- 2025-08-01
株式会社サイバープロテックのサイバーセキュリティアカデミー(サイアカ)より、サイバーセキュリティに関する最近のインシデントや最新の動向などの情報をシェアする目的で毎月2回程度ニュースレターを発信させていただきます。今回が2025年7月第2回目のニュースレターとなります。
1. IBM最新レポート, 米国でのデータ漏洩コストは平均15億円
情報漏洩事故の世界での平均コストは444万ドルに減少(5年ぶりの減少)したが、米国の平均コストは過去最高の1,022万ドル(約15億円)に上昇した。
米国の情報漏洩事故の平均コストが上昇している理由としては、人件費の上昇、検知・エスカレーションコストの増加、規制上の罰金の増加などがある。
侵害の13%はAIモデルまたはアプリケーションに関連しており、そのうち97%はアクセス制御が不十分であった。AIに関連した侵害の60%はデータ侵害につながり、31%は業務の中断につながっている。AI導入において、セキュリティとガバナンスは後回しにされていることが示された。
侵害の大半は顧客の個人情報を標的としており、盗難または侵害されたデータの53%を占め、盗難された認証情報に代わり、フィッシングが最も一般的な初期攻撃ベクトルとなった。これはAIの活用増加によるものと考えらる。
- 詳しくは:https://www.securityweek.com/cost-of-data-breach-in-us-rises-to-10-22-million-says-latest-ibm-report/
- 注目ポイント: AIは新たな、そして価値の高い標的であり、AIによる侵害は全体の侵害件数に占める割合はまだ比較的小さいものの、AIの利用拡大に伴い間違いなく増加する。
2. サンドボックスなしではSOCが検出できない5つのメール攻撃例
Slack、Teams、など新しいコミュニケーションツールが登場しているにもかかわらず、メールは依然として企業にとって最大の攻撃経路となっており、それは、メールが馴染み深く、信頼されており、悪用されやすいことによるものである。説得力のあるメッセージがあれば、脅威はフィルター、 EDRなどをすり抜けてしまう。
従来のツールでは検出されなかったが、ANY.RUN のインタラクティブサンドボックスでは完全に検出された攻撃の実際の例として、以下のようなものがある。
- マルウェアの添付ファイル
- 認証情報の盗難
- ゼロデイ攻撃
- クイッシング
- CVE-2017-11882
SOCにおいて、静的スキャン、メールフィルター、EDRだけでは、クリック後に実際に何が起こっているかを明らかにするのには十分ではなく、これらの防御ツールを回避して脅威を持ったメールが従業員の受信トレイに直接届いてしまう多くのケースがある。 SOCにおいて、インタラクティブサンドボックスのようなソリューションが有効である。
- 詳しくは:https://cybersecuritynews.com/5-email-attacks-socs-cannot-detect-without-a-sandbox/
- 注目ポイント: フィッシングメールが氾濫している中、インタラクティブサンドボックスのような機能の重要性は増してきている。
3. 高度化した最新XWorm V6、Windowsユーザーに大きな脅威
XWorm V6.0 と呼ばれる最新バージョンは、高度な分析回避機能が導入され、世界中のWindows ユーザーに大きな脅威をもたらしている。このマルウェアは、綿密に作成された VBScript ファイルを通じて攻撃を開始し、通常は、疑いを持たないユーザーをターゲットにしたソーシャルエンジニアリングキャンペーンを通じて配信されている。 XWormは、アンダーグラウンドのフォーラムで販売されているコモディティ・マルウェアでリモートアクセス型マルウェアの一種であり、感染したホストから機密情報を吸い上げるためのあらゆる機能が搭載されている。
XWorm V6.0の最初のドロッパー(特定のタイミングで不正コードを「ドロップ=投下」するもので、これ自体には直接的な不正コードが含まれていないため、一般的なウィルス対策ソフトによる検知を回避しやすい)は、高度な難読化技術を採用し、VBScript の ChrW 関数を使用して逆順に処理される文字コード配列を通じて、実行時に悪意のあるペイロードを埋め込み、再構築する。 再構築されたスクリプトは、セキュリティ識別子を体系的に削除し、追加のペイロードをダウンロードし、感染したシステム全体に複数の永続メカニズムを確立する。
- 詳しくは:https://cybersecuritynews.com/new-xworm-v6-variants-with-anti-analysis-capabilities/
- 注目ポイント: 高度な分析回避機能を持ったウィルスへの対策強化が求められる。
4. エンドポイント保護には、EDRとEPM の両者が必要
今日最も効果的なランサムウェア攻撃は、侵入を必要とせず、正当なIDとその権限を利用して足掛かりを築き、それを継続的に利用し、横展開してさらなる機会を探し、脆弱性やエクスプロイトを悪用してランサムウェアやスパイウェアを拡散させる。
EDRは、アラートをトリガーする脅威は検知するが、正当な権限を利用して紛れ込む脅威を阻止することはできず、それを補うものとして、エンドポイント権限管理(EPM)がある。 EPMは、不要な管理者権限を削除し、最小限の権限を強制することで、たとえ脅威アクターが侵入の足掛かりを得たとしても、攻撃対象領域を最小限に抑え、脅威アクターによる権限の昇格や横展開の可能性を制限する。
EDRはアクティブな脅威を警告する一方で、EPMが影響範囲を限定し、脅威アクターが目的を達成するために必要な権限へのアクセスを阻止する役割を担う。
- 詳しくは:https://thehackernews.com/expert-insights/2025/07/edr-detects-epm-prevents-why-using-both.html
- 注目ポイント:EPMのプロアクティブな防御とEDRのリアクティブセキュリティを組み合わせることで、エンドポイント脅威に対する防御を強化できる。
最後までお読みいただき、有難うございます。
【お問い合わせ窓口】
株式会社 サイバープロテック ニュース編集係
102-0074 東京都千代田区九段南1―5-6 りそな九段ビル5F
TEL 03-6262-0595