- 2025-10-01
株式会社サイバープロテックのサイバーセキュリティアカデミー(サイアカ)より、サイバーセキュリティに関する最近のインシデントや最新の動向などの情報をシェアする目的でニュースレターを発信させていただいており,今まで月2回のリリースでしたが、今月より月1回のリリースとさせていただきます。
1. 警察庁サイバー警察局、2025年上半期のサイバー犯罪や脅威の状況報告書を公表
9月18日、警察庁サイバー警察局は2025年上半期のサイバー犯罪や脅威の状況をまとめた報告書を公表した。
主要ポイントのいくつかは、以下の通りである。
① ランサムウェア被害は116件と過去最多と並ぶ件数で、中小企業での被害が約3分の2を占める。被害企業の復旧や調査にかかる費用は、2024年と比べ、1,000万円以上かかった事例が全体の50%から59%に増加。VPN やリモートデスクトップ用の機器からの侵入が、全体の感染経路の8割以上を占める。
② フィッシング報告件数は、前年同期比で89%増加の119万件。インターネットバンキングに係る不正送金額は、前年同期比73%増の約42億円。
③ 2025年3月から5月にかけて、証券会社をかたるフィッシングメールの送付や証券口座への不正アクセス・不正取引が急増し、金融庁及びフィッシング対策協議会によれば、不正売買金額は約5,780 億円、証券会社をかたるフィッシングメール報告件数は17万件。
- 詳しくは:https://www.npa.go.jp/publications/statistics/cybersecurity/index.html
- 注目ポイント:日本におけるランサムウェア、フィッシングの脅威がさらに増している。
2. 武器化されたMicrosoft Teamsをダウンロードさせ、リモートアクセスを獲得
Blackpoint は、「Microsoft Teams ダウンロード」を検索するユーザーに悪意のある広告が表示され、偽装Webサイトにリダイレクトされるという新たな攻撃を確認した。
Microsoft の公式ダウンロードポータルを偽装し、 MSTeamsSetup.exeという名前の悪意のあるファイルを配布している。不正なインストーラーを実行すると、Oyster または Broomstick と呼ばれる永続的なバックドアを展開する多段階攻撃が開始される。
Oysterバックドアの使用は、企業ネットワークへの侵入に使用されるRhysida などのランサムウェア攻撃と関連付けられており、特に懸念されるものである。
- 詳しくは:https://cybersecuritynews.com/weaponized-microsoft-teams/
- 注目ポイント:ベンダーの公式Webサイトからのみソフトウェアをダウンロードすることが強く推奨される。
3. 2025年のSOCにおけるAIの現状 – 最近の調査からの洞察
様々な業界の企業のセキュリティリーダー282名を対象とした包括的な調査により、従来のSOC モデルが運用上のプレッシャーに耐えきれなくなり、AI を活用したソリューションが今後の主な進路として浮上しているという転換点を迎えている状況を浮き彫りになった。
セキュリティチームは大量のアラートに圧倒されており、組織は1日平均960件ものアラートを処理している。大企業はさらに困難な状況に直面しており、平均30種類の異なるアラート生成ツールから毎日3,000件以上のアラートを処理している。この膨大な量は、セキュリティチームが極度の時間的プレッシャーの中で、困難な検知・調査の意思決定を迫られるという根本的な運用上の危機を引き起こしている。
セキュリティアラートの40%は、件数とリソースの制約により、全く調査されずに放置されている。
このような状況に対処するため、現在、セキュリティ チームの 55% が、アラートのトリアージと調査ワークフローをサポートするために AI コパイロットとアシスタントを本番環境に導入しており、AIをまだ活用していないチームの60%が、年内にAIを活用したSOCソリューションの評価を計画している。
- 詳しくは: https://thehackernews.com/2025/09/the-state-of-ai-in-soc-2025-insights.html
- 注目ポイント:SOC機能におけるAI活用の課題項目の数値化が参考になる。
4. 新たなスピアフィッシング攻撃によりキー入力などを盗むDarkCloudマルウェアが拡散
新たに確認されたスピアフィッシング(攻撃標的を狙ってのフィッシング)攻撃として、洗練されたソーシャルエンジニアリングのルアーを利用して、キーストロークを収集し、FTP 認証情報を盗み出し、システム情報を収集するように設計されたモジュラーマルウェアであるDarkCloudが拡散している。
過去1か月間、正規のソフトウェア更新や企業の請求書を装った標的型メールが、さまざまな業界送られてきており、これらのメールには、開かれると多段階の感染チェーンを引き起こす、武器化されたMicrosoft Word の添付ファイルが含まれている。
DarkCloudは、explorer.exeやsvchost.exeなどの一般的なプロセスにダイナミックリンクライブラリを挿入し、キーストローク API にフックを確立してユーザー入力をキャプチャする。このアプローチにより、Web ベースの FTP クライアントに入力された認証情報を含む、入力されたすべての文字を傍受できる。
また、認証情報の窃取に加え、高度な偵察機能として、実行中のプロセス、インストールされているソフトウェア、開いているネットワーク接続などのシステム情報を収集し、そのメタデータを攻撃者に送信する。
DarkCloud は、説得力のあるスピアフィッシングベクトルとステルス性の高いメモリ内ローダーおよびモジュラープラグインを組み合わせることで、FTP ベースのファイル転送と統合エンドポイント保護ソリューションに依存している組織に大きな脅威をもたらす。
- 詳しくは:https://cybersecuritynews.com/new-spear-phishing-attack-delivers-darkcloud-malware/
- 注目ポイント:このようなスピアフィッシングの脅威に対して、ホストへの異常なHTTPSセッションを監視し、APIフックインジェクションを検出できる行動分析ツールを導入する必要がある。
最後までお読みいただき、有難うございます。
【お問い合わせ窓口】
株式会社 サイバープロテック ニュース編集係
102-0074 東京都千代田区九段南1―5-6 りそな九段ビル5F
TEL 03-6262-0595