フィッシング報告が前年同期比109%増加、証券会社への攻撃が急増
フィッシング報告が前年同期比109%増加し、証券会社を標的にした攻撃が急増しています。情報漏洩や業務停止リスクに直結するため、経営層・情シス担当者ともに早急な対応が求められます。
JPCERT/CCが2026年1月22日に公開した四半期レポートによると、2025年10月から12月のインシデント報告件数は20,336件に達しました。特にフィッシングサイトが全体の91.58%を占め、金融機関を装った攻撃が深刻化しています。
本記事では、レポートから読み取れる攻撃傾向と、企業が今すぐ取り組むべき対策について解説します。
この四半期で特に増えた攻撃
本四半期の最大の特徴は、金融関連サービスを狙ったフィッシング攻撃の急増です。国内ブランドを装ったフィッシングサイトは10,532件で、前四半期比46%増加しました。なかでもマネックス証券やSBI証券など、証券会社を装ったフィッシングサイトの報告が急増しています。これは株式投資ブームを背景に、投資家の認証情報を狙う攻撃者が増えていることを示唆しています。
また、クレジットカード会社(JCB、三井住友カード、セゾンカードなど)を装ったフィッシングも依然として多く報告されています。さらに新たな傾向として、PlayStation StoreやNintendoのオンラインサービスといったゲーム関連のフィッシングサイトも確認されるようになりました。
標的型攻撃で確認された新手法「AiTM攻撃」
標的型攻撃では、Microsoft の認証情報を狙った**「AiTM(Adversary-in-the-Middle)攻撃」**が確認されています。この攻撃は、メール本文中のリンクをクリックするとOneDriveを模倣したページが表示され、そこでファイルをクリックすると偽のMicrosoftログイン画面が現れるという巧妙な手口です。
入力された認証情報は攻撃者のリバースプロキシを経由して窃取されるため、多要素認証(MFA)を設定していても突破される可能性があります。Microsoft 365やAzure ADを利用している企業は、特に警戒が必要です。
Webサイト改ざんの新たな手口「ClickFix」
ここまで読んで
「うちも同じだ」と思った方へ
課題は企業ごとに異なります。30分の無料相談で、
御社のボトルネックを一緒に整理しませんか?
営業電話なし オンライン対応可 相談だけでもOK
Webサイト改ざんでは、「ClickFix」と呼ばれる新手法が確認されました。正規Webサイトに埋め込まれたコードがCloudflareの検証画面に見せかけたチェックボックスを表示し、ユーザーがクリックするとWindowsキー+Rで「ファイル名を指定して実行」ダイアログを開くよう誘導します。
この指示に従うと、クリップボードにあらかじめ書き込まれた不正なコマンドが実行され、マルウェアがダウンロードされる仕組みです。一見すると正規のセキュリティ確認に見えるため、従業員教育での注意喚起が重要になります。
脆弱性を狙う攻撃の継続
本四半期も、VPN機器やネットワーク機器の脆弱性を悪用した攻撃が継続しています。JPCERT/CCは、Array Networks製Array AGシリーズの脆弱性について注意喚起を発行し、2025年8月以降に国内でWebshellが設置される被害が発生していることを公表しました。
また、Windows Server Update Services(WSUS)の脆弱性(CVE-2025-59287)を悪用した攻撃も観測されており、リモート勤務者向けにWSUSポートを外部公開している組織への個別通知が行われています。これらの事例は、パッチ適用の遅れが直接的な被害につながることを改めて示しています。
今すぐ取り組むべき5つの対策
JPCERT/CCのレポートを踏まえ、SOC・CSIRT担当者が優先的に取り組むべき対策を整理します。
まず1つ目は、フィッシング対策の強化です。証券会社やクレジットカード会社を装ったフィッシングメールへの警戒を全社に周知し、不審なリンクのクリックを防ぐ訓練を実施してください。
2つ目は、多要素認証の見直しです。AiTM攻撃に対抗するため、FIDO2準拠の認証方式への移行を検討します。従来のSMSやメールベースの認証では、リバースプロキシ型の攻撃を防げない場合があります。
3つ目は、VPN・ネットワーク機器の脆弱性対応です。Array AGシリーズ、Ivanti Connect Secure、FortiWebなど、名指しで注意喚起が出ている製品を利用している場合は、速やかにパッチを適用してください。
4つ目は、WSUSの設定確認です。リモート勤務者向けにポート8530/8531を外部公開している場合は、アクセス制限の見直しを行います。
5つ目は、検知・対応KPIの照合です。JPCERT/CCが観測した攻撃傾向(Telnet/SSH/HTTPへのスキャン増加など)と自社のSOCで検知している状況を比較し、見落としがないか確認してください。
まとめ
対策を怠れば、認証情報の窃取から不正送金やランサムウェア感染へと被害が拡大するリスクがあります。
2025年10-12月期は、フィッシング報告が前年同期比109%増加し、証券会社を標的とした攻撃やAiTM攻撃など新たな手法が確認されました。経営層にとっても、情報漏洩やランサムウェア被害は事業継続リスクに直結します。自社のセキュリティ体制を見直し、脆弱性対応と従業員教育の両面から対策を強化することが求められます。
「自社のセキュリティ体制で本当に守れるのか」「脆弱性対応が追いついていない」とお感じの方は、180社以上の支援実績を持つGXOにご相談ください。
「やりたいこと」はあるのに、
進め方がわからない?
DX・AI導入でつまずくポイントは企業ごとに異なります。
30分の無料相談で、御社の現状を整理し、最適な進め方を一緒に考えます。
営業電話なし オンライン対応可 相談だけでもOK
