和感を持たれないように、単独で判断させるなどの心理的に企業セキュリティの隙を突いてきます。金融機関へ確認の問い合わせを実施するなどの、企業の手順を手順書やマニュアルに定め、それをマネージャが確認する。といったルールに落とし込むことが大事だと思われます。

https://rocket-boys.co.jp/11685/

ストレージ王、ソーシャルエンジニアリングによる不正送金被害を発表

https://rocket-boys.co.jp/what-social-engineering/

ソーシャルエンジニアリングとは 手法や手口を解説

https://contents.xj-storage.jp/xcontents/AS04649/fb8bb514/0f68/41c0/a375/f06078bc5e8a/140120241223542936.pdf

当社における資金流失事案に関する調査結果及び再発防止策の策定並びに 役員報酬の一部自主返上に関するお知らせ

マイナビニュースよると『米国土安全保障省サイバーセキュリティ・インフラストラクチャーセキュリティ庁(CISA)は、モバイル通信のベストプラクティスガイダンスを発表した。発表されたガイダンスでは、標的にされやすい個人(政府関係者など)に対し、エンド・ツー・エンド暗号化された通信のみを使用するなど防衛策を実施することを強く推奨している。』と報じました。

さらにガイダンスには『ショートメッセージサービス(SMS)を利用した多要素認証はフィッシング耐性がなく、中間者攻撃(MITM)に脆弱で、認証を強化できない使用しない。』や『パスワードの管理にパスワードマネージャーを使用する。』などが指定されている。

『Signal』というと日本では闇バイトの連絡手段に使われて、あまりいいイメージがありませんが、暗号化されているメッセージングという意味では、今後はイメージが変わるのかも知れません。

そうしたイメージは別にして、このガイダンスの内容は、企業や省庁のセキュリティには非常に参考になる内容だと思います。

さらに、個人に対してもスマートフォンや（スマートフォンに入れている）SIMの設定や確認がiPhone/Androidの別で記載されていて大変参考になると思います。

最近でもスマートフォンの紛失を装った詐欺事件が発生しているという報道がされており、個人でも無対策は危険だという危機感に答えていると思います。

https://news.mynavi.jp/techplus/article/20241220-3089842/

メッセージアプリは「Signal」を使え、中国の攻撃を受けCISAが指南

https://www.cisa.gov/sites/default/files/2024-12/guidance-mobile-communications-best-practices.pdf/

Mobile Communications Best Practice Guidance

マイナビニュースによると『Googleは12月18日(米国時間)、年末年始などの休暇シーズンに増加するオンライン詐欺やフィッシング詐欺に対し、注意を喚起した。』と報道されている。

『詐欺師は標的に偽の請求書を送付する。被害者は請求書に記載された連絡先に電話して抗議することになるが、詐欺師はこの電話を悪用する。詐欺師は言葉巧みに説得し、詐欺を成功させる。』という古くから見られる詐欺だが、Googleによると根強い人気があり、休暇シーズンには驚くほど蔓延するという。

被害者は請求書に記載された連絡先に電話して確認・抗議するとありますが、電話連絡先が記されていることで、通常の商習慣や会社の規定通りの行動となるかと思います。

日本であれば、電話番号に違和感を持つなどの気づく材料はありそうですが、商習慣に付け込む詐欺には常に注意が必要ということになります。

https://news.mynavi.jp/techplus/article/20241220-3089899/

Googleが指摘、年末年始に向け注意すべきメールを悪用する3つの詐欺

https://blog.google/products/gmail/gmail-holidays-2024-spam-scam/

Email scams surge over the holiday — here’s how Gmail keeps you safe

SecurityNextによると『東亜大学によれば、インターネットで同大のドメインを検索すると、無関係の外部サイトに対するリンクが表示されるとの連絡が12月11日にあり、調査を行ったところ、同月7日にサーバが侵害されていたことが判明した。』と報じました。

報道によれば『12月18日の時点で情報流出は確認されていないが、同大では外部協力のもと、情報流出などの影響について調査を進めている』と発表されている。

サイバーセキュリティインシデントの発覚経緯というは様々なものがありますが、今回の場合は非常に珍しいケースだと思われます。

侵害に気づかず、利用者が検索結果の異変に気づくわけですが、それだけサーバやネットワークに対する監視が不十分だったという事になります。

最近は侵入検知を含めたファイル操作に関する監視システムの導入が珍しくないと思いますが、そうした監視されていないからこそ侵入されたのだとも言えるかも知れません。

https://www.security-next.com/165464

事務局サーバの侵害、不審な検索結果から発覚 - 東亜大

SecurityNextによると『macOS向けターミナルエミュレーター「iTerm2」に脆弱性が明らかとなった。アップデートなどが呼びかけられている。』と報道されている。

同ソフトウェアにおいて、情報漏洩の脆弱性「CVE-2025-22275」が判明したもの。特定環境においてログファイルが作成され、攻撃者が読み取ることで、ターミナルコマンドなどの機密情報を取得することが可能になる。

このターミナルソフトを使っている方は、高度なITリテラシがある方だと思うので、すでに情報伝達されていると思います。

特定の環境下における緊急度の非常に高い脆弱性が報告されているという事で、アップデートを早急に実施すべきという事です。

関連して、関連ログファイルの削除の作業が必要なので、その点でも注意が必要です。

https://www.security-next.com/165873

「iTerm2」に情報漏洩の脆弱性 - アップデートやファイルの削除を

https://iterm2.com/news.html

Security updates for 3.4 and 3.5 beta

ScanNetSecurityは『あいざわアセットマネジメント株式会社は12月6日、5月31日に公表した同社の利用するクラウドeメールサービスへの外部からの不正アクセスについて、調査結果を発表した』と報じた。

報道内容では『原因について、定期的なパスワードの変更が行われていなかったこと、二段階認証の導入を検討するものの対応せずにいたことで同社のセキュリティ対策が脆弱な状態となっていたことを挙げている。＜中略＞当該社員が外部サイトに登録しているパスワードが漏えいした可能性を指摘している。』としている。

金融機関のオンラインサービスは、その多くが多要素認証を導入しており、不正アクセスの可能性を低くしていますが、残念ながら全てではない様です。こうなるとパスワードのみで防御するしかないので、パスワード設定には気を使う必要があります。

さらに報道内容では『内部調査にて、スパムメールに添付されていたファイルを開封したところ、ランサムウェアやマルウェアで無かったことを確認している。』としており、会社としてのサイバーセキュリティのリテラシ教育が不十分であることが見えます。

他記事にも記しましたが、パスワードの使い回しも危うくする要因なので、長いパスワードをパスワードマネージャで管理するしか手がなさそうです。

https://scan.netsecurity.ne.jp/article/2024/12/20/52070.html

二段階認証 検討するも未対応 ～ クラウドeメールサービスへ不正アクセス、あいざわアセットマネジメント 顧客 2,540 人の個人情報 漏えいの可能性

https://www.aizawa-am.co.jp/wp-content/uploads/2024/12/あいざわアセットマネジメント_個人情報の流出について（最終報告）_cleean_20241206.pdf

個人情報の流出について（最終報告）

Googleは現地時間1月7日、同社ブラウザ「Chrome」のセキュリティアップデートをリリースしました。

WindowsおよびmacOS、Linux向けに4件のセキュリティに関する修正を行い、数日から数週間をかけて同アップデートを展開していく予定。と発表されている。

緊急度の非常に高い脆弱性が報告されているという事ではなさそうなので、自動でアップデートされるタイミングで更新すれば良さそうです。

https://chromereleases.googleblog.com/2025/01/stable-channel-update-for-desktop.html

Stable Channel Update for Desktop

Rocket Boysによると、サイバーセキュリティ企業のCheck Pointは『グーグルカレンダーやGoogle 図形描画などを利用して、悪意のあるリンクを含む正規の招待状を送信する事で、グーグルやメールのセキュリティポリシーを回避しようとしている活動を観測した』と報道している。

発表された内容には『多くのメールはグーグル カレンダーから直接送信されたように偽装しており、カレンダー ファイル (.ics) には Google フォームまたは Google 図形描画へのリンクが含まれているため、正当なメールのように見える』と記されています。

フィッシングメールの判断材料として、送信者（メアドなど）を確認するのが最初のステップだと思いますが、『正当な個人やGoogleカレンダー経由で送信されたように見せかけたメール』ということなので注意が必要です。

ただし、フィッシングメールの基本である「偽サイトへの誘導」が含まれていますので、このリンクや詐欺サイト誘導の部分で気づく必要があります。

Google Workspaceを利用している企業では、共有設定などでグループ外からのスケジュール設定に対する制限などを検討する必要があります。

https://rocket-boys.co.jp/11529/

グーグル カレンダーの招待メールに偽装したフィッシングメールを確認

https://blog.checkpoint.com/securing-user-and-access/google-calendar-notifications-bypassing-email-security-policies/

Google Calendar Notifications Bypassing Email Security Policies

マイナビニュースはThe Hacker Newsによる『中国の国家支援を受けているとみられる持続的標的型攻撃グループの「APT10」に属する脅威グループ「MirrorFace(別名: Earth Kasha)」が、日本の個人および組織を標的にスピアフィッシング攻撃を行った』と報じた。

報道内容では『MirrorFaceは日本の組織を執拗に狙うことで知られ、今回は2024年6月ごろから政治組織、研究機関、シンクタンク、国際関係機関の個人に対するサイバー攻撃キャンペーンを実施したとみられる』としている。

スピアフィッシングは、攻撃対象を絞り込み、ターゲットの属性に準じた巧妙な攻撃手法を用いることで、いわゆるフィッシングよりもさらに高度化したもので、攻撃の成功確率を向上させて目的達成を狙うのがスピアフィッシングの特徴です。

具体的に観測された内容として、『マクロを埋め込んだドキュメント』『ショートカットと自己解凍アーカイブ』『ショートカットとCABファイル』を挙げていますが、いずれも何かしらの「ファイルを開かせる」行為を行わせます。

添付ファイルを開かせたり、特定のサイトへ誘導したりといったことはフィッシング攻撃と同じなのですが、巧妙に偽造されたメールというところが特徴です。

会社などで情報共有や情報収集のために、エクセルファイルを送受信をしている組織は、こうしたスピアフィッシング攻撃の巧妙さの危険にさらされていると考えた方がいいでしょう。

https://news.mynavi.jp/techplus/article/20241206-3079247/

日本を執拗に狙う中国のサイバー攻撃グループ、新たな手法で検出困難

https://thehackernews.com/2024/12/anel-and-noopdoor-backdoors-weaponized.html

ANEL and NOOPDOOR Backdoors Weaponized in New MirrorFace Campaign Against Japan

マイナビニュースによると、ウィルス対策ソフトベンダーAvastの発表した『2024年に送信されたフィッシングメールのタイトルを挙げている』と報道している。

発表された内容は、５つの賞の体裁で紹介しているが、フィッシングメール被害が増加傾向の中、例えば『人事：ファイルのW4を更新してください』といった人事部を装ったメールは添付ファイルを開きやすいなどの具体的事例を紹介している。

フィッシングメールの代表例として文例と（）内にその目的をメモしてみました。

・アクションが必要です！アカウント情報を確認してください（偽サイトへの誘導）

・ずっとあなたを探していた（ロマンス詐欺）

・会員資格の有効期限が切れ、お支払いができません（サブスクを偽装→偽サイトへの誘導）

・あなたのWebカメラを監視していました（不安を与えて金銭をだまし取る）

https://news.mynavi.jp/techplus/article/20241230-3093389/

2024年に送られた注目すべきフィッシングメールのタイトル5選

https://blog.avast.com/the-avast-phishing-awards-trickiest-email-headlines

The Avast Phishing Awards: Trickiest email headlines of 2024

マイナビニュースはNordVPNによる『詐欺情報が横行する大規模なダークウェブフォーラムを分析。そこで話題となっている最新のトピックから、2025年に増加すると予測される5つのサイバー脅威や脆弱性を発表した。』と報じた。

報道内容では『アカウントの乗っ取り被害が拡大』をはじめとする５項目を挙げている。

５項目のうち、個人でも対応・予防が可能なものとして、『アカウントの乗っ取り被害が拡大』『スマートホームシステムやアプリケーションのセキュリティの脆弱性』『効果的なフィッシングメール』が挙げられると思います。

例えば、アカウントの乗っ取りの典型例としては、『パスワードの使い回し』が代表的な原因とされています。今や生活上で管理すべきパスワードの数が非常に多い昨今では、パスワードマネージャを活用するしか対抗策がないと思います。

次に警戒すべきは『人間の行動を真似て、効果的なフィッシングメールを作成するように設計されたツールが登場』だと思います。AIを活用して、高度に仕掛けられたフィッシングメールを避けるのは至難の業となるかも知れません。

メールの送信ドメインを確認する、とか、発信者にメール以外の手段で確認を取る、といった『ちょっと面倒な』対応をしないと避けられないかも知れません。

https://news.mynavi.jp/techplus/article/20241231-3088980/

ダークウェブから分析、2025年に増加すると予測されるセキュリティのリスク

マイナビニュースによると『ソーシャルエンジニアリング攻撃手法「ClickFix」の新しい亜種が発見され、この亜種はユーザー自身にマルウェアをインストールさせる新しい手法として、人間確認ツールの「CAPTCHA」を悪用するという。』と報道されている。

発表された内容では『この攻撃はマルバタイジング(偽のオンライン広告)の一種とのこと。被害者が特定のWebサイトを閲覧しているときに突然CAPTCHAが表示され、一連の操作を通じてボットではないことを証明すると、キーボード操作が要求され、指示に従うと悪意のあるPowerShellコマンドが実行され、最終的に情報窃取マルウェアに感染する』としている。

フィッシングメールもユーザー自身にマルウェアをインストールさせる手法ですが、人間が操作しているか確認する「CAPTCHA」を悪用する新しい手法の報道です。

発表内容によると『操作は「ファイル名を指定して実行」ダイアログの起動と、コマンドを貼り付ける内容になっており』とあり、最後のスクリプト実行時に気づくかどうか？が分岐点になりそうだと思いました。

違和感というか、ちょっとでも「おかしいな？」と気づいて止めるか、言われるままに操作してしまうか？リテラシーというよりも、ちょっとした冷静さが必要かも知れません。

https://news.mynavi.jp/techplus/article/20241218-3088302/

CAPTCHAに回答するとマルウェアに感染、新しいサイバー攻撃に注意

SecurityNEXTは『ソフトウェアの展開やパッチ管理などの機能を備えた管理者向けツール「PDQ Deploy」において資格情報を窃取される脆弱性が指摘されている。』と報じた。

報道内容では『デプロイの処理中に指定されたアカウントの資格情報が窃取される危険性が指摘されているもの。CERT/CCが現地時間12月11日にアドバイザリを公開、JVNを通じても注意が呼びかけられている。』とのこと。

企業などに導入されている、ソフトウェアの展開やパッチ管理などの機能を備えた管理者向けツール「PDQ Deploy」において資格情報を窃取される脆弱性が指摘されている。との報道です。

JVNなどの情報で気づくよりも先に、ベンダーさんからバージョンアップの連絡が来ているかと思います。

ベンダーさん依存ではないですが、そうした情報提供は重要なサービスの１つです。もし、そうした連絡がなかった場合には、ベンダーさんに連絡がなかった理由を確かめる必要があるくらいだと思います。

さて、実際に今回の管理者向けツールの具体的なバージョンアップ作業の難易度は分かりませんが、そうした手間も情シスさんの手間が増える要因ですね。

https://www.security-next.com/165351

Windows向けソフトウェアデプロイツールに資格情報窃取のおそれ

https://jvn.jp/vu/JVNVU93812400/index.html

PDQ Deployのサービス実行中に資格情報が窃取される問題