会計検査院が最近公表した政府機関の情報システムにおけるセキュリティ対策の不備に関する報告は、単なる個別の技術的見落としとしてではなく、日本の公共セクターにおけるITガバナンス、調達慣行、そしてリスク管理文化に根差す、慢性的かつ構造的な欠陥が顕在化したものとして捉えるべきである。本分析は、会計検査院の指摘事項を詳細に検討し、それらが内閣サイバーセキュリティセンター（NISC）や情報処理推進機構（IPA）によって文書化されている外部のサイバー脅威の高まりと直接的に相関していることを明らかにする。

第1章 侵害の解剖学：近畿地方整備局インシデントとその連鎖的影響 本章では、国土交通省（MLIT）と内閣府を結びつけた重大なインシデントを詳細かつ証拠に基づき再構築し、政府機関の相互接続性に内在するリスクを分析するための主要なケーススタディとして確立する。 1.1 初期侵入：国土交通省近畿地方整備局への不正アクセス 本件インシデントの起点となったのは、国土交通省近畿地方整備局のネットワークインフラに対する外部からの不正アクセスである。同局は令和7年9月16日、公式にネットワークへの不正アクセスがあったことを発表した。この公式発表が、本分析の事実上の基盤となる。 攻撃の性質は「不正アクセス」と明記されているが、初期のプレスリリースでは、具体的な侵入経路や悪用された脆弱性（例：VPN機器の脆弱性、フィッシング、ソフトウェアの欠陥など）については詳述されていない。

インシデント概要： 2025年9月3日、日本の大手化学系商社メーカーであるCBC株式会社は、大規模なサイバー攻撃を受け、同社の日本拠点における全社規模のシステム障害に発展しました。同社は、この障害が外部の第三者によるサーバー侵害に起因することを確認し、被害拡大を阻止するためにネットワークの遮断という緊急措置を講じました。 対象企業の明確化： 本レポートは、非上場の化学専門商社であるCBC株式会社（cbc.co.jp）にのみ焦点を当てています。上場企業である中部日本放送株式会社（hicbc.com、証券コード9402）とは、名称が類似しているものの全く別の組織です。したがって、中部日本放送に関連する情報（株価、同社独自のセキュリティインシデント等）は本分析の対象外としています。

Part I 序論：進化するデジタルアイデンティティへの脅威 現代のデジタル環境において、パスワードセキュリティはもはや単純な推測ゲームを防ぐことだけを目的としていません。それは、認証情報の窃取と不正利用を産業化したエコシステムに対する防御策そのものです。本レポートで詳述する13の攻撃手口は、それぞれが独立した事象ではなく、より大きな脅威ランドスケープの中で相互に連携する構成要素として理解されなければなりません。ある手法によって悪用された脆弱性が、しばしば別の攻撃の弾薬となるのです。この第一部では、IT管理者が直面する脅威の全体像を解剖し、それぞれの手口のメカニズム、実世界の事例、そして検知のための具体的な指標を明らかにします。

2025年9月10日に公表された日本毛織株式会社（以下、ニッケ）へのサイバー攻撃は、単なるデータ窃盗事件ではなく、高度な脅威アクター「World Leaks」によって実行された、計算された脅迫（エクストーション）キャンペーンである。本レポートは、このインシデントの全貌を多角的に分析し、その手口、影響、そして日本企業が直面するサイバーリスクの現状について、経営層およびリスク管理担当者向けの戦略的洞察を提供するものである。 本インシデントでは、ニッケの現役従業員、退職者、および一部の採用応募者を含む数千件規模の個人情報が漏洩した可能性が指摘されている 1。漏洩した情報には、氏名や住所といった基本的な個人識別情報（PII）に留まらず、給与振込等に利用される銀行口座情報、人事情報、さらには法律上特別な配慮が求められる「要配慮個人情報」まで含まれており、極めて機微なデータが危険に晒された 2。また、限定的ではあるが、グループ会社の顧客情報も被害に遭っている。

本サービスは、FIDOアライアンスの公式認定を取得したサーバー（認定日: 2019年3月11日）を基盤としており、直感的な管理画面と開発者フレンドリーなAPI・SDKを提供することで、これまでパスキー対応に技術的・コスト的なハードルを感じていた事業者様でも、自社サービスへ世界標準に準拠したフィッシング耐性の高い次世代認証を容易に導入できるよう支援します。

本章では、日本のサイバー防災アプローチを支える戦略的、法的、そして組織的な背景を確立する。中核となる概念を定義し、主要な統治機関を紹介することで、第2部で詳述する各省庁の具体的な活動を理解するための基礎を提供する。 1.1 「サイバー防災」の定義：包括的かつ進化する概念 日本政府が掲げる「サイバー防災」の概念は、従来のサイバー攻撃対策という枠組みを大きく超える、極めて広範なものである。このアプローチは、外部からの悪意ある攻撃のみならず、機器の故障、ソフトウェアの脆弱性、サプライチェーンにおける情報管理の不備、さらには地震やパンデミックといった物理的な災害がデジタルインフラに及ぼす波及効果までをリスクとして包含している 。この包括的な視点は、政府の戦略を理解する上で根幹をなす要素である。

現代のビジネス環境は、かつてない規模と速度で進化するサイバー脅威によって、その根底から揺さぶられている。2023年から2025年にかけて、グローバルなインターネットインフラを支えるCloudflare社が、レイバーデーの連休中に観測史上最大規模の分散型サービス妨害（DDoS）攻撃を阻止したという事実は、もはや単なる技術ニュースの一コマではない 1。これは、サイバー攻撃が新たな次元に突入したことを示す象徴的な出来事である。攻撃の規模はテラビット毎秒（Tbps）という天文学的な領域に達し、従来の防御策を根こそぎ無力化するほどの破壊力を有している。 本レポートの核心的命題は、この「超巨大（ハイパーボリューメトリック）」な攻撃、巧妙化を極めるランサムウェア攻撃、そしてサプライチェーンの脆弱性を突く攻撃という三つの脅威が収斂し、企業経営におけるリスクマネジメントのあり方を根本的に変革する必要性を突きつけている点にある。もはや、境界線（ペリメター）で脅威を食い止めるという旧来の受動的なセキュリティモデルは機能不全に陥っている。事業の継続性を確保し、存続する

2025年のサイバー脅威ランドスケープは、単なる量的増加ではなく、根本的な質的変容の時代に突入しました。本レポートは、生成AIが攻撃者のツールキットを民主化し、サイバー犯罪を高度に効率化された「産業」へと押し上げている現状を深く分析するものです。 本稿は、サイバーセキュリティのグローバルリーダーであるアクロニス社が、世界100万以上のエンドポイントから収集したデータに基づき発表した「サイバー脅威レポート 2025年上半期版」の調査結果を基軸としています 1。アクロニスの最高情報セキュリティ責任者（CISO）であるジェラード・ブショルト氏が指摘するように、「サイバー犯罪者は、依然としてランサムウェア攻撃の成功を最終目標としていますが、その目標に至る手口は変化を見せています」2。本レポートは、まさにその「手口の変化」の核心に迫り、AIがランサムウェアとサイバー攻撃全般をいかに加速させているかを解き明かします。

本レポートは、2025年にコロンビア大学が受けたサイバー攻撃について、その詳細な分析を提供するものである。この事案は、単なるサイバー犯罪の一例ではなく、高等教育セクターにとっての転換点となる出来事であったと結論づける。これは、政治的動機に基づく「ハクティビズム」が、高度な影響力を持つ脅威として成熟したことを示す象徴的な事案である。攻撃者は、学術界に共通して見られる技術的負債（レガシーシステム）、文化的脆弱性（開放性とセキュリティの対立）、そしてシステミックなリソース不足という複合的な弱点を巧みに突いた。 この侵害により、約87万人の個人情報が危険に晒され、460ギガバイトにも及ぶ機微なデータが窃取された。その結果、大学は法的、財政的、そして政治的な問題が複雑に絡み合う渦中に置かれることとなった。本レポートは、この事案を徹底的に解剖し、この新たな脅威パラダイムに対して組織的なレジリエンス（回復力）を構築するための戦略的ロードマップを提示するものである。

2025年8月、エネルギー小売事業者である株式会社PinT（以下、PinT社）は、同社の顧客向けウェブサイト「マイページ」がリスト型サイバー攻撃を受け、不正ログインおよび約300万ポイントの不正利用が発生したことを公表した。本レポートは、このインシデントを単なる一企業のセキュリティ事案としてではなく、日本の重要インフラであるエネルギーセクターが直面するシステム的な脆弱性の兆候として捉え、その構造を多角的に分析するものである。 分析の結果、PinT社のインシデントは、いくつかの重大な問題を浮き彫りにした。第一に、攻撃の検知が著しく遅れたことである。最初の不正ログインから4ヶ月以上にわたり攻撃が継続していた事実は、リアルタイムでの脅威監視体制の不備を示唆している。これは、高度なゼロデイ攻撃ではなく、大量のログイン試行を伴う比較的検知しやすい攻撃であったことを考慮すると、極めて深刻な問題である。 第二に、盗まれた情報には、氏名や住所といった個人情報に加え、エネルギー事業者特有の「電力・ガス使用量」データが含まれていた点である。このデータは、個人の生

本レポートは、日本の製造業が直面するサイバーセキュリティの脅威について、その全体像と本質を深く掘り下げ、経営層が取るべき戦略的対応を提示するものである。近年の脅威動向を分析した結果、製造業はもはや数ある標的の一つではなく、サイバー犯罪者にとって最も収益性の高い「第一の標的」となっていることが明らかになった。この変化の根底には、物理的な生産ラインを停止させることで、被害企業に対して極めて強力な金銭的要求のテコを得られるという攻撃者の戦略的計算がある。 この脅威を深刻化させているのが、情報技術（IT）と、工場で長年稼働してきた旧来の制御技術（OT）との融合である。生産性向上を目的としたこの技術的進化は、皮肉にも、かつて「エアギャップ」によって守られていた生産設備をサイバー空間の脅威に直接晒すことになった。特に、ランサムウェア攻撃と、セキュリティ対策が手薄な中小企業を踏み台にするサプライチェーン攻撃が、生産停止という最悪の事態を引き起こす主要な手口として定着している。

2025年3月、日本の地方経済を支える百貨店グループ、大分トキハグループは、事業の根幹を揺るがすサイバー攻撃の渦中に突き落とされました。この事件は、単なる技術的なインシデントではなく、現代の小売業がいかに脆弱であり、サイバー攻撃がもたらす影響がいかに甚大であるかを浮き彫りにする象徴的なケーススタディとなりました。その被害は、一時的な業務停止にとどまらず、数ヶ月にわたる機能不全、そして最終的には数十万人に及ぶ顧客情報の漏洩という最悪の結末を迎えました。この災害の全貌を理解することは、同様のリスクに直面するすべての企業にとって不可欠な教訓となります。

6月25日開催！オンラインセミナー FIDO2 × YubiKey × YubiOnで実現！ 認証とログイン管理をまとめて見直す認証強化セミナー

Enterprise Security Magazine  / APEC の2025年4月号にて 「Top Digital Identity Solutions provider in APEC 2025」に選ばれました。

開催概要Japan IT Week（ジャパン IT ウィーク）とは Japan IT Weekは、「ソフトウェア＆アプリ開発 展」「IoT・エッジコンピューティング EXPO」「情報セキュリティ EXPO」「データセンター EXPO」「IT人材不足対策...

よく耳にするフィッシング詐欺ってどんなもの？基本的な知識から、具体的な手口、そして最も重要なフィッシング対策について、最新情報を含めて詳しく解説します。

IPAの中小企業のセキュリティ対策状況の報告書を元に、セキュリティ対策の実情について記載します。

昨今、Windowsログオンの認証にYubiKeyを使用し、二要素認証でセキュリティを強化したい、という要望は増加しつつありますが、そのような要望に対して、弊社には「 YubiOn Portal 」や「 YubiOn WindowsLogon Standalone...

PCI DSS v3.2.1の廃止とv4.0への完全移行を前に、クレジットカード情報を取り扱う全ての企業様に向けて、「まだ間に合う「PCI DSS 4.0」MFA必須化対応」キャンペーンを 2025年1月27日より開催しておりますが、ご好評につき第二弾を実施します。

弊社の 【YubiOn製品】 が研究者・エンジニアのための産業用製品比較情報サイト 「Metoree（メトリー）」 に掲載されました。 ⇒ Metoree 株式会社ソフト技研の取り扱い製品ページ メトリーは研究者・エンジニア向け製品・メーカー情報比較サイトです。...

先日、YubiOn FIDO Logonに企業向け認証器管理機能が実装されました。この機能を簡単に説明すると、セキュリティキーのシリアル番号を使って認証器の管理が出来る機能です。この機能を実現するために、FIDO2の「EnterpriseAttestation」と呼ばれる仕...

YubiOn FIDO Logonは「企業向け認証器」の新機能のアップデートを行いました。 どのような機能なのか、何ができるようになったのかについて、実際の動作を踏まえてご紹介いたします。

PCのログオンを多要素認証化する「YubiOn FIDO Logon」において、FIDO2シナリオの追加メカニズムであるEnterprise Attestation機能を2025年2月6日より対応開始しました。