ホリデーシーズンを狙うサイバー犯罪に注意！

2025年12月23日 11時00分更新

文●フォーティネットジャパン　編集●ASCII

提供: フォーティネットジャパン

本記事はフォーティネットジャパンが提供する「FORTINETブログ」に掲載された「2025年のホリデーシーズンを標的とするサイバー脅威：CISOが知っておくべきこと」を再編集したものです。

　毎年ホリデーシーズンになると、いつもオンライン活動が急増します。しかし2025年には、新たに構築された悪意のあるインフラストラクチャ、アカウント侵害行為、およびeコマースシステムに対する標的型攻撃がかつてないほど増加しています。攻撃者は何ヵ月も前から準備を始めており、市販のツールやサービスを利用することで、複数のプラットフォーム、地域、商品カテゴリにわたって攻撃を拡大しています。

　小売業者、金融機関、およびeコマースインフラストラクチャを運営している企業にとって、脅威の状況がこれほど活発化したことも、消費者の行動とこれほど緊密に結び付いたことも、これまで一度もありませんでした。オンラインショッピング、デジタル決済、販促イベントが急増している今年は、脅威アクターにとって格好の攻撃機会が広がっています。

　FortiGuard脅威リサーチでは、過去3ヵ月間のデータを分析して、2025年ホリデーシーズンの脅威対象領域を形作る最も顕著なパターンを特定しました。分析により、明確な傾向が明らかになっています。攻撃者はより迅速に行動し、より多くを自動化し、季節的なオンライン活動の急増を最大限に悪用しようとしています。

　本ブログでは、FortiGuard Labsが新たに公開した「FortiRecon Cyberthreat Landscape Overview for the 2025 Holiday Season（FortiRecon 2025年ホリデーシーズンのサイバー脅威の概要）」からの主なインサイトを要約し、組織が一年で最も忙しいオンラインショッピングの季節に備えるためのガイダンスを提供します。

ホリデーシーズン向けの悪意のあるインフラストラクチャが急増

　年末の休暇を前にした攻撃者の活動を示す最も明確な兆候は、ドメイン登録です。FortiGuard Labsは、「クリスマス」、「ブラックフライデー」、「フラッシュセール」などの言葉を含むホリデーシーズン関連のドメインを過去3ヵ月間で18,000件以上特定しました。そのうち少なくとも750件は悪意のあるドメインであると確認されました。その一方で、多くのドメインが悪意なしと認識されたわけですが、そこには潜在的なリスクがあります。

　同様の急増が、大手小売業者を装ったドメインの間でも起きています。攻撃者が登録したeコマース関連のドメインは19,000件を上回り、そのうち2,900件は悪意のあるドメインでした。有名企業などを偽装した名前には、多くの場合、短時間でサイトからサイトへと移動する買い物客が見逃しがちな些細な違いがあります。

　このようなドメインは、フィッシング、詐欺店舗、ギフトカード詐欺、支払い詐欺手法などをサポートします。また、ショッピングイベントのピーク時に悪意のあるURLを人為的に検索結果の上位に表示させるSEOポイズニング攻撃にも貢献します。

記録的な量の盗まれたアカウントデータが認証情報の悪用を助長

　レポートでは、スティーラーログの流通と利用が驚異的に増加していることも明らかにされています。過去3ヵ月間で、大手eコマースサイトと結び付いた157万件以上のログインアカウントがスティーラーログによって流通し、アンダーグラウンドマーケットで収集されました。

　スティーラーログには、ブラウザに保存されたパスワード、Cookie、セッショントークン、自動入力データ、システムフィンガープリントが含まれます。ホリデーシーズン中には、ユーザーがさまざまなデバイスで複数のアカウントにログインするため、これらのログが特に貴重になります。

　最近の犯罪者向けマーケットプレイスには、これらのログが、検索フィルター、レピュテーションスコア、自動配信システム付きで並んでいます。これによりスキル障壁が低減され、クレデンシャルスタッフィング、アカウント乗っ取り、不正購入を迅速に実行できるようになります。

　さらにレポートでは、カードダンプとCVVデータセットの「ホリデーセール」が活発に行われていることも指摘されています。脅威アクターは「ブラックフライデー」スタイルの販促を行って、盗まれた金融データを割引価格で売り出しており、詐欺が増加する一因となっています。

eコマースプラットフォームの重大な脆弱性

　攻撃者は、Adobe/Magento、Oracle E-Business Suite、WooCommerce、Bagisto、その他の一般的なeコマースプラットフォームの脆弱性を積極的に利用しています。その中でも特によく利用されているのは次の3つです。

・CVE-2025-54236 (Adobe/Magento)
　公的な報告によると、この脆弱性は不適切な入力検証を通じたセッション乗っ取りやリモートコード実行のために悪用されています。250以上のMagentoストアに侵害の兆候が見られます。

・CVE-2025-61882 (Oracle EBS)
　ランサムウェアグループによって、不正なリモートコードの実行、ERPデータの窃取、注文 / 在庫システムの妨害のために利用されています。

・CVE-2025-47569 (WordPress WooCommerce Ultimate Gift Cardプラグイン)
　攻撃者が侵害に成功するとデータベース内の機密データを操作および抽出できるようになるため、WooCommerceベースのオンラインストアにとって重大なセキュリティリスクとなります。ダークウェブでは、この脆弱性を悪用したデータベースデータへのアクセスが販売されています。

　どのプラットフォームでも、プラグイン、テンプレート、およびAPI認証に脆弱性があると、決済のスキミング、XSSエクスプロイト、権限の昇格、ファイルの不正アップロードが可能になります。

　MagecartスタイルのJavaScriptインジェクションは、今でも最も持続的でダメージが大きい脅威の1つであり、攻撃者がチェックアウトページから決済データを直接スキミングする手段となっています。

市販のツールとサービスが攻撃の大規模化を促進

　今年の脅威活動は、攻撃者が自力でツールやインフラストラクチャを構築する必要をなくすサービスのエコシステムを基盤とした、高レベルの自動化によって促進されています。最近は、AIを活用したブルートフォースフレームワークが膨大な量のログイン試行を人間らしいタイミングと動作で処理するようになったため、認証情報攻撃の検知がさらに難しくなっています。攻撃者は、WooCommerce、WordPress、FTP、SMTP、および一般的な管理パネル用にカスタマイズされた認証情報検証ツールを利用することで、攻撃対象のすべてのサイトについて盗んだユーザー名とパスワードをすばやくテストおよび確認できます。さらに、多くのプロキシサービスやVPNサービスがローテーションIPアドレスと地理的多様性を提供していますが、それがレート制限やジオフェンシングをトリガーする自動防御を妨げる要因となっています。

　即時セットアップ可能なホスティングは、フィッシングページやマルウェア配信に必須のサービスとなっており、最小限の構成作業ですぐに利用できるサーバーを攻撃者に提供しています。新しいWebサイトクローン作成サービスは詐欺攻撃用の完全な店舗サイトを再現でき、自動化されたSIPプラットフォームは偽の発信者IDを使った大量のビッシングをサポートします。攻撃者はSMSスパムパネルによってこれらの機能を利用したスミッシング攻撃を構築することで、標的となる買い物客を偽の不在通知や割引サービスで騙すことができます。

　SEO操作パッケージもまた市販されており、悪意のあるURLを検索結果の上位に表示して、買い物を急いでいるお客様がうっかりクリックする可能性を高めています。これと並行して、専門的なサービスが決済スキマーやバックドアをCMSベースのプラットフォームにインストールし、長期的なデータ窃取を可能にします。今では収益化の面さえも商品化されており、盗んだeウォレットの残高やギフトカードの残高を現金や再販可能な資産に変換する方法に関する詳細なチュートリアルが出回っています。

　これらが組み合わさった結果、攻撃者がホリデーシーズン向けの大規模な攻撃の準備に利用できる、緊密に統合されたマーケットプレイスが形成されています。これらのツールおよびサービスの多くは「ホリデースペシャル」として宣伝されており、季節に即した正規の販促活動が密接に反映されています。

収益化：侵害を利益に

　アンダーグラウンドマーケットでは、eコマースに対する侵害と結　び付いた商品が明確に増加しており、その規模はこれらの攻撃がどのように組織化されているかを反映しています。脅威アクターは、侵害したオンラインストアから取得した完全な顧客データベースだけでなく、購入者と商店の詳細を含む流出した数百万件ものWooCommerceレコードも販売しています。

　支払いトークンや顧客の連絡先情報、そしてブラウザのCookieが頻繁に売られていますが、これらを購入することで、パスワードと多要素認証（MFA）をすべてバイパスすることができます。高収益の小売サイトへの管理者アクセスまたはFTPアクセスが提供されている場合もあります。この種のアクセスを利用することで、攻撃者はバックエンドシステムを直接制御できます。さらに、現金化を行う共犯者を募集しているケースもあります。それにより、盗んだ残高や不正購入を迅速にマネーロンダリングまたは収益化することができます。

　ホリデーシーズンには取引件数が増加し、いつもより急いで買い物をする人が増えるため、侵害されたアカウントがこれらのアンダーグラウンドマーケットを通じて盛んに売り買いされます。アクティブな購入履歴を含む盗まれたセッションは特に貴重です。正規のユーザーの振る舞いによく似ていて、リアルタイムでの検知が非常に難しいためです。

ビジネスリーダーが知っておくべきこと

　調査結果には、明確なパターンが見られます。すなわち、攻撃のスピードと自動化が拡大し、商業組織が関わるようになっています。従来からあるホリデーシーズン中のサイバー活動の急増に、大規模なスティーラーログエコシステム、コモディティ化したAIツール、eコマースインフラストラクチャ内にまん延する脆弱性という問題が加わりました。

　CISO、詐欺対策チーム、およびeコマース企業のリーダーにとって、これはホリデーシーズン中だけの一時的な問題ではありません。この状況は、攻撃者のツール利用と収益化におけるより大きなトレンドを反映しており、2026年以降も続くと予想されます。

今すぐできる対策：ベストプラクティス

　いくつかの実践的な手順を早期に実行することで、詐欺、アカウント乗っ取り、決済ページの侵害などのリスクを大幅に低減できます。以下のベストプラクティスでは、組織と消費者が2025年のショッピングシーズン中に一般的な脅威を回避するためにできる対策を概説しています。

組織向けのベストプラクティス

・すべてのeコマースプラットフォーム、プラグイン、テーマ、およびサードパーティ統合を完全にアップデートし、使用されていないものは削除する。
・どこでもHTTPSの使用を徹底し、セッションCookie、管理ページ、チェックアウトフローの安全を確保する。
・管理者アカウントや高リスクのアカウントに対してはMFAを要求し、強力なパスワードポリシーを実施する。
・ボット管理、レート制限、および異常検知ツールを使用して認証情報の悪用を減らす。
・自社のブランドになりすました欺瞞的なドメインや類似ドメインがないか監視して、テイクダウン時にすばやく行動する。
・不正なスクリプト変更がないかスキャンして、決済ページの改ざんやスキマーを検知するコントロールを導入する。
・不審な管理アクション、セッションハイジャック、または異常なデータベースアクセスを監視するためにロギングを一元化する。
・詐欺対策、セキュリティ、顧客サポートの各チームが、ホリデーシーズン中を通して共通のサイバーイベントエスカレーションパスに従うようにする。

エンドユーザー向けのベストプラクティス

・ログイン情報や決済情報を入力する前に、WebサイトのURLを慎重にチェックする。
・詐欺対策を提供しているクレジットカードまたは信頼できる決済プロセッサを使用する。
・ショッピング、Eメール、およびバンキングアカウントに対してはMFAを有効にする。
・購入や金融アカウントの管理を行うときには、公衆Wi-FiやVPNの使用を避ける。
・一方的なメッセージや非現実的な販促（特に配送や割引に関するもの）には注意する。
・銀行とカードの請求書を定期的にチェックして、不正な請求をすばやく見つけ出す。

詳細情報

　本ブログで説明した概要の詳細については、FortiGuard Labsの「FortiRecon Cyberthreat Landscape Overview for the 2025 Holiday Season（FortiRecon 2025年ホリデーシーズンのサイバー脅威の概要）」レポートの全文をご覧ください。これには、ドメイン登録の完全な分析、脆弱性テーブル（CVSSスコアとエクスプロイトノートを含む）、脅威アクターの投稿（スクリーンショットとマーケットプレイスの商品リストを含む）、攻撃者のツールの詳しい明細とその機能、組織内のさまざまな役割に応じた推奨事項が含まれています。

　セキュリティ、詐欺対策、およびeコマースチームが2025年のホリデーシーズンに備えられるように、ぜひ、完全版のレポートをダウンロードして、ご確認ください。

フォーティネットのソリューション

　フォーティネットのセキュリティソリューションは、このレポートで説明した攻撃の手法、インフラストラクチャ、およびマルウェアに対抗できる、多層型の保護を提供します。FortiGate、FortiMail、FortiClient、およびFortiEDRは、すべてFortiGuardアンチウイルスサービスをサポートしています。これらのサービスは、ホリデーシーズン中の多くの攻撃で使用される悪意のあるファイル、ペイロード、スティーラーログマルウェアファミリーを検知してブロックします。FortiGuardによる最新の保護をご利用のお客様は、ネットワーク、エンドポイント、Eメールのいずれにおいても安全に保護されています。

　FortiMailは、偽の販促活動、詐欺店舗、送り付け詐欺などと結び付いたフィッシング攻撃の阻止において中心的な役割を果たします。ホリデーシーズン中の購入者や小売店従業員に対してよく使用される、悪意のあるURL、偽装された送信者ドメイン、認証情報収集用のフォームを特定して隔離します。FortiMail、FortiGate、およびFortiClientに埋め込まれたFortiSandboxが提供するリアルタイムのアンチフィッシング検知は、ポリモーフィックなルアーやAIが生成したルアーを含む、既知と未知両方のフィッシング攻撃を特定することで、新たな防御レイヤーを追加します。

　フォーティネットのセキュリティ意識向上トレーニングサービスと、FortiPhishフィッシングシミュレーションプラットフォームは、組織の人的防御レイヤーを強化します。これらのサービスは、偽の配達状況通知、認証情報リセット詐欺、正規の小売業者に似たドメインなどのソーシャルエンジニアリング戦術に対処できるように、従業員のトレーニングとテストを行います。これにより、ホリデーシーズンに関連した忙しさ、注意散漫、切迫感などを攻撃者に悪用される可能性が小さくなります。

　FortiGuard WebフィルタリングサービスとIPレピュテーションサービスは、悪意のあるドメイン、スティーラーログのマーケットプレイス、不正なeコマースサイト、そしてこのレポートで示した攻撃者のインフラストラクチャへのアクセスをブロックします。FortiGuardアンチボットネットおよびC2サービスは、ネットワーク上の感染したデバイスからのコマンド&コントロール（C2）通信を阻止します。FortiGuard CDR（コンテンツ無害化）サービスは、FortiGateとFortiMailのどちらでも動作し、悪意のあるスクリプトや埋め込まれた脅威をそれらがユーザーに到達する前に無害化します。

　お客様の組織が本レポートで解説したいずれかの脅威の影響を受けていると思われる場合は、フォーティネットのグローバルFortiGuardインシデントレスポンスチームまでお問い合わせください。フォーティネットのインシデントレスポンスチームが調査、封じ込め、修復をサポートします。