【全体的な傾向】世界規模のサイバー攻撃が連発

サイバー攻撃が増加傾向なのは変わらずですが、インシデントの規模が大きいものやショッキングなニュースが特に目立ってきています。例えば、世界的ブランドをターゲットにした攻撃などは、世の中の注目を大いに集めたインシデントでした。世界中に衝撃を与えている事件が、ここ1～2ヵ月で複数件発生しているのは特筆すべきことでしょう。

太陽光発電システムの脆弱性が浮き彫りに

現在、世界に点在する42の企業の太陽光発電システム約35,000台がインターネット上に公開されており、エネルギーインフラに深刻なリスクをもたらしていることが明らかになりました。ターゲットとなるシステムはインバーター・データロガー・ゲートウェイなどです。インターネットへの直接接続の排除やパッチ適用、VPNの使用といった対策が必要になっています。

オーストラリア、ランサムウェア支払いの報告を義務化

2025年5月30日より、オーストラリアは世界で初めて、企業に対してランサムウェア支払いの報告を義務付ける法律を施行しました。対象となる企業に条件はあるものの、もし身代金の支払いが発生した場合、72時間以内にオーストラリア通信電子局（ASD）へ報告する必要があります。この法律はOptus・MediSecure・Medibankなどが攻撃を受けたことで、透明性の向上・暗号資産による資金追跡・サイバー犯罪の抑止を目的として施行されました。

史上最大規模のパスワード漏洩、160億件の認証情報が流出…それとも？

サイバーセキュリティ研究者のBob Diachenko氏は、アップルやグーグルなどの主要プラットフォームから160億件のパスワードが流出したと主張し、このニュースは瞬く間に拡散しました。ダークウェブに30件を超えるデータセットが流出していると報告され、専門家は当初、パスワードの変更、パスキーの採用、不審なリンクへの注意を緊急に呼びかけました。

しかし、その後の調査で具体的な証拠が不足していることが判明。 Diachenko氏は後に、データは過去の漏洩事件から集計されたもので、新たな単一の事件によるものではないと説明。データの不確実性にもかかわらず、元の報告は既に多数のメディアで広まり、多くの関心を集めました。現在、サイバーセキュリティの専門家は、初期の報道が過大に報道され、ミスリードを招くものだと批判しています。

悪意ある偽PDFファイルの衝撃

MicrosoftやDocuSignなど、信頼性の高いブランドを装った悪意あるPDFファイルが登場。QRコードやコールバック番号を通じて、偽のログインページや攻撃者の電話回線に誘導する「TOAD（電話誘導型攻撃）」を中心に、企業・個人を対象にしたフィッシング手法として急成長しています。

Bluetoothの脆弱性により3億台の自動車が情報窃取のきっかけに

「PerfektBlue」と名付けられた、車両のインフォテインメントシステムに関連するBluetoothの脆弱性が報告されています。世界中で3億5,000万台以上の車両と10億台以上のデバイスに影響を与えるもので、攻撃者がBluetoothの通信範囲内にいれば、ワンクリックでリモートコードを実行可能で、GPS追跡や音声の盗聴、個人情報の窃取などの被害を引き起こします。2024年に修正パッチが提供されましたが、ファームウェア更新の遅延やデバイスの分散管理により、いまだ数百万台がリスクに晒されているのが現状です。

英国の高級小売企業だけを狙う攻撃で世界的損失

Marks & Spencer、Harrods、Louis Vuittonといった、英国の著名な高級小売業者が相次いでサイバー攻撃を受け、顧客情報流出や業務停止が発生。「Scattered Spiderグループ」とされる犯行に対し、英国当局は4名を逮捕しました。専門家はサイバー犯罪による世界的な損失が2025年末には年間1.5兆ドルに達すると予測しています。

世界的規模のサイバー攻撃被害は他人事じゃない！

今回のIIJ編集部のトレンドレポートは以上です。被害規模が大きいショッキングなサイバー攻撃ばかりだったかと思います。IIJは世界で活躍する様々な日本の多国籍企業の事業を、最先端のソリューションを活用してIT・セキュリティの側面からサポートしています。もし、現地法人のセキュリティやガバナンスなどに不安な部分があるのでしたら、ぜひ一度IIJ編集部までお問い合わせください。

それでは来月のレポートもどうぞお楽しみに。引き続き、サイバー攻撃に対する姿勢を緩めず、セキュアで快適なビジネスライフをお過ごしください！

IIJのグローバルセキュリティソリューション一覧へ