JPCERT/CCが「セキュリティインシデントの最新レポート」を公開━6つの教訓を紹介
2025年7月17日、JPCERT/CCが「2025年度第1四半期(2025年4月1日~6月30日)インシデント報告対応レポート」を公開した。
レポートからわかる最も重要なポイントは「フィッシング詐欺の爆発的な増加」だ。報告されたインシデント(サイバー攻撃などの事案)全体の約9割をフィッシングサイトに関する報告が占めており、極めて深刻な状況であることが示されている。
また、Webサイトの改ざんやランサムウェア攻撃も増えており、サイバー攻撃が量と質の両面で激化・巧妙化、私たち個人や企業にとって、セキュリティ対策がこれまで以上に重要になっていることを強く示す内容となっている。
本記事では、このレポートから、我々を取り巻くサイバーセキュリティの現状と、今そこにある脅威を読み解くとともに、筆者が考えた「6つの教訓」を紹介する。
参考サイト:JPCERT/CC インシデント報告対応レポート
驚異的なインシデント報告数とフィッシングの現実
まず衝撃的なのは、インシデント報告の数だ。この四半期だけで14,558件の報告が寄せられた。前四半期比で44%増という数字は、サイバー攻撃が激化している現実を突きつける。
その中でも、報告全体の88.1%、件数にして7,358件を占めたのが「フィッシングサイト」に関するものだ。これは異常事態と言えるだろう。我々の日常に、いかにフィッシング詐欺が蔓延しているかの証左である。
フィッシングの主な標的
レポートによると、特に狙われたブランドは以下の通りだ。
| ブランド種別 | 主な標的 | 特徴 |
|---|---|---|
| 国内ブランド | 金融(SBI証券、JCB、三井住友カード等) | 全体の70%以上を占める。個人の資産を直接狙う悪質な手口。 |
| 国外ブランド | Eコマース(Amazon, Apple ID) | 全体の60%以上。オンラインショッピングの普及に便乗。 |
特に、証券会社をかたるフィッシングの報告が前四半期から大幅に増加している点は見過ごせない。偽のログインページに誘導し、IDとパスワードを窃取。その後、不正に株の売買を行い、被害者の口座に損失を与えるという、極めて悪質な被害が報告されている。
前期比143%、急増するWebサイト改ざん
Webサイトの改ざん報告も、前四半期の95件から231件へと143%も急増している。注目すべきは、その手口の巧妙さだ。
IT意識が高い人でも引っ掛かかりやすい手口「ClickFix」
レポートで紹介されている「ClickFix」と呼ばれる手口は、歪んだ文字列を表示しユーザーがそれをフォームに入力することで認証を行う仕組み「CAPTCHA」(画像認証)の偽物を表示。ユーザーに「私はロボットではありません」をチェックさせる。
すると、「Windowsキー + Rを押して、表示されたウィンドウにCtrl + Vで貼り付け、Enterキーを押せ」という指示が表示される。これに従うと、クリップボードに仕込まれていた悪意のあるコマンドが実行され、結果的に不正なコードがダウンロードされてしまう。
この攻撃は、「ウェブサイトを利用するための、ごく当たり前の手続き」であり、ITに詳しい人ほどこのプロセスを日常的に、半ば無意識にこなしている。「Windowsキー + R」や「Ctrl + V」も、IT担当者やパワーユーザーにとっては日常的に使う、全く危険性のないショートカットキーだ。
攻撃者は、馴染み深く、安全だと脳が認識している操作を指示することで、心理的な警戒心を完全に麻痺させている。
続く標的型攻撃とランサムウェアの脅威
Ivanti社のVPN製品「Ivanti Connect Secure」の脆弱性(CVE-2025-22457)を悪用した標的型攻撃も引き続き確認されている。攻撃者はバックドアを仕掛け、ネットワーク内部へ侵入し、情報を窃取したり、他の端末へ攻撃を横展開(ラテラルムーブメント)したりする。
また、侵入型ランサムウェア攻撃の報告も後を絶たない。特筆すべきは、海外のグループ会社が攻撃を受け、そこを踏み台として国内の親会社が狙われるケースだ。
JPCERT/CCが海外のセキュリティ組織からの情報に基づき、国内企業へ注意喚起を行ったことで、被害を未然に防げたという事例は、グローバルな連携の重要性を示している。
このレポートから、筆者が得られた教訓
このインシデントレポートからはさまざまな学びが得られる。筆者が考える教訓は以下の通りだ。
フィッシングは「自分ごと」として捉えよ
報告の9割近くがフィッシングという現実は、もはや他人事ではないことを意味する。特に金融機関をかたる手口は、直接的な金銭被害に結びつく。
SMSやメールで送られてくるリンクを安易に信用しない、パスワードの使い回しをやめる、そして何より多要素認証(MFA)を必ず有効にする。これが個人でできる最も効果的な防御策だ。
サプライチェーンリスクへの備えは必須
Ivanti製品のような広く利用されるソフトウェアの脆弱性が狙われることは、自社だけでなく取引先や利用サービスを含めた「サプライチェーン」全体でセキュリティを考える必要性を示唆する。
また、海外拠点経由の攻撃は、グローバルに事業展開する企業にとって大きな課題だ。グループ全体での統一されたセキュリティガバナンスが不可欠である。
攻撃者の心理操作に警戒する
偽CAPTCHAの手口のように、攻撃者は人間の心理的な隙や習慣を悪用する。一見、正当に見える操作要求にも疑いの目を持つ冷静さが必要だ。「何かおかしい」と感じた時に立ち止まる勇気が、被害を防ぐ分水嶺となる。
ゼロトラストの標準化
VPN装置、つまり社内ネットワークと外部インターネットを隔てる「境界」を守るための機器が、攻撃の主要な侵入口になっているという事実は、「境界の内側は安全」という考え方の終わりを示している。
これからの標準は「ゼロトラスト」であり、すべての通信、すべてのアクセスを、それがたとえ社内からのものであっても「信用しない」ことを前提とし、常に検証する。従業員がどの端末から、どのネットワークを経由して、どのデータにアクセスしようとしているのか、その正当性を都度確認し、アクセス権を最小限に絞る。
この地道な取り組みこそが、内部に侵入した攻撃者の動きを封じ込める唯一の道だ。
「昨日までの常識」は通用しない、脆弱性管理はスピード勝負
レポートでは、IvantiやActive! mailなど、複数の製品で脆弱性が公表された直後に、それを悪用する攻撃が観測されている。JPCERT/CCが脆弱性公表とほぼ同時に注意喚起を発信していることからも、その切迫感が伝わってくる。
脆弱性管理は、もはや定期メンテナンスではなく「リアルタイムの危機対応」となった。
攻撃者は情報公開と同時に攻撃コードを開発し、世界中にスキャンを仕掛ける。パッチ適用までのわずかな時間差が、攻撃者にとって最大のチャンスとなるのだ。脆弱性への対応の遅れは致命的であり、迅速なリスク評価とパッチ適用のサイクルを高速で回すことが事業継続の鍵を握る。
一組織で完結させない「セキュリティ」の重要性
JPCERT/CCが海外CSIRTとの連携でランサムウェア攻撃を未然に防いだ事例は、セキュリティが一組織で完結しない問題であるとも解釈できる。国境を越えて協力する攻撃者に対抗するには、防御側も組織の壁を越えなければならない。
CISTAや業界ISACといった情報共有の枠組みに積極的に参加し、攻撃の兆候を共有することも重要だろう。そこから得られる「集合知」こそが、次の攻撃を予測し先手を打つための最も強力な武器となる。
まとめ
JPCERT/CCのレポートは、サイバー攻撃が決して遠い世界の話ではなく、我々のすぐ隣にある脅威であることを明確に示している。
レポートの冒頭にある「サイバーインシデントがなくなるその日まで」というJPCERT/CCの言葉は、我々一人ひとりがセキュリティ意識を高め、組織として対策を強化し、社会全体でこの脅威に立ち向かうべきだというメッセージに他ならない。まずは、自身の足元から対策を始めよう。
この記事をシェア
