- 2025-03-01
株式会社サイバープロテックのサイバーセキュリティアカデミー(サイアカ)より、サイバーセキュリティに関する最近のインシデントや最新の動向などの情報をシェアする目的で毎月2回程度ニュースレターを発信させていただきます。今回が2025年2月第2回目のニュースレターとなります。
1. 経済産業省、中小企業等におけるサイバーセキュリティ対策に関する実態調査結果公表
経済産業省は、2月19日に独立行政法人情報処理推進機構を通じて、中小企業等におけるサイバーセキュリティ対策をさらに促進する政策検討に役立てるための実態調査を公表した。
令和6年10月から12月にかけて全国の中小企業等4,191社の経営層に対するウェブアンケート等により調査を実施した結果、以下のような状況が判明した。
・約7割の企業が組織的なセキュリティ体制が整備されていない
・過去3期における情報セキュリティ対策投資を行っていない企業は約6割
・不正アクセスされた企業の48.0%が脆弱性を突かれ、他社経由での侵入も19.8%
・サイバーインシデントにより取引先に影響があった企業は約7割
・セキュリティ対策投資を行っている企業の約5割が、取引につながった
今後、経済産業省としては、こうした結果も踏まえ、中小企業等の規模や業種等に応じて効果的なサイバーセキュリティ対策手法を示すガイドブックの策定、サイバーセキュリティ人材の不足に悩む中小企業等と、当該人材とのマッチングを促すための枠組みの整備などを行う予定である。
●詳しくは: 中小企業の実態判明 サイバー攻撃の7割は取引先へも影響 (METI/経済産業省)
●注目ポイント: 中小企業等ではサイバーセキュリティ対策の対応が遅れているが、資金余力の課題もあるので、国のさらなる支援策が求められる。
2.ランサムウェア対策: 継続的な検証が最善の防御策
ランサムウェアは一度に攻撃を仕掛けるのではなく、段階的にゆっくりと防御を侵食していく。ランサムウェア攻撃の各段階では、手遅れになる前に脅威を検出して阻止するわずかなチャンスがあるが、問題は、ほとんどの組織が早期の警告サインを監視していないことである。
攻撃者は初期段階で、被害を最大化し、検出を回避するための以下の手順を実行する。
• 回復を防ぐためにシャドウ コピーとバックアップを削除
• 信頼できるプロセスにマルウェアを挿入して永続性を確立
• ランサムウェアが中断されずに実行されるようにミューテックス(相互排他オブジェクト)を作成
これらの初期段階の攻撃の徴候を検出するには、自動化されたプロセスにより、防御を継続的にテストすることが有効である。自動化することによりコストも抑えることができる。
●詳しくは:https://thehackernews.com/2025/02/becoming-ransomware-ready-why.html
●注目ポイント:ランサムウェア攻撃の初期段階の検知を自動化することは有益とおもわれる。
3. 「玄海町ふるさと納税特設サイト」への不正アクセス、41万件個人情報漏洩
今年2月25日に、佐賀県玄海町は、昨年8月27日に公表した「玄海町ふるさと納税特設サイト」への不正アクセスについて、外部調査結果に基づきアップデートしたものを公表した。当サイト内のレシピ紹介ページを改修した際に、セキュリティ上脆弱な箇所があり、SQLインジェクション攻撃を受けたもので、メールアドレスの41万件超の個人情報が漏洩したことが判明した。
●詳しくは: https://www.town.genkai.lg.jp/uploaded/attachment/6838.pdf
●注目ポイント: 町レベルでもかなりの個人情報が漏洩しており、他のふるさと納税サイトでも改めて点検が必要とおもわれる。
4. 企業の 生成AI 使用の 89% は組織にとって未把握
LayerX の「エンタープライズ 生成AI データ セキュリティ レポート 2025」によると、企業における AI の使用の約 90% は IT 部門の可視性外で行われ、組織はデータ漏洩や不正アクセスなどの重大なリスクにさらされている。 ChatGPT などの 生成AI ツールは業務目的で使用されているが、従業員の約 72% が個人アカウントからアクセスしており、従業員が企業アカウントからSSO でアクセスするのは約 12% のみである。結果として、生成AI の使用の約 90% が組織から見えなくなっている。 また、生成AIへの貼り付けアクティビティの50%に企業データが含まれる。さらに、生成AI ツールの常用ユーザーの 39% がソフトウェア開発者である。
このような状況から、組織において生成AI のリスクを管理するための新しいセキュリティ戦略が緊急に必要である。
●詳しくは:https://thehackernews.com/2025/02/89-of-enterprise-genai-usage-is.html
●注目ポイント:急速に ChatGPT などの利用が増加している状況から日本においても各組織でAIガバナンスルールの策定が求められている。
最後までお読みいただき、有難うございます。
【お問い合わせ窓口】
株式会社 サイバープロテック ニュース編集係
102-0074 東京都千代田区九段南1―5-6 りそな九段ビル5F
TEL 03-6262-0595