(1)ルイ・ヴィトンへのサイバー攻撃

・外部委託先企業のアカウント情報が侵害され、それを踏み台に本体システムへ不正アクセスするというサプライチェーン攻撃が行われました
・セキュリティの弱い取引先を狙う典型的な手口であり、事前に長期間計画・調査された組織的犯行とみられます。
・ 英国・韓国・トルコなど複数の国で合計約14万人分の顧客データが流出しました
【参考URL】https://hawknavi.com/threat-news/1007/

(2)親イスラエルのハッカー、イラン暗号資産取引所にサイバー攻撃

・攻撃者は取引所から暗号資産を窃取した後、それらを自らもアクセスできないデジタルウォレットに送金し実質的に“焼却”するという異例の手口を用いました
・盗んだ資産を利益目的で使用せず捨ててしまうこの方法は極めて異例で、イランに経済的損害を与えることが狙いとみられます。
・被害額は約9,000万ドル（約130億円）相当に上り、ノビテックスは被害を認めて安全確保のため一時サービスを停止。
【参考URL】https://www.cnn.co.jp/tech/35234464.html

(3)暗号資産・分散型金融（DeFi）プラットフォームへの攻撃

Balancer v2で1.1億ドルの不正流出、「丸め誤差」と「時点決済」の組み合わせを突く ― 各チェーンの対応とDeFiプロトコルの課題【MCB FinTechカタログ通信】
【参考URL】https://news.yahoo.co.jp/articles/ad7dd0d032b14a90208265613f95e5b89591ab47

(4)F5へのサイバー攻撃

BIG-IP/F5OS を開発・構築・管理するための内部システムに、攻撃者が最長1年くらい侵入。F5製品を作り出す“基盤そのもの”が侵害された点が最大の問題。盗まれた可能性がある情報としては、BIG-IP の ソースコード、内部設計資料などであり、攻撃者は ゼロデイ開発のヒントや広範囲の悪用方法を入手した可能性がある。
【参考URL】https://ja.vectra.ai/blog/could-the-f5-breach-expose-a-new-edge-security-gap

(5)米コロンビア大学にハッカー攻撃

「攻撃の目的は、2023年に米連邦最高裁が大学入試における人種考慮を違憲と判断した後も、コロンビア大が引き続き入学選考で『アファーマティブ・アクション（積極的差別是正措置）』を継続している証拠を得ること」
【参考URL】https://www.bloomberg.com/jp/news/articles/2025-07-02/SYQSRHT0G1KX00

(6)PowerSchool大規模情報漏えい事件

【参考URL】https://cybersecuritynews.com/teen-hacker-admits-guilt-powerschool/
・米国の19歳学生が、学校向けクラウド型「生徒情報システム」であるPowerSchoolの委託業者の盗まれた認証情報を悪用し、不正アクセス。
・約6,000万名の生徒、1,000万名の教職員の個人情報（氏名、住所、SSN、医療情報など）が流出。→ 米国史上最大規模の学校関連データ漏えい。
・盗んだデータはウクライナのサーバへ転送され、19歳の学生は、2.85百万ドル（約4億円）相当の身代金を要求。
・PowerSchoolが支払った後もデータは削除されず、各学校区にも二重の脅迫が行われた。
・学生は逮捕・起訴された

(7)カンタス航空の大規模情報漏えい

オーストラリアのカンタス航空で約570万件の顧客個人情報がサイバー攻撃により不正取得されました。サードパーティのプラットフォームから不正侵入されたようす
【参考URL】https://www.nikkei.com/article/DGXZQOCB112TD0R11C25A0000000/

(8)高級ブランド「Gucci」などで約740万件の情報流出

【参考URL】https://act1.co.jp/2025_09_24-1/
「国際的サイバー犯罪集団「ShinyHunters」によるもので、2025年4月にケリングのシステムへの侵入が確認されている。ShinyHuntersは、約740万件のユニークなメールアドレスに関連する顧客データを盗んだと主張」

(1)マクドナルドのAI採用ボット、パスワード「123456」で応募者データ漏洩の危機に

【参考URL】https://wired.jp/article/mcdonalds-ai-hiring-chat-bot-paradoxai/
・「オリビアは人間ではなくAIチャットボットで、応募者の選別、連絡先情報と履歴書の収集をし、性格テストに誘導する。時折、最も基本的な質問さえ繰り返し誤解するので、応募者を「気が狂いそうに」させるという声もある。」
・管理パスワードが「123456」という極めて弱いものであったため、世界中の応募者約6,400万人分の氏名・メールアドレス・電話番号が流出した可能性がある⇒実際には、脆弱性を発見したセキュリティ研究者以外には第三者にもアクセスされていないとのこと

(2)160億件のログイン情報流出か、史上最大規模の情報漏洩

【参考URL】https://news.yahoo.co.jp/articles/301d83ae61b352a823182842fe908bffe791ade2
「160億件以上のログイン認証情報が流出していたことを6月19日に発表」「過去最大規模のデータ漏洩の一つ」「流出した情報には、URL、ログインID、パスワード、セッショントークン、クッキー、メタデータなどが含まれており」「インフォスティーラーマルウェア（ログイン情報や機密データを盗むことに特化したマルウェア）の急速な蔓延に強い懸念」
⇒パスワードレスの仕組みではない場合、パスワードは、たまには変更した方がいいと思っています。

(1)Ingram Micro ランサムウェア攻撃による大規模システム障害

・IT機器流通大手の米イングラムマイクロがSafePayランサムウェア攻撃を受け、全世界のシステムを停止せざるを得ない事態に陥る。
・攻撃者は3.5TBもの社内データを窃取し、同社はシステム遮断による業務中断で1日当たり1億3,600万ドル以上（約200億円）の損害が出ると試算
・「攻撃者はGlobalProtect VPNプラットフォーム経由で侵入」
【参考URL】https://innovatopia.jp/cyber-security/cyber-security-news/59778/

(2)英小売大手マークス＆スペンサー（M&S）への大規模攻撃

・M&Sが委託していた外部業者の従業員を標的としたソーシャルエンジニアリング攻撃を起点に侵入され、その後ランサムウェアを用いてシステムを暗号化されたとみられる
・オンライン注文システムが一時停止し、衣料品や生活雑貨など主力商品のオンライン販売と物流に大打撃が生じた。また、今回の攻撃による今後の営業利益損失は最大約579億円（約3億ポンド）にのぼる見込みと試算されている
・加えて、顧客の氏名・住所・メールアドレス・生年月日・注文履歴・電話番号・クレジットカード情報の一部などの個人情報も流出した
【参考URL】https://rocket-boys.co.jp/security-measures-lab/marks-and-spencer-cyberattack-loss-estimated-at-579-billion-yen/

(4)多重脅迫

・これまでの主な手法
❶ データを復旧してほしければ金を払え（暗号化型ランサムウェア）
❷ 盗んだデータを公開するぞ。公開されたくなければ金を払え
　 ※ 暗号化を行わず❷のみを行うものはノーウェアランサムと呼ばれる

・近年増加している追加の脅迫
❸ 盗んだデータを利用して、取引先や顧客にも攻撃・連絡するぞ
❹ DDoS攻撃を仕掛け、業務を停止させるぞ
❺ 盗んだ企業の機密情報やノウハウをAIに学習させるぞ

(3)参考：攻撃手法について

・以下に詳しい攻撃手法などが記載されています。
https://www.cybertrust.co.jp/blog/linux-oss/system-monitoring/vulnerability/security-threat-trends2509-02.html
・VPN装置の脆弱性に加え、SAP S/4HANAの脆弱性を突かれた侵入経路もあるとのこと。※S/4HANAは、シンプルな仕組みで高速化した新型ERPシステムで、オンプレだけでなくクラウド利用も可能
SAP S/4HANAに要即時対応推奨の致命的な脆弱性(CVE-2025-42957)
【参考URL】https://rocket-boys.co.jp/security-measures-lab/sap-s4hana-critical-vulnerability-cve-2025-42957/

(1)国内への大規模DDoS攻撃

2024年12月末から2025年1月にかけて、日本の航空会社・銀行・通信事業者など複数の主要企業が相次いで大規模DDoS攻撃を受ける。犯人は特定されていませんが、大量のIoT機器で構成されたボットネットから指示が出ていた形跡があります。
【参考URL】https://www.npa.go.jp/publications/statistics/cybersecurity/data/R7kami/R07_kami_cyber_jyosei.pdf

(2)Microsoftが15.72Tbps、毎秒36億4000万パケットに及ぶ史上最大規模のDDoS攻撃を検出

「50万台以上のルーターや監視カメラをハッキングして大規模ボットネットを構築する「Aisuru」の攻撃」
「攻撃自体はAzureのDDoS攻撃対策機能によって緩和され、被害を受けたユーザーのサービスは中断することなく維持された」
【参考URL】https://gigazine.net/news/20251118-aisuru-ddos-attack-microsoft-azure/

(3)サイバー以外の要因　※可用性の観点

❶AWSの障害
AWSのus-east-1 の DynamoDB DNS 管理システムのバグ（競合状態）が発端となり、DynamoDB エンドポイントの名前解決が落ちたことで、それに依存する EC2・NLB・Lambda・Connect など多くのサービスでAPI エラー、新規リソース起動失敗、接続エラーが連鎖的に発生した大規模障害（既存 EC2 はおおむね動作継続だが、新規起動と周辺サービスが長時間不安定
【参考URL】https://qiita.com/zhang_hang/items/e63468ec53a95bb605a3

❷Cloudflareの障害
2025年11月18日に、CDNサービスを提供するCloudflare社の大規模障害。X（旧Twitter）、Dropbox（オンラインストレージ）、Spotify（ECサイト基盤）、Zoom、ChatGPT、Canva、Uber（配車サービス）など広範囲で影響が発生。
【参考URL】https://blog.cloudflare.com/ja-jp/18-november-2025-outage/

(1)フィッシングによる被害

「令和７年上半期におけるインターネットバンキングに係る不正送金事犯の発生件数は 2,593 件、被害総額は約 42 億 2,400 万円となっており、フィッシングがその手口の約 9 割を占める。
（出典：https://www.npa.go.jp/publications/statistics/cybersecurity/data/R7kami/R07_kami_cyber_jyosei.pdf)」|

(2)ボイスフィッシング（ビッシング）

・ボイスフィッシング（ビッシング）による不正送金被害

令和６年秋以降、犯罪グループが企業に架電し、ネットバンキングの更新手続等をかたってメールアドレスを聞き出し、フィッシングメールを送付するボイスフィッシング（ビッシング）という手口による法人口座の不正送金被害が急増した。 （引用：https://www.npa.go.jp/publications/statistics/cybersecurity/data/R7kami/R07_kami_cyber_jyosei.pdf)

・ハーバード大学、ボイスフィッシング(ビッシング)で個人情報漏洩の恐れ
【参考URL】https://rocket-boys.co.jp/security-measures-lab/harvard-university-voice-phishing-incident-possible-data-leak/

(3)クイッシング (Quishing)

・QR＋フィッシング
・攻撃者が悪意のあるQRコードを使って人々を偽のウェブサイトに誘導し、個人情報や金融情報を盗んだり、マルウェアをダウンロードさせたりする
・安易にQRコードを読みこまないことも大事
https://www.lanscope.jp/blogs/it_asset_management_emcloud_blog/20240517_20610/
・正規のQRコードの上に偽のQRコードシールが貼られ、無関係のサイトに誘導
https://newsdig.tbs.co.jp/articles/-/2248808

(1)オンラインカジノへの誘導

大学のWebサイトが改ざんされ、オンラインカジノに誘導される

(1)仏ルーブル美術館

・2025年10月にパリのルーブル美術館で白昼（開館時間中）に堂々と宝石強盗する事件（被害総額150億円相当）が発生
・犯人グループは、建設作業員に変装し、ルーヴル美術館内宝飾品8点盗んだが、その犯行の所要時間は8分程度とのこと
・以下に、侵入した様子がわかる写真（本物ではない）もあります。
https://ja.wikipedia.org/wiki/2025%E5%B9%B4%E3%83%AB%E3%83%BC%E3%83%B4%E3%83%AB%E7%BE%8E%E8%A1%93%E9%A4%A8%E5%BC%B7%E7%9B%97%E4%BA%8B%E4%BB%B6
・その後、犯人は逮捕されている。
・今回は物理的な盗難であり、職員削減による警備体制の不十分さが指摘されている。
・また、ITの不備もあり、監視カメラのパスワードは「Louvre（ルーブル）」であった。この状態であるため、犯人グループは、どこがカメラの死角であるかや、警備員がどこにいるかを容易に把握できた可能性がある。
・また、・2015年にサポート終了したWindows Server 2003も稼働とあり、もしかすると、警備や監視カメラのシステムを乗っ取り、不正な操作（画面を非表示するなど）ができたかもしれない。

(1)AIによるフィッシング高度化:

生成AIを使うことで、たとえば、日本語のフィッシングメールの作成が非常に容易になるなど、攻撃者が最大限に活用している。
【参考URL】AIでフィッシングが巧妙化、クリック率5割超のメールを3分で生成 攻防の最前線 | 日経クロステック（xTECH）

(2)ランサムウェア攻撃の加速

・AIがヨーロッパ全土でランサムウェア攻撃を加速
【参考URL】https://www.cryptopolitan.com/ja/crowdstrike-ai-accelerate-ransomware-europe
・活用方法は、フィッシングメールの作成だけでなく、脆弱性を突いた攻撃などに活用されている。

(3)ディープフェイク詐欺

映像や音声の生成AI（ディープフェイク）も詐欺に利用され、経営者の声そっくりに合成した音声で社員に指示を出させ現金を騙し取る事件や、有名人になりすました動画で暗号資産投資詐欺に誘導する事例が各国で確認された。

(4)AI搭載型ランサムウェア「PromptLock」の出現

「特徴は、ファイルの暗号化や情報窃取などの攻撃プログラムをリアルタイムで生成すること。これによりセキュリティーソフトなどに検知されにくくする。」「発見されたのは実験的なプログラム（PoC：Proof of Concept、概念実証）で実害は出ていない。だが今後、同様のコンセプトを持つランサムウエアが出回る可能性がある。」
【参考URL】https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/041800012/101700304/

(5)AI×AIの攻防

攻撃側では、AIが生成したマルウェアは、サンドボックス検知ロジックを備え、セキュリティAI（ChatGPTやGoogle Geminiなど）からも「無害」と評価されるものに進化してきている。また、防御側も、もちろんAIを駆使した振る舞い検知機能を持ち、AI対AIの攻防という新局面になっている。

(6)AIによる人員削減

※セキュリティには関係ありませんが、我々エンジニアへの最大のリスクかも
中国･百度が新たな人員削減､AI活用で余剰に？ 従業員の15～30％をカット
https://toyokeizai.net/articles/-/921861?display=b

(1)中国で施行されたインターネット身分証

・2025年7月15日に施行された「国家オンライン身元認証公共サービス」
・市民は、「ネットワーク番号」で各種サービスにアクセスでき、個人情報を直接提供する必要がなくなる。
・しかし、政府が個人情報の管理を許可し、インターネット上の匿名性を排除するという思いがある可能性。
【参考URL】https://wedge.ismedia.jp/articles/-/38497

(2)ランサム支払い報告義務

・オーストラリアでは、2025年5月から「ランサム支払い報告義務」本格施行
【参考URL】https://codebook.machinarecord.com/threatreport/silobreaker-cyber-alert/39222/
・以前は、「重大インシデント報告」を求めることが中心でしたが、ここ数年は、支払いに関して報告する方向になっています。
・アメリカ：CIRCIA → 支払い24時間報告（まだ未成立）
・オーストラリア：支払い72時間以内報告
・イギリス：支払い前通知＋報告義務化案（まだ未成立）

(3)アメリカ（ノースダコタ州）: 教育現場でのサイバーリテラシー必修化

・アメリカのノースダコタ州では、児童・生徒のサイバーセキュリティ教育を強化する州法が制定されました。同州は2023年に法律を可決し、2025年7月31日までに全てのK-12（幼稚園から高校まで）の学校でカリキュラムにサイバーセキュリティの内容を組み込むことを義務付け。
・州政府関係者は「サイバーセキュリティの基礎知識は読み書きと同じくらい重要だ」と強調。
【参考URL】https://edtechmagazine.com/k12/article/2024/07/schools-evaluate-cybersecurity-instruction-under-new-law

(4)欧州デジタル ID ウォレット

・EUDIウォレットは EUデジタル社会のID基盤で、オンライン上での本人確認を迅速かつ確実に実施する。EU全域での提供（2026年まで）が義務付け。
・ICカードではなく、自分のスマホのウォレットに署名付きのデジタル証明書（身分証、学歴証明など）が入る。
・日本のマイナンバーカードは、行政用途で使うので目的が違う。また、マイナンバーカードには最低限の個人情報（氏名・住所・生年月日・性別など）しか入っていない。
【参考URL】https://www.jri.co.jp/MediaLibrary/file/report/researchfocus/pdf/14989.pdf

(5)日本：能動的サイバー防御関連法

日本では近年深刻化するサイバー攻撃への対策として、「能動的サイバー防御」に関する法律（正式名称：重要電子計算機に対する不正行為の防止等に関する法律 ほか関連法）が2025年で成立。
https://west-sec.com/entry/gov_cloud#62-%E8%83%BD%E5%8B%95%E7%9A%84%E3%82%B5%E3%82%A4%E3%83%90%E3%83%BC%E9%98%B2%E5%BE%A1%E6%B3%95

(6)NISTのパスワードガイドライン更新

たとえば、
・記号や数字大文字混在など「複雑さ」を求めない
・定期的なパスワード変更は求めない
・パスワードを忘れた場合の質問を禁止
https://internet.watch.impress.co.jp/docs/yajiuma/2056544.html

(7)トランプ政権による大量の人員削減でCISAが苦境に

https://www.itmedia.co.jp/enterprise/articles/2505/29/news041.html
米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）の予算および人員削減（予算が2割（7000億）、人員が3割（1000人）の削減）により、防御力の低下につながる可能性もあります。実際、情報発信も減ってきているようです。

(1)新手のソーシャルエンジニアリング攻撃「ClickFix」

・たとえば、偽のシステムエラー画面やCAPTCHAを見せ、「ファイル名を指定して実行」でコマンドを入力させたり、PowerShellを開かせたりするよう誘導。その結果、ユーザーは気づかぬうちにマルウェアのダウンロードや悪意のあるスクリプト実行を許可してしまう。
【参考URL】https://www.cybertrust.co.jp/blog/linux-oss/system-monitoring/vulnerability/security-threat-trends2505-01.html
【参考URL】https://news.yahoo.co.jp/articles/84a84d357ade33773fd39fad7460e6c2ab9d3fbd

(2)ゲーマーの皆様ご注意を。Steamに潜むトロイの木馬

https://blog.kaspersky.co.jp/games-with-trojans-in-steam/37466/
・正しいソフトだと思ってゲームをしていると、5回目くらいのupdateでマルウェアに変化し、情報を抜かれたり、不正な決済が行われたりする。
ゲームは個人PCなので、EDRなどが入っていない。または、ゲームがそもそもEDRでブロックされることも多いので、利用者が自らEDRをOFFにしてしまうこともある。

(1)IPA「情報セキュリティ10大脅威 2025 [組織]」