ニュース
ISR、サイバー攻撃被害の現状と環境変化について説明 3年計画で脱パスワードを支援する新パッケージも発表
2025年5月23日 11:15
株式会社インターナショナルシステムリサーチ(以下、ISR)は22日、「被害拡大するサイバー攻撃に企業はどう備えるべきか『脱パスワード』3年戦略」と題した説明会を開催した。今回の説明会では、昨今のサイバー攻撃被害から読み取れるB2CおよびB2Bの環境変化について解説するとともに、その環境変化に対応するために重要となるパスキー認証への移行を支援するISRの新たなパッケージプランについて紹介した。
まず、B2Cにおける環境変化として、証券口座乗っ取り被害に関するNHKの報道にフォーカスを当て、その内容について解説した。金融庁の調査によると、証券口座への不正アクセス・不正取引による被害は今年3月から急増し、不正取引件数は687件、不正取引総額は約257億円に拡大。さらに4月には、不正取引件数が2746件、不正取引総額は約2789億円にまで達した。これを受けて金融庁では、「パスワードは使い回さない」「安全性の高いパスワードを設定する」「公式のウェブサイトをあらかじめブックマークしてアクセスする」「メッセージに記載されたリンクを不用意に開かない」「不審な問い合わせや通知に注意する」などの注意喚起を行っている。
また、実際に起きた証券口座乗っ取り被害の事例として、「ネット証券口座のID、パスワードが盗まれ、老後資金2700万円を損失した80代男性」、「不審なメールやパスワードの管理には気をつけていたのに証券口座が乗っ取られ、200万円余りの損失を出した60代女性」のケースを紹介。パスワードが流出した原因として、生成AIの登場で日本を取り巻く環境が大きく変化し、偽サイトがさらに巧妙化していることを指摘した。最近では、組織的な犯罪グループが匿名性の高いテレグラムを利用し、生成AIによって完璧な日本語で偽のフィッシングサイトを作り出しているという。
パスワード流出による証券口座乗っ取り被害の急増にともない、金融機関ではMFA(多要素認証)を必須化する動きが加速しており、5月14日時点でMFAの設定義務化を決定した証券会社は74社にのぼっている。こうした動きは金融機関にとどまらず、今後は、あらゆる場面においてパスワードレスのMFAが世界標準になっていくことが予想される。一方で、MFAにもさまざまな種類があり、ワンタイムパスワードやSMS認証は、中間者攻撃などによって突破されてしまうリスクが指摘されている。この新たな脅威に対して高いフィッシング耐性を持つとされているのがパスキー認証だという。パスキー認証は、認証行為が簡単で導入・展開も容易であることから、全世界で急速に普及が進んでおり、将来的にはパスキー認証がMFAの主流になると見られている。
次に、今年4月の国内企業におけるサイバー攻撃被害状況をもとに、B2Bの環境変化について解説した。ISRの調査によると、今年4月にサイバー攻撃被害を公表した国内企業件数は42件。前年4月は18件であり、1年間で2倍以上に増加していることがわかった。サイバー攻撃被害の攻撃手段別の割合を見ると、「ランサムウェア/マルウェア」が15件で全体の35.7%を占めていた。また、「調査中/詳細不明」も同数の15件あり、調査結果次第で割合が変化する可能性があるという。企業規模別では、従業員数9999人~1000人が最多で15件、次いで100人未満が11件、999人~100人が10件となった。業種別では、製造業が10件でトップだったが、運輸通信業の被害も目立ち8件の公表があった。
ISRが独自で集計した過去3年間の国内セキュリティインシデント公表件数の推移を見ると、2022年の201件から年々増加し、2024年は341件に達している。今年は5月16日時点ですでに150件が公表されており、年間で2024年と同等以上の被害が発生することが予想される。過去3年間の国内ランサムウェア被害公表件数も、2022年の47件から増加傾向にあり、2024年は99件となった。今年は5月16日時点で38件が公表されている。これらの調査結果から、B2Bにおけるサイバー攻撃被害状況は、悪化の一途をたどっている実情が明らかになった。
こうしたB2CおよびB2Bの環境変化を踏まえて、ISR 代表取締役のメンデス・ラウル氏は、「サイバー攻撃を取り巻く環境が変化し、その被害が国内でも拡大し続けている中で、当社では、脱パスワードに向けて段階的なパスキー認証への移行を推進している。今回、この取り組みの一つとして、3年計画でパスワード認証からパスキー認証へ移行するための新たなパッケージプランを提供開始する。新パッケージプランでは、パスワード認証を使用している企業に向けて、デバイス証明書とCloudGate Authenticator、およびCSM(カスタマーサクセスマネージャー)をセットで提供し、当社のCSMが顧客と一緒にパスキー認証への移行計画を作成していく」と、3年計画で脱パスワードを支援する新パッケージプランについて説明した。
新パッケージプランでは、脱パスワードへのファーストステップとして、デバイス証明書の導入を促進する。デバイス証明書を利用することで、アクセスした端末がデバイス証明書を保持しているかをチェックし、保持していない外部デバイスからのアクセスをブロックすることができる。また、CloudGateのデバイス証明書は、秘匿データを保存するための端末内の専用チップで証明書を発行するため、ほかのデバイスにはコピーできず、より安全性を確保した厳密な端末制限が可能になるという。
「新パッケージプランを導入している顧客企業の事例では、今年から3年契約で、来年にはパスキー認証の割合を5%、2027年には30%、そして2028年には90%まで高めることを計画している。当社のCloudGate UNOユーザー全体のパスキー認証の導入割合については、今年はまだ5%にとどまっているが、来年には20%、2027年には30%まで拡大させていく」と、パスキー認証移行へのロードマップを示した。
