- ■IPA「情報セキュリティ10大脅威 2025 [組織]」
- ■大規模サイバー攻撃
- ■中国で施行されたインターネット身分証
- ■大規模DDoS攻撃
- ■物理的な攻撃
- ■フィッシングによる被害
- ■ボイスフィッシング(ビッシング)による不正送金被害
- ■ランサムウェア
- ■オンラインカジノへの誘導
- ■ランサム支払い報告義務
- ■ソーシャルエンジニアリング攻撃
- ■生成AIの攻撃への活用
■IPA「情報セキュリティ10大脅威 2025 [組織]」
■大規模サイバー攻撃
・英小売大手マークス&スペンサー(M&S)への大規模攻撃
【参考URL】https://rocket-boys.co.jp/security-measures-lab/marks-and-spencer-cyberattack-loss-estimated-at-579-billion-yen/
・ルイ・ヴィトンへのサイバー攻撃
https://hawknavi.com/threat-news/1007/
・親イスラエルのハッカー、イラン暗号資産取引所にサイバー攻撃 130億円被害
【参考URL】https://www.cnn.co.jp/tech/35234464.html
■中国で施行されたインターネット身分証
・2025年7月15日に施行された「国家オンライン身元認証公共サービス」
・市民は、「ネットワーク番号」で各種サービスにアクセスでき、個人情報を直接提供する必要がなくなる。
・しかし、政府が個人情報の管理を許可し、インターネット上の匿名性を排除するという思いがある可能性。
https://wedge.ismedia.jp/articles/-/38497
■大規模DDoS攻撃
2024年12月末から2025年1月にかけて、大規模なDDoS攻撃が行われ、システム障害が発生しました。
https://www.npa.go.jp/publications/statistics/cybersecurity/data/R7kami/R07_kami_cyber_jyosei.pdf
■物理的な攻撃
仏ルーブル美術館、監視カメラのパスワードは「ルーブル」だった Windows Server 2003も稼働
https://www.itmedia.co.jp/pcuser/articles/2511/06/news083.html
■フィッシングによる被害
「また、令和7年上半期におけるインターネットバンキングに係る不正送金事犯の発生件数は 2,593 件、被害総額は約 42 億 2,400 万円となっており、フィッシングがその手口の約 9 割を占める。
(出典:https://www.npa.go.jp/publications/statistics/cybersecurity/data/R7kami/R07_kami_cyber_jyosei.pdf)」|
■ボイスフィッシング(ビッシング)による不正送金被害
・警察の資料より
令和6年秋以降、犯罪グループが企業に架電し、ネットバンキングの更新手続等をかたってメールアドレスを聞き出し、フィッシングメールを送付するボイスフィッシング(ビッシング)という手口による法人口座の不正送金被害が急増した。 (引用:https://www.npa.go.jp/publications/statistics/cybersecurity/data/R7kami/R07_kami_cyber_jyosei.pdf) |
■ランサムウェア
・以下に詳しい攻撃手法などが記載されています。
https://www.cybertrust.co.jp/blog/linux-oss/system-monitoring/vulnerability/security-threat-trends2509-02.html
・SAP S/4HANAの脆弱性を突かれた侵入経路もあるようで、早急な対処が望まれます。※S/4HANAは、シンプルな仕組みで高速化した新型ERPシステムで、オンプレだけでなくクラウド利用も可能
SAP S/4HANAに要即時対応推奨の致命的な脆弱性(CVE-2025-42957)
https://rocket-boys.co.jp/security-measures-lab/sap-s4hana-critical-vulnerability-cve-2025-42957/
■オンラインカジノへの誘導
大学のWebサイトが改ざんされ、オンラインカジノに誘導される
■ランサム支払い報告義務
・オーストラリアでは、2025年5月から「ランサム支払い報告義務」本格施行
https://codebook.machinarecord.com/threatreport/silobreaker-cyber-alert/39222/
・以前は、「重大インシデント報告」を求めることが中心でしたが、ここ数年は、支払いに関して報告する方向になっています。
・アメリカ:CIRCIA → 支払い24時間報告(まだ未成立)
・オーストラリア:支払い72時間以内報告
・イギリス:支払い前通知+報告義務化案(まだ未成立)
■ソーシャルエンジニアリング攻撃
・新手のソーシャルエンジニアリング攻撃「ClickFix」
【参考URL】https://www.cybertrust.co.jp/blog/linux-oss/system-monitoring/vulnerability/security-threat-trends2505-01.html
【参考URL】https://news.yahoo.co.jp/articles/84a84d357ade33773fd39fad7460e6c2ab9d3fbd
■生成AIの攻撃への活用
・生成AIを使うことで、たとえば、日本語のフィッシングメールの作成が非常に容易になるなど、攻撃者が最大限に活用している。
・AIがヨーロッパ全土でランサムウェア攻撃を加速
https://www.cryptopolitan.com/ja/crowdstrike-ai-accelerate-ransomware-europe
・活用方法は、フィッシングメールの作成だけでなく、脆弱性を突いた攻撃などに活用されている。
・ディープフェイクによる詐欺
