皆さん、こんにちは。霜月です(*･ω･*)

今月も個人的に気になったニュースをまとめてみたいと思います！

よかったらどうぞ〜

※全てのニュースを網羅しているわけではございません。ご了承くださいませ☆

• インシデント
  • 楽天証券アカウントにて多数の不正取引被害
  • Xで大規模なDDoS攻撃被害
• 政府・公的機関
  • 警察庁が令和6年におけるサイバー空間の脅威の情勢を公開
  • 経産省がクレジットカード・セキュリティガイドラインを改訂
  • 経産省がサイバーセキュリティ産業振興戦略を公開
  • 国土交通省が港湾分野における情報セキュリティ確保に係る安全ガイドラインを改訂
  • 総務省が「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」を改訂
  • デジタル・フォレンジック研究会が証拠保全ガイドライン第10版を公開
  • NISTがPQCのバックアップアルゴリズムとしてHQCを追加
  • JNSAが生成AIを利用する上でのセキュリティ成熟度モデルを公開
• 脅威・攻撃者
  • ソーシャルエンジニアリング手法"ClickFix"
  • 米国司法省がSilk Typhoonに関与の12人を起訴
  • Infostealerの閲覧履歴の窃取における盲点
• 調査・報告書
  • マクニカが2024年版の日系企業ランサムウェア被害傾向を公開
  • PwCが「サイバー攻撃被害に係る公表」に関する調査結果を公開
  • デジタルアーツが過去3年分の国内セキュリティインシデント集計結果を公開
• その他
  • サイバーセキュリティアワード2025
  • JPCrypto-ISACが設立
  • GoogleがWizを買収

 

インシデント

楽天証券アカウントにて多数の不正取引被害

楽天証券のユーザーが不正取引の被害に遭う事案が多数発生しました。フィッシングメール経由でログインID/PWおよび取引暗証番号が窃取させたとのこと（一部、Infostealerによるとの情報もあり）。被害に遭った方は勝手に株を売られ、中国株や台湾株を勝手に購入されるという被害が確認されています。楽天証券は対策として追加の認証設定をするように呼びかけています。

www.rakuten-sec.co.jp

 

Xで大規模なDDoS攻撃被害

3月10日、Xで一時アクセス障害が発生した件について、Dark Storm（親パレスチナのハッカー集団）が、「XにDDoS攻撃を仕掛けて停止させた」とテレグラムで投稿していたとのこと。

www.bleepingcomputer.com

 

 

政府・公的機関

警察庁が令和6年におけるサイバー空間の脅威の情勢を公開

いつものレポートです。令和6年のランサム被害は222件と横ばい。

www.npa.go.jp

 

経産省がクレジットカード・セキュリティガイドラインを改訂

第6版です。主な改訂内容は、EC加盟店の取り組みとしてクレジットカート情報保護対策と不正利用対策、カード会社・PSPの取り組みとしてEC加盟店への適切な助言や情報提供を行う、など。

www.meti.go.jp

 

経産省がサイバーセキュリティ産業振興戦略を公開

国内で活用されているセキュリティ製品の多くが海外製である現状について。10年以内にサイバーセキュリティ産業における国内企業の売上高を約3兆円超に増やすことを目指すとのこと。

www.meti.go.jp

 

国土交通省が港湾分野における情報セキュリティ確保に係る安全ガイドラインを改訂

第2版です。今回の改訂では、港湾分野の知見を更に盛り込み、全体的に読みやすくされたとのこと。

www.mlit.go.jp

 

総務省が「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」を改訂

10月に募集した意見を反映させた第2版。

www.soumu.go.jp

 

デジタル・フォレンジック研究会が証拠保全ガイドライン第10版を公開

digitalforensic.jp

 

NISTがPQCのバックアップアルゴリズムとしてHQCを追加

着々と標準化が進んでいます。

www.nist.gov

また、NCSCがPQC移行のために組織が実施すべき内容について、タイムラインを公開しています。

www.ncsc.gov.uk

 

JNSAが生成AIを利用する上でのセキュリティ成熟度モデルを公開

https://www.jnsa.org/result/aisec/2024/index.html

 

脅威・攻撃者

ソーシャルエンジニアリング手法"ClickFix"

Webサイトの訪問者に偽のCAPTCHA画面などを表示させ、悪意あるスクリプトを実行させるソーシャルエンジニアリング手法であるClickFixの被害が広がっています。

krebsonsecurity.com

 

米国司法省がSilk Typhoonに関与の12人を起訴

APT27です。

www.justice.gov

 

Infostealerの閲覧履歴の窃取における盲点

IIJさんがInfoStealerを起因とする情報漏洩リスクについて解説。

sect.iij.ad.jp

 

調査・報告書

マクニカが2024年版の日系企業ランサムウェア被害傾向を公開

プレスの分析をしたところ、企業からの自発的な公表が多くなったとのこと。攻撃認知からプレスまでの日数なども集計されています。

security.macnica.co.jp

 

PwCが「サイバー攻撃被害に係る公表」に関する調査結果を公開

2回目の調査。サイバー攻撃被害に係る公表の7つの傾向。読めてないのであとで読みます。

www.pwc.com

 

デジタルアーツが過去3年分の国内セキュリティインシデント集計結果を公開

2022年から2024年の国内組織における情報漏洩に関わるセキュリティインシデントを集計。2024年のインシデント総数は1319件（紛失・盗難、不正アクセス、誤操作・設定不備、業務外利用・不正持ち出し、メール誤送信、マルウェア感染）。「マルウェア感染」の9割以上がランサム。

www.daj.jp

 

その他

サイバーセキュリティアワード2025

大賞に選ばれたアニメ「こうしす！」の第1話は「XPだけどお金がないから使い続けても問題ないよね」。面白かったです、Youtubeで見れます。

csa.digitalpolicyforum.jp

 

JPCrypto-ISACが設立

crypto-isac.jp

 

GoogleがWizを買収

cloud.google.com

 

こんな感じでしょうか？

 

今月は楽天証券さんの事案が非常に話題になりました。個人的に「銀行を狙うのは分かるけど、証券口座を狙っても攻撃者の手元にお金は来ないのでは？」と疑問だったのですが、今回の被害には舌を巻く思いでした。業界ごとのセキュリティを深く理解するのは重要だな、と改めて感じました。

 

プライベートは、、、特になく3月はずっと寝てました（えーーーっっ）。平日で完全にガス欠状態になり土日は20時間くらい寝てました／(^o^)＼ｱﾁｬｰ

息抜きに海外旅行したいぜ、、、東南アジアの気分です。

 

ということで、4月は新年度で新組織・新体制の方も多いかと思いますが、張り切っていきましょう！！！

ではでは〜(・ω・)ノシ