【サイバーセキュリティ意識向上月間】基本はやはり「フィッシング対策」と「ソフトウェア更新」

文●フォーティネットジャパン 編集●ASCII

提供: フォーティネットジャパン

  • この記事をはてなブックマークに追加
  • 本文印刷

本記事はフォーティネットジャパンが提供する「FORTINETブログ」に掲載された「サイバーセキュリティ意識向上月間:フィッシング対策とソフトウェア更新が依然として最重要」を再編集したものです。

 サイバーセキュリティ意識向上月間は、個人および組織が、継続するサイバーリスクを防御できるように実践にスポットライトを当てる期間です。現在の脅威は、これまで以上に自動化され、機会を伺って潜伏し、冷酷さが高まっており、フィッシング攻撃に対する保護、およびソフトウェアを最新状態に保つ2つの基礎は引き続き非常に重要です。

 これらは新しい考えではなく、フォーティネットの「2025年フォーティネットグローバル脅威レポート」からも、こうした基本的な取り組みが引き続きレジリエンスの基盤である理由は明らかです。

2025年の脅威の状況:変化したこと、変化していないこと

 本レポートでは、サイバー攻撃の自動化が、前年と比較して記録的に急増したことが強調されています。攻撃者による、ボットやマシンスピードツールの利用が増加しており、脆弱性をスキャンしてフィッシングキャンペーンを大規模に実行します。このような変化により、フィッシング攻撃の危険がこれまで以上に高まっています。
 
 攻撃者は人間の信頼を悪用するため、フィッシングメール、悪意あるリンク、およびソーシャルエンジニアリングは引き続き、攻撃者にとって最も効果的な侵入口です。同時に、古いオペレーティングシステム、アプリケーション、プラグインなどのソフトウェアには、攻撃者が悪用可能な実績がある弱点が存在します。

 つまり、標的は同じですが、ツールは進化しています。

フィッシング攻撃:手法は変わらず、攻撃規模が拡大

 「2025年フォーティネットグローバル脅威レポート」によると、フィッシング攻撃は引き続き、好まれる攻撃ベクトルとして支配的です。攻撃者は、従業員を騙して悪意あるリンクをクリックさせたり、認証情報を共有させることができるため、ファイアウォールやゼロデイ脆弱性を突破する必要はありません。

 過去の1年間にわたり、フィッシングキャンペーンの精巧さも増しています。サイバー攻撃者は以下を行うことで精巧さを実現します。

・生成AIを利用してスペルミスや文法ミスがないEメールを作成
・窃取したブランド要素を悪用して信頼できる組織に偽装
・EメールとSMS(「スミッシング」)、およびディープフェイクの音声通話(「ヴィッシング」)を組み合わせて成功率を向上

 一方で、フィッシング攻撃が真に効果的である理由は、その規模です。攻撃者は、最新の自動化技術を利用して、数百万ものフィッシング攻撃を同時に実行できます。したがって、攻撃の成功がごく一部のみであっても、被害は広範囲に及ぶ可能性があります。

継続的なソフトウェア更新の事例

 「2025年フォーティネットグローバル脅威レポート」では、セキュリティ侵害の別の主要な理由として「古いソフトウェア」についても言及されておりました。2025年は、自動化ツールを利用する攻撃者が増加しており、既知の脆弱性をスキャンし、パッチが適用されていないシステムを見つけると、ほぼ瞬時に悪用されます。

 フィッシング攻撃と更新されていないソフトウェアが組み合わさることで、さらに危険性が増しています。フィッシングメールの攻撃が1回成功すると、マルウェアがデバイスに配信される可能性があります。そのデバイスで未パッチのソフトウェアを実行している場合、攻撃者は非常に簡単に、権限を昇格し、水平方向に移動し、防御を無効化することができます。これは致命的な組み合わせであり、攻撃者は、ソーシャルエンジニアリングを通じてドアを開き、古いソフトウェアを悪用して内部に潜伏することができます。

 したがって、ソフトウェア更新は引き続き、最もシンプルかつ効果的な防御の1つです。パッチは、既知のセキュリティホールを塞ぎ、攻撃者が利用する足場を無効化します。一方で、多くの組織は現在も、ダウンタイムや互換性、コストを懸念して、更新を遅らせています。日々遅らせることは、攻撃者を招き入れることになります。

サイバーセキュリティ意識向上:実践ステップ

 サイバーセキュリティ意識向上月間は、調査結果を実際の行動に変える時間を意識させてくれることです。私たちが皆様に推奨する、フォーティネットの調査結果を通じて強化された2つの実践を紹介します。

1.  フィッシング攻撃の意識向上の強化:従業員は、リンクをクリックする前に立ち止まり、送信先の詳細を検証し、不審なメッセージを報告できるようにトレーニングを受けることが推奨されます。また、多要素認証(MFA)を利用することで、認証情報が侵害された場合の追加のセーフティネットを提供します。

2.  可能な限りソフトウェア更新を自動化:組織は、一元的なパッチ管理を実装することが推奨されます。個人の場合、個人デバイスの自動更新を有効化することで、パッチリリースから適用までのタイムラグを排除できます。

 これらの対策は、企業文化としての定着が不可欠です。リーダーは、サイバーセキュリティは単なるITの問題ではなく、共有責任であることを社員に周知する必要があります。

2025年でも基本が重要である理由

 「2025年フォーティネットグローバル脅威レポート」で強調されているとおり、今日のサイバー攻撃者は、変化する防御、最新のテクノロジー、およびユーザーの行動に迅速に対応します。サイバー攻撃者は常に方法を模索しており、フィルタを回避し、パッチの適用遅れを悪用し、自動化を使用して活動を拡大します。一方で、これらの変化にかかわらず、防御の基礎は依然として同じです。フィッシング攻撃の意識向上およびタイムリーなパッチの適用は、引き続き最も信頼できる第一の防御ラインです。

 FortiGuard Labsが収集した脅威データから、次のポイントが明らかになりました。攻撃ツールの進化は続いていますが、侵入経路は断固として変わっていません。フィッシング攻撃の意識向上を継続的に強化し、規律あるソフトウェア衛生を実践する組織は、常に新たな脅威に対して高いレジリエンスがあります。

変化の中でレジリエンスを維持

 サイバーセキュリティ意識向上月間は新しい流行語ではありません。今日の最も一般的な脅威から組織を守るために、行動を強化することが重要です。また、データによると、フィッシング攻撃と古いソフトウェアは2025年も引き続き主要なリスクのひとつとなっていることを示しています。意識向上の強化および更新の効率化に取り組む組織では、急増し続ける自動化攻撃に適切に対抗することができます。

 フォーティネットは引き続き、当社の調査から得られたインサイトを提供し、企業や組織がサイバー脅威に先手を打てるよう支援してまいります。サイバーセキュリティ意識向上月間のポイントは明白です。基本を軽視しないでください。それが今なお最強の防御策なのです。

■関連サイト

Fortinet トップへ