PinT社へのサイバー攻撃事案の分析：日本のエネルギーセクターにおけるリスト型攻撃の脅威とレジリエンスへの道筋

エグゼクティブサマリー

2025年8月、エネルギー小売事業者である株式会社PinT（以下、PinT社）は、同社の顧客向けウェブサイト「マイページ」がリスト型サイバー攻撃を受け、不正ログインおよび約300万ポイントの不正利用が発生したことを公表した。本レポートは、このインシデントを単なる一企業のセキュリティ事案としてではなく、日本の重要インフラであるエネルギーセクターが直面するシステム的な脆弱性の兆候として捉え、その構造を多角的に分析するものである。

分析の結果、PinT社のインシデントは、いくつかの重大な問題を浮き彫りにした。第一に、攻撃の検知が著しく遅れたことである。最初の不正ログインから4ヶ月以上にわたり攻撃が継続していた事実は、リアルタイムでの脅威監視体制の不備を示唆している。これは、高度なゼロデイ攻撃ではなく、大量のログイン試行を伴う比較的検知しやすい攻撃であったことを考慮すると、極めて深刻な問題である。

第二に、盗まれた情報には、氏名や住所といった個人情報に加え、エネルギー事業者特有の「電力・ガス使用量」データが含まれていた点である。このデータは、個人の生活パターンを詳細に推測可能にするものであり、二次的な犯罪に悪用されるリスクが極めて高い。ポイントの金銭的被害以上に、顧客のプライバシーと物理的な安全に関わる戦略的価値を持つ情報が漏洩したことの重要性は、より広く認識されるべきである。

第三に、本インシデントは孤立した事案ではない。過去に東京ガスや中部電力といった同業他社が、ほぼ同一の手口による攻撃を経験している。この事実は、エネルギー小売業界全体として、過去の教訓を活かし、セキュリティ体制を抜本的に見直すという動きが鈍かったことを示している。特に、電力自由化以降に参入した新電力事業者において、顧客獲得競争が優先され、サイバーセキュリティがコストセンターとして軽視される傾向が、業界全体のレジリエンスを低下させている可能性がある。

PinT社のインシデント対応は、攻撃元IPアドレスの遮断やパスワードリセットといった標準的な手順を踏んだものの、本質的には事後対応に留まった。また、攻撃の鎮静化から公表まで13日間のタイムラグが生じており、この間、攻撃者は盗んだ認証情報を他のサービスで悪用する機会を得ていた可能性がある。

以上の分析に基づき、本レポートは、日本のエネルギー小売事業者が今後取るべき戦略的推奨事項を提示する。これには、単なるパスワード依存からの脱却を目指す多層的な認証戦略（多要素認証の即時導入、将来的にはパスキー等のパスワードレス認証への移行）、機械学習を活用したユーザー行動分析（UBA）によるプロアクティブな脅威検知体制の構築、そして経営層が主導する全社的なセキュリティガバナンスの確立が含まれる。PinT社の事案は、サイバーセキュリティがもはやIT部門だけの課題ではなく、事業継続と社会的信頼を左右する経営の最重要課題であることを、日本のエネルギーセクター全体に改めて突きつける警鐘である。

第1章 PinTインシデントの解剖

本章では、PinT社に対するサイバー攻撃の全容を解明する。攻撃のタイムライン、用いられた手口、そして被害の具体的な内容を詳細に分析することで、インシデントの事実関係を明確にし、後続の分析における強固な基盤を構築する。

1.1 攻撃のタイムラインと検知：検知遅延が露呈した監視体制の脆弱性

PinT社のインシデントにおける一連の事象は、同社のセキュリティ監視体制の重大な欠陥を浮き彫りにした。公式発表と関連情報を基に再構築したタイムラインは以下の通りである。

このタイムラインが示す最も重大な問題は、最初の不正侵入が確認された4月1日から、攻撃が鎮静化された8月16日までの約4ヶ月半、実に138日間にわたって攻撃が検知されなかったという事実である ²。この長期間にわたる「ドウェルタイム（潜伏期間）」は、PinT社のセキュリティオペレーションにおける深刻な監視能力の欠如を示している。

今回用いられたリスト型攻撃は、その性質上、多数のログイン試行を伴う。成功するログインの裏には、膨大な数の失敗したログイン試行が存在し、サーバーログには大量の異常な記録が残るはずである ²。これは、未知の脆弱性を突くステルス性の高い攻撃とは異なり、比較的「ノイズの大きい」攻撃手法である。

セキュリティが成熟した組織であれば、SIEM（Security Information and Event Management）やUBA（User Behavior Analytics）といったシステムを導入し、ログイン試行の異常な急増や、地理的に分散したIPアドレスからのアクセス、通常とは異なる時間帯のログイン成功といったパターンを常時監視している。PinT社が8月中旬の大規模な集中攻撃によってはじめて異常を検知したという事実は、同社がこうした高度な行動分析に基づく監視ではなく、単純なしきい値ベースのアラートに依存していた可能性を示唆している。つまり、4月から続いていた「低頻度かつ広範囲（low-and-slow）」の攻撃フェーズを完全に見逃していたのである。これは、脅威の兆候を積極的に探索するプロアクティブなセキュリティ文化ではなく、明白なインシデントが発生した後にのみ対応するリアクティブな文化の存在を強く示唆しており、重要イそうですンフラを担う事業者としては致命的な脆弱性と言える。

1.2 攻撃ベクトルの解体：リスト型攻撃（クレデンシャルスタッフィング）

PinT社が特定した攻撃手法は、「リスト型攻撃」である ²。これは「クレデンシャルスタッフィング」とも呼ばれ、攻撃者が他のサービスから漏洩したID（メールアドレス）とパスワードの組み合わせのリストを入手し、そのリストを使って標的のウェブサイトに自動的にログインを試みる攻撃である ³。

この攻撃が成功する根本的な原因は、多くのユーザーが複数のオンラインサービスで同じIDとパスワードの組み合わせを使い回しているという習慣にある ⁴。攻撃者は、PinT社のシステム自体に脆弱性を見つけて侵入したわけではない。むしろ、正常に機能しているログインシステムを、意図された目的外で大規模に悪用したのである。

したがって、このインシデントにおけるPinT社のセキュリティ上の課題は、システムが「ハッキングされた」ことではなく、正規のユーザーによるログインと、自動化されたツールによる悪意のあるログイン試行とを区別するための防御策が講じられていなかった点にある。

1.3 被害の定量化：失われたポイントの先に潜む脅威

インシデントによる被害は、金銭的な損失と機密性の高い個人情報の漏洩という二つの側面を持つ。

• アカウント侵害: 713件の顧客アカウントへの不正ログインが成功した ²。

• 金銭的損失: 侵害されたアカウントのうち444件で、合計3,061,864ポイントが不正に利用された。PinT社は被害者に対してポイントの補填を行うことを表明している ²。

• 情報漏洩: 攻撃者によって閲覧された可能性のある情報は多岐にわたる。

• 個人識別情報（PII）: 氏名、住所、生年月日、電話番号、メールアドレス ¹。

• 決済関連情報（一部）: 口座番号やクレジットカード番号の全桁は閲覧されていないものの、「口座番号の下3桁」「カード番号の下3桁」「有効期限」は画面上で確認できる状態であった ²。これらの断片的な情報は、他の情報と組み合わせることで、より標的を絞ったフィッシング詐欺などに悪用される危険性がある。

• エネルギー事業者特有の機密情報: 最も注目すべきは、「料金明細」や「電気・ガスの使用量」といった、エネルギー利用に関する詳細なデータが閲覧されたことである ¹。

ポイントの不正利用という直接的な金銭被害もさることながら、エネルギー使用量データの漏洩は、より深刻かつ長期的な脅威をもたらす。このデータは、単なる個人情報とは一線を画す戦略的な価値を持つ。なぜなら、それは個々の世帯や企業の「生活パターン」そのものを映し出す鏡だからである。

いつ家を留守にし、いつ在宅しているのか。どのような電化製品を、どの時間帯に多用しているのか。長期休暇で家を空けるタイミングはいつか。これらの情報は、高度なソーシャルエンジニアリング、標的型詐欺、脅迫、さらには空き巣といった物理的な犯罪計画に至るまで、様々な悪意ある活動の精度を飛躍的に高めるための貴重な情報源となる。

攻撃者の当面の目的がポイントの現金化であったとしても、収集されたエネルギー使用量データは、ダークウェブの市場で、単なる認証情報とは異なる種類の犯罪者グループに高値で売買される可能性がある ⁷。この一点をもって、PinT社のインシデントは、単なるオンライン詐欺事件から、顧客の物理的な安全とプライバシーを脅かす可能性を秘めた、重要インフラ事業者における重大なデータ侵害事件へとその性質を変えるのである。これは、エネルギー事業者に求められるサイバーセキュリティが、一般的なECサイトなどとは比較にならないほど高い水準でなければならないことを明確に示している。

第2章 企業の対応と危機管理の評価

本章では、インシデント発覚後のPinT社の対応を、技術的側面、コミュニケーション戦略、そして法規制遵守の観点から批判的に評価する。業界のベストプラクティスと比較し、その対応の妥当性と限界を明らかにする。

2.1 即時的な封じ込めと復旧：標準的だが後手に回った対応

インシデントを検知した後のPinT社の初動対応は、業界の標準的なインシデントレスポンス手順に沿ったものであった。具体的には、攻撃元とみられるIPアドレスからの通信遮断、不正ログインが確認されたアカウントのパスワード強制リセット、そして外部の専門機関と連携した再発防止策の検討が挙げられる ²。また、顧客からの問い合わせに対応するため、専用の臨時窓口を設置したことも確認されている ¹。

これらの措置は、被害の拡大を防ぐために不可欠であり、迅速に実行された点は評価できる。しかし、これらの対応はすべて、既に数ヶ月にわたって甚大な被害が発生した「後」に取られたものであるという事実を看過してはならない。本質的に、これらは後手に回ったリアクティブな対応であり、プロアクティブな防御の失敗を補うためのものであった。特に、IPアドレスの遮断は一時的な対策に過ぎない。攻撃者はプロキシネットワークを利用して容易にIPアドレスを変更できるため、根本的な解決策にはなり得ない ⁹。

2.2 ステークホルダーとの対話と広報戦略：定型的なコミュニケーションの功罪

PinT社が発表した公式声明「『マイページ』への不正ログインの発生とパスワード変更のお願いについて」は、日本の企業が危機に際して用いる典型的なコミュニケーションの枠組みを踏襲している ¹。すなわち、①謝罪、②状況説明、③被害内容の報告、④自社の対応策の提示、そして⑤顧客への協力依頼（パスワード変更）という構成である ¹⁰。この形式は、情報を整理し、ステークホルダーに一定の安心感を与える上で効果的である。

しかし、その内容とタイミングについては、より深い分析が必要である。特に問題となるのが、情報開示の遅延である。攻撃の鎮静化措置が完了したのが8月16日であったのに対し、顧客を含む一般への公表は8月29日であり、13日間のタイムラグが存在する ¹。

この13日間という期間は、インシデント対応の文脈において極めて重要な意味を持つ。企業側にとっては、フォレンジック調査を通じて被害の全容を正確に把握し、確実な情報に基づいて発表を行うための必要な時間と捉えられるかもしれない。しかし、顧客と社会全体の視点から見ると、この期間は放置された「リスクの窓」である。

各種調査によれば、サイバー攻撃の発覚から公表までの日数は企業によって大きく異なるが、迅速な情報開示は被害の連鎖を防ぐ上で不可欠である ¹¹。NIST（米国国立標準技術研究所）や経済産業省が策定するガイドラインも、ステークホルダーへの迅速な情報伝達の重要性を強調している ¹⁴。

攻撃者の視点に立てば、PinT社への不正ログインに成功した認証情報のリストは、即座に他の高価値なターゲット（金融機関、大手ECサイトなど）で試されることになる。なぜなら、ユーザーがパスワードを使い回している可能性が高いからである。PinT社が公表を遅らせた13日間は、攻撃者にとって、盗んだ認証情報の価値を最大化するための絶好の機会となった。顧客がパスワードを変更する前に、他のサービスで二次被害、三次被害を引き起こすための猶予期間を与えてしまったとも言える。

この事実は、インシデント対応における根本的なジレンマを浮き彫りにする。すなわち、「調査の正確性を期すための時間」と、「連鎖的な被害を防ぐための迅速な警告」という二つの要請の間の緊張関係である。PinT社の対応は、前者を優先し、後者、すなわち顧客のデジタルライフ全体に対する広範なリスクを軽減するという社会的責任を十分に果たしたとは言い難い。

2.3 規制および法的側面：義務の履行

コンプライアンスの観点からは、PinT社は求められる義務を履行したと評価できる。同社は本件を個人情報保護委員会に報告し、所轄警察である警視庁のサイバー犯罪相談窓口にも相談を行っている ²。これは、個人情報保護法をはじめとする関連法規に基づいた適切な手続きであり、企業としての法的責任を認識していることを示している。

第3章 業界の文脈：日本のエネルギー小売事業者に繰り返される脅威

PinT社のインシデントは、単独で発生した偶発的な事件ではない。むしろ、日本のエネルギー小売業界、特に電力自由化以降に増加した新電力事業者が構造的に抱える脆弱性が、繰り返し表面化したものと捉えるべきである。本章では、過去の類似事例を分析し、本インシデントが予測可能であり、かつ防ぎ得たものであったことを論証する。

3.1 歴史的な先例：繰り返される攻撃パターン

PinT社が経験したリスト型攻撃は、決して目新しいものではない。日本のエネルギー業界は、過去に何度も同様の攻撃の標的となってきた。

上表が示す通り、PinT社のインシデントは、2017年の東京ガス「myTOKYOGAS」¹⁸、そして2019年に複数回発生した中部電力「カテエネ」への攻撃 ⁵ と、その手口、標的、被害内容において驚くほど酷似している。いずれのケースも、リスト型攻撃によって顧客向けウェブサイトが狙われ、個人情報やエネルギー使用量データが閲覧され、ポイントが不正に利用されるという共通のパターンをたどっている。

これらの先行事例は、業界全体に対する明確な警告であったはずである。特に、2018年に設立されたPinT社 ²⁷ は、これらの教訓を踏まえてシステムを設計し、セキュリティ対策を講じる十分な時間と機会があった。にもかかわらず、インシデント発生時点で多要素認証が導入されていなかったという事実は、単なる技術的な見落としではなく、リスク評価における重大な戦略的過誤である。

この一連の出来事は、エネルギー小売業界、特に競争の激しい新電力市場における構造的な問題を露呈している。顧客獲得と価格競争力を最優先するあまり、サイバーセキュリティを事業成長を支える不可欠な「投資」ではなく、削減対象の「コスト」と見なす経営判断が、業界全体の脆弱性を生み出している可能性がある。これは、一企業のセキュリティ問題を超え、重要インフラセクター全体のレジリエンスに関わるシステム的なリスクである。

3.2 高価値な標的としてのエネルギーセクター

エネルギー小売事業者が繰り返し攻撃の標的となるのには、明確な理由がある。彼らが保有するデータは、他の業界のそれとは比較にならない独自の価値を持つ。

前述の通り、電力・ガス使用量のデータは、個人の生活様式や行動パターンを詳細に分析することを可能にする ²。さらに、スマートメーターの普及や家庭内におけるIoTデバイス（HEMSなど）の増加に伴い、収集されるデータの粒度と種類は飛躍的に増大している ²⁹。これにより、攻撃者にとってのデータの価値はさらに高まり、攻撃の誘因は増す一方である。

また、エネルギー分野では、顧客管理や料金請求を担うIT（情報技術）システムと、発電や送配電を制御するOT（制御技術）システムが相互に連携する場面が増えている ³¹。ITシステムへの侵入が、OTシステム、ひいては電力の安定供給そのものに影響を及ぼすリスクも現実的な脅威として認識する必要がある。

3.3 規制フレームワークとの整合性評価

PinT社のインシデントは、既存の規制やガイドラインの実効性についても問いを投げかける。経済産業省は、エネルギー分野のサイバーセキュリティ強化を目的として、2021年に「小売電気事業者のためのサイバーセキュリティ対策ガイドラインVer.1.0」を策定・公表している ³²。

このガイドラインでは、不正アクセス対策として、多要素認証の実装、ログの取得と監視による不正通信の検知、そしてインシデント発生時における需要家（顧客）への報告体制の整備などが明確に推奨されている ³⁴。PinT社がインシデント発生時点でこれらの対策の一部、特に多要素認証を実装していなかったことは、ガイドラインの推奨事項が業界内で十分に浸透・実践されていなかった可能性を示唆している。これは、ガイドラインの遵守を促すための、より強力なインセンティブや監督メカニズムの必要性を示唆するものである。

第4章 技術的深掘り：クレデンシャルスタッフィングのメカニズムと経済圏

PinT社を襲ったリスト型攻撃（クレデンシャルスタッフィング）は、なぜこれほどまでに蔓延し、効果的なのか。その背景には、攻撃を容易にするツールの進化と、盗まれた認証情報が取引される巨大な闇市場の存在がある。本章では、この攻撃の技術的な詳細と、それを支える経済構造を解き明かす。

4.1 攻撃者の自動化ツールキット：産業化されたハッキング

現代のクレデンシャルスタッフィングは、ハッカーが手作業で行うものではなく、高度に自動化され、産業化されたプロセスである。その中核をなすのが、「OpenBullet」や「Sentry MBA」といった攻撃ツールである ⁹。これらのツールは、サイバー犯罪の技術的ハードルを劇的に引き下げた。

• 設定ファイル（Config）: これらのツールは、「コンフィグ」と呼ばれる、特定のウェブサイトへのログイン手順を記述した簡単なスクリプトを利用する。攻撃者は標的サイト用のコンフィグを入手または作成するだけで、複雑なプログラミング知識なしに攻撃を開始できる ⁹。これにより、技術レベルの低い犯罪者でも大規模な攻撃が可能となった。

• プロキシ統合: 攻撃の痕跡を消し、防御を回避するため、これらのツールはプロキシサーバーの利用を前提に設計されている。攻撃者は、世界中に分散した数千のプロキシサーバーを経由してログイン試行を行う。これにより、単一のIPアドレスからの異常なアクセスとして検知されることを防ぎ、IPアドレスベースのブロッキングを無力化する ⁹。

• CAPTCHA突破サービスとの連携: 多くのウェブサイトがボット対策として導入しているCAPTCHA（画像認証など）も、もはや有効な防御策とは言えない。攻撃ツールは、人間が手作業でCAPTCHAを解読するサービスや、AIを用いた解読サービスと連携する機能を備えている。これにより、自動化された攻撃でありながら、人間による操作であるかのように見せかけることが可能となる ⁹。

これらのツールの普及は、サイバー攻撃の「民主化」をもたらした。専門知識を持たない者でも、コンフィグと認証情報のリストを購入するだけで、容易に攻撃者となり得るのである。

4.2 認証情報のサプライチェーン：ダークウェブの経済圏

リスト型攻撃の「弾薬」となる認証情報のリストは、ダークウェブ上に形成された巨大なサプライチェーンを通じて供給される。この経済圏は、様々な役割を担う専門家によって分業化されている。

まず、フィッシング詐欺やマルウェア感染、あるいは他のウェブサイトへの不正アクセスを通じて、大量のIDとパスワードの組み合わせを窃取する専門家が存在する。これらの生データは、「Initial Access Broker（IAB）」と呼ばれる専門のブローカーによって収集、整理、検証され、ダークウェブ上のマーケットプレイスで販売される ⁷。

リストの価格は、その鮮度や、含まれるアカウントの価値（例えば、金融サービスのアカウントか、ポイントが貯まっているECサイトのアカウントかなど）によって変動する ⁴¹。そして、クレデンシャルスタッフィングを実行する攻撃者は、これらの市場からリストを購入し、自動化ツールを用いて攻撃を仕掛けるのである。

4.3 伝統的な防御策の限界

パスワードのみに依存する認証モデルは、現代の脅威の前では事実上破綻している。その根本原因は、ユーザーがパスワードを使い回すという、人間工学的な問題に根差している ⁴。

また、「5回ログインに失敗したらアカウントをロックする」といった単純なレート制限も、クレデンシャルスタッフィングに対してはほとんど効果がない。攻撃ツールは、一つのアカウントに対して一つのIPアドレスから一度しかログインを試みないように設定できるため、アカウントロックの発動条件を満たすことなく、膨大な数のアカウントを試行することが可能である ⁹。このように、伝統的な防御策は、攻撃手法の進化に対応できなくなっているのが現状である。

第5章 レジリエントなセキュリティ体制に向けた戦略的提言

PinT社のインシデント分析から得られた教訓は、同社のみならず、日本のエネルギー小売業界全体、さらには顧客情報を扱うすべての企業にとって普遍的な価値を持つ。本章では、これまでの分析を基に、将来の脅威に対して強靭なセキュリティ体制を構築するための、多層的かつ具体的な戦略を提言する。

5.1 デジタルな玄関口の要塞化：多層的な認証戦略

不正ログインの根本原因である認証プロセスの脆弱性を解消することが、最優先課題である。

• 即時優先事項：多要素認証（MFA）の必須化: PinT社がインシデント後に導入を表明した二要素認証／多要素認証（MFA）は、もはや先進的な機能ではなく、現代のウェブサービスにおける「衛生要因」である ²。リスト型攻撃に対する最も効果的かつ即効性のある対策であり、すべての顧客アカウントに対して標準で有効化されるべきである ⁴⁴。

• 次世代の標準：リスクベース認証と適応型認証: 次のステップとして、より高度な認証システムの導入を推奨する。リスクベース認証は、ユーザーのログイン試行を、そのコンテキスト（アクセス元の地理情報、使用デバイス、時間帯、普段の行動パターンなど）に基づいてリアルタイムで評価し、リスクが高いと判断された場合にのみ追加の認証を要求する仕組みである。これにより、正規ユーザーの利便性を損なうことなく、不審なアクセスに対してのみセキュリティを強化することが可能となる。

• 未来への布石：パスキー（FIDO）によるパスワードレス認証: 究極的な解決策は、パスワードという概念そのものからの脱却である。FIDOアライアンスが推進する「パスキー」は、公開鍵暗号方式とデバイス上の生体認証（指紋、顔認証など）を組み合わせた次世代の認証技術である ⁴⁶。パスキーは、サーバー側に秘密情報（パスワード）を保存しないため、情報漏洩のリスクがなく、またフィッシング攻撃に対して極めて高い耐性を持つ ⁴⁶。これにより、クレデンシャルスタッフィングという攻撃カテゴリそのものを無力化できる。エネルギー事業者は、パスキーへの移行を長期的な戦略目標として設定し、計画的に取り組むべきである。

5.2 高度な分析によるプロアクティブな脅威検知

PinT社のインシデントで露呈した検知能力の欠如を克服するためには、事後対応的なログ分析から、予測的・予防的な脅威検知へとパラダイムシフトする必要がある。

• ユーザー行動分析（UBA）の導入: UBA（User Behavior Analytics）は、機械学習を用いて個々のユーザーの「通常」の行動ベースラインを構築し、そこからの逸脱をリアルタイムで検知する技術である ⁵¹。例えば、あるアカウントが突然、これまでアクセスしたことのない国からログインされたり、通常では考えられない量のデータをダウンロードしようとしたり、あるいは多数のログイン失敗を記録したIPアドレスからログインに成功したりといった、PinT社が数ヶ月間見逃したような微細な異常の兆候を即座に捉えることができる ⁵²。

• SIEMとの連携による統合監視: UBAによって検知されたアラートは、SIEM（Security Information and Event Management）に集約されるべきである。SIEMは、ネットワーク機器、サーバー、アプリケーションなど、組織内のあらゆるソースからのログを一元的に相関分析し、セキュリティオペレーションセンター（SOC）のアナリストに統合的な脅威の可視性を提供する ⁵⁷。これにより、個別の事象ではなく、攻撃キャンペーン全体の文脈を把握し、より迅速かつ的確な対応が可能となる。

5.3 防御可能な境界の構築：インテリジェントなボット管理

攻撃の実行手段である自動化されたボットを、システムの入り口で効果的に排除する仕組みが不可欠である。

• 次世代WAF（Web Application Firewall）の配備: 単純なシグネチャベースのマッチングに依存する旧来のWAFでは、巧妙化するボット攻撃を防ぎきれない。導入すべきは、高度なボット検知・管理機能を備えたインテリジェントWAFである。これらのWAFは、デバイスフィンガープリンティング（ブラウザやデバイスの固有情報を識別する技術）、マウスの動きやキーストロークといった行動分析、そして自動解読ツールに耐性のある高度なCAPTCHAなどを組み合わせ、アクセスしてくるのが人間なのか悪意のあるボットなのかを高い精度で識別し、後者を遮断する ⁵⁴。

5.4 ガバナンスとリーダーシップ：経営層の責務

最終的に、いかなる先進技術も、それを支える組織文化と経営層のコミットメントがなければ機能しない。サイバーセキュリティは、もはや単なるIT部門のコストではなく、事業継続と企業価値を左右する経営リスクそのものである。

• 具体的なアクション:

• フレームワークへの準拠: 経済産業省の「サイバーセキュリティ経営ガイドライン」¹⁶ や、国際標準であるNISTサイバーセキュリティフレームワーク ¹⁵ などを羅針盤とし、自社のセキュリティ戦略とガバナンス体制を体系的に整備する。

• CISOの権限強化: CISO（最高情報セキュリティ責任者）を任命するだけでなく、経営会議における意思決定権と、戦略実行に必要な予算・人材を確保させる。

• 実践的な演習の実施: 経営層を含む全社的なインシデント対応演習を定期的に実施し、有事の際の意思決定プロセスとコミュニケーション手順を身体で覚える。

• セキュリティ・バイ・デザイン: 新しい顧客向けサービスやシステムを企画・設計する段階から、セキュリティ要件を不可分な要素として組み込む「セキュリティ・バイ・デザイン」の原則を徹底する ⁶¹。

以下の表は、クレデンシャルスタッフィング攻撃に対する防御策の成熟度モデルを示したものである。各事業者は、自社の現在地を客観的に評価し、より高いレベルへと移行するための具体的なロードマップとして活用すべきである。

引用文献

1. 「マイページ」への不正ログインの発生とパスワード変更のお願いについて, 9月 3, 2025にアクセス、 https://pintinc.jp/static/user/pdf/news/20250829_securitynotice_and_password_reset_required.pdf

2. エネルギー小売のPinT、リスト型 サイバー攻撃で不正ログインされ300万ポイントが不正利用-個人情報閲覧も|セキュリティニュース セキュリティ対策 Lab - 合同会社ロケットボーイズ, 9月 3, 2025にアクセス、 https://rocket-boys.co.jp/security-measures-lab/pint-energy-cyberattack-fraudulent-login/

3. リスト型攻撃とは？攻撃を受けた場合の被害の例や対策を解説！ - 不正検知サービス, 9月 3, 2025にアクセス、 https://frauddetection.cacco.co.jp/media/fraud-access/5537/

4. パスワードは文字配列より文字数 JPCERT/CC対リスト型攻撃の設定推奨方法紹介, 9月 3, 2025にアクセス、 https://cybersecurity-info.com/news/jpcert-password-setting-recommendation/

5. 中部電力「カテエネ」がリスト型攻撃の対象に、最大234件のアカウントから情報流出の可能性, 9月 3, 2025にアクセス、 https://cybersecurity-jp.com/news/32375

6. パスワードリスト型攻撃の防御について | ジャムヘルパー - jamhelper, 9月 3, 2025にアクセス、 https://jamhelper.com/listattack/

7. ダークウェブとは？何が取引される？わかりやすく解説 - LANSCOPE, 9月 3, 2025にアクセス、 https://www.lanscope.jp/blogs/cyber_attack_cpdi_blog/20231222_17368/

8. ダークウェブの危険性 基礎知識と事例、セキュリティ対策を解説 - ソニックス株式会社, 9月 3, 2025にアクセス、 https://snx.co.jp/blog/241119-darkweb/

9. Openbullet: Credential Stuffing For Script Kiddies And ... - ijstr.org “A, 9月 3, 2025にアクセス、 https://www.ijstr.org/final-print/mar2020/Openbullet-Credential-Stuffing-For-Script-Kiddies-And-Career-Criminals.pdf

10. PR TIMES社の不正アクセスによる情報漏洩の可能性のプレスリリースから学べること〜あらかじめ文案を用意しておきましょう〜 | オプティマ・ソリューションズ株式会社, 9月 3, 2025にアクセス、 https://www.optima-solutions.co.jp/support_article/samurai-20250516/

11. 1年近く気付かない？サイバー攻撃発生から発覚・公表までの平均期間 | SHIFT SECURITY, 9月 3, 2025にアクセス、 https://www.shiftsecurity.jp/blog/20211015

12. 上場企業は 74 日早い ～ サイバー攻撃発覚から公表に要する期間 - ScanNetSecurity, 9月 3, 2025にアクセス、 https://s.netsecurity.ne.jp/article/2024/03/06/50678.html

13. サイバー攻撃を受けていても気づかない？ 攻撃発生～発覚まで平均で1年以上かかっている！【CSC調べ】 | Web担当者Forum, 9月 3, 2025にアクセス、 https://webtan.impress.co.jp/n/2024/02/28/46584

14. 情報セキュリティインシデント対応におけるガイドラインの紹介と活用例 - NEC, 9月 3, 2025にアクセス、 https://jpn.nec.com/cybersecurity/blog/230310/index.html

15. NIST コンプライアンス 2024 完全ガイド - 三和コムテック, 9月 3, 2025にアクセス、 https://product.sct.co.jp/blog/security/the-ultimate-guide-to-nist-compliance-2024

16. サイバーセキュリティ対策情報開示の手引き - 総務省, 9月 3, 2025にアクセス、 https://www.soumu.go.jp/main_content/000630516.pdf

17. サイバーセキュリティ経営ガイドライン Ver 3.0 - 経済産業省, 9月 3, 2025にアクセス、 https://www.meti.go.jp/policy/netsecurity/downloadfiles/guide_v3.0.pdf

18. パスワードリスト攻撃の事例を10社紹介！事例から分かる原因と対策 - Capy株式会社, 9月 3, 2025にアクセス、 https://corp.capy.me/blog/cyber-incident/2022/06/%E3%83%91%E3%82%B9%E3%83%AF%E3%83%BC%E3%83%89%E3%83%AA%E3%82%B9%E3%83%88%E6%94%BB%E6%92%83%E3%81%AE%E4%BA%8B%E4%BE%8B%E3%82%9210%E7%A4%BE%E7%B4%B9%E4%BB%8B%EF%BC%81%E4%BA%8B%E4%BE%8B%E3%81%8B-2/

19. 東京ガスで不正アクセス被害、個人情報17件が流出の可能性 - サイバーセキュリティ.com, 9月 3, 2025にアクセス、 https://cybersecurity-jp.com/news/17440

20. 「myTOKYOGAS」へ不正アクセス、ポイントの不正使用も確認(東京ガス) | ScanNetSecurity, 9月 3, 2025にアクセス、 https://s.netsecurity.ne.jp/article/2017/09/27/40193.html

21. 東京ガス ： 重要なお知らせ ／ ガス・電気料金情報WEB照会 ..., 9月 3, 2025にアクセス、 https://www.tokyo-gas.co.jp/important/20170922-01.html

22. 「カテエネ」にパスワードリスト型攻撃、60件のポイント交換申請を確認（中部電力）, 9月 3, 2025にアクセス、 https://s.netsecurity.ne.jp/article/2019/11/01/43163.html

23. 「カテエネ」における不正ログインについて - ニュース｜中部電力, 9月 3, 2025にアクセス、 https://www.chuden.co.jp/publicity/press/3271496_21432.html

24. 中部電力「カテエネ」ユーザーアカウントにリスト型攻撃複数確認 パスワード管理に注意喚起, 9月 3, 2025にアクセス、 https://cybersecurity-info.com/news/katene-list-based-attack/

25. 中部電力のセキュリティ強化策 - Fox on Security - はてなブログ, 9月 3, 2025にアクセス、 https://foxsecurity.hatenablog.com/entry/2019/11/08/090000

26. 「カテエネ」不正ログイン、78件があらたに判明 - ポイント交換も - Security NEXT, 9月 3, 2025にアクセス、 https://www.security-next.com/109672

27. 引越し手続きの一括サービス『引越れんらく帳』にて『PinTでんき』『PinTガス』の受付開始, 9月 3, 2025にアクセス、 https://prtimes.jp/main/html/rd/p/000000037.000041193.html

28. PinT公式キャラクターに「ぴんとり」が就任 | 株式会社PinTのプレスリリース - PR TIMES, 9月 3, 2025にアクセス、 https://prtimes.jp/main/html/rd/p/000000022.000041193.html

29. 電力制御システムにおけるサイバーセキュリティリスクへの対応支援 | PwC Japanグループ, 9月 3, 2025にアクセス、 https://www.pwc.com/jp/ja/services/digital-trust/cyber-security-consulting/electricity-system.html

30. 電力業界における潜在的な脅威とその対策 - TXOne Networks, 9月 3, 2025にアクセス、 https://www.txone.com/ja/blog-ja/potential-threats-to-power-industry/

31. 電力分野に対するサイバー攻撃の事例は？ サイバー攻撃から身を守るための電力業界の取り組みをご紹介 - HATCH, 9月 3, 2025にアクセス、 https://shizen-hatch.net/2022/12/01/cyber-attack/

32. 【官公庁】経済産業省：小売電気事業者のためのサイバー ..., 9月 3, 2025にアクセス、 https://www.smarthouse-readers.com/news/news.php?s=4789

33. 小売電気事業者のためのサイバーセキュリティ対策ガイドラインVer.1.0 - 経済産業省, 9月 3, 2025にアクセス、 https://www.meti.go.jp/shingikai/mono_info_service/sangyo_cyber/wg_seido/wg_denryoku/20210222_report.html

34. 小売電気事業者のための サイバーセキュリティ対策 ... - 経済産業省, 9月 3, 2025にアクセス、 https://www.meti.go.jp/shingikai/mono_info_service/sangyo_cyber/wg_seido/wg_denryoku/pdf/010_05_03.pdf

35. 資料３ 本会議の運営について（案） １．本会議は、関係者からの ..., 9月 3, 2025にアクセス、 https://www.meti.go.jp/shingikai/mono_info_service/sangyo_cyber/wg_seido/wg_denryoku/pdf/001_03_00.pdf

36. Customer Loyalty: How are bots exploiting businesses? - Netacea, 9月 3, 2025にアクセス、 https://netacea.com/app/uploads/2024/04/netacea_customer_loyalty.pdf

37. I Watched You Roll the Die: Unparalleled RDP Monitoring Reveal Attackers Tradecraft - Black Hat, 9月 3, 2025にアクセス、 https://i.blackhat.com/BH-US-23/Presentations/US-23-Bilodeau-I-Watched-You-Roll-the-Die-Unparalleled-RDP-Monitoring.pdf

38. Security management during pandemic - Theseus, 9月 3, 2025にアクセス、 https://www.theseus.fi/bitstream/handle/10024/512352/Security%20management%20during%20pandemic.pdf?sequence=2

39. ますます活性化するダークウェブの「クレデンシャルマーケット」 | BLOG | サイバーリーズン, 9月 3, 2025にアクセス、 https://www.cybereason.co.jp/blog/cyberattack/10411/

40. ダークウェブとは？仕組みやリスク・被害事例と企業が取るべき対策を解説 - MSコンパス, 9月 3, 2025にアクセス、 https://mscompass.ms-ins.com/business-news/dark-web/

41. パスワードリスト型攻撃とは ～類似攻撃の解説と対策方法について～ | SECU LABO（セキュ ラボ）, 9月 3, 2025にアクセス、 https://www.amiya.co.jp/column/4192/

42. 「パスワードリスト攻撃」は、なぜ止まらない？ダークウェブの膨大なデータが燃料に, 9月 3, 2025にアクセス、 https://stealthmole.jp/blog/view/id/179

43. What Is Credential Stuffing? How to Detect and Prevent - Fortinet, 9月 3, 2025にアクセス、 https://www.fortinet.com/resources/cyberglossary/credential-stuffing

44. インターネットサービスへの不正ログインによる被害が増加中 | 情報セキュリティ, 9月 3, 2025にアクセス、 https://www.ipa.go.jp/security/anshin/attention/2025/mgdayori20250828.html

45. IPAが「情報セキュリティ10大脅威2024」を発表～組織の4年連続1位はランサムウェアによる被害, 9月 3, 2025にアクセス、 https://www.nec-nexs.com/sl/security/it/73.html

46. パスキー:パスワードレス認証 |FIDOアライアンス - FIDO Alliance, 9月 3, 2025にアクセス、 https://fidoalliance.org/passkeys-2/?lang=ja

47. パスキー（FIDO）とは : 富士通, 9月 3, 2025にアクセス、 https://www.fujitsu.com/jp/services/auth/solutions/bio-sensor-auth/fido/

48. パスキー（パスキー認証器） - FIDO Alliance, 9月 3, 2025にアクセス、 https://fidoalliance.org/passkeys/?lang=ja

49. FIDO パスキー（Passkey）ってなに？, 9月 3, 2025にアクセス、 https://zerokara.dds.co.jp/fido/passkeys/

50. パスキーの仕組み - Passkey Central, 9月 3, 2025にアクセス、 https://www.passkeycentral.org/ja/introduction-to-passkeys/how-passkeys-work

51. ユーザー行動分析（UBA）：次世代のセキュリティ対策の鍵 - BlackBoxSuite, 9月 3, 2025にアクセス、 https://blackboxsuite.com/20240229-uba/

52. ユーザー行動分析（UBA）とは | IBM, 9月 3, 2025にアクセス、 https://www.ibm.com/jp-ja/topics/user-behavior-analytics

53. UEBAとは？SIEM・UBAとの違い、導入のメリット・デメリット - GMOインターネットグループ株式会社, 9月 3, 2025にアクセス、 https://group.gmo/security/cybersecurity/soc/blog/ueba/

54. Credential Stuffing: Examples, Detection and Impact - A10 Networks, 9月 3, 2025にアクセス、 https://www.a10networks.com/blog/credential-stuffing-examples-detection-and-impact/

55. ユーザー行動分析（UBA）とは何ですか？ - Elastic, 9月 3, 2025にアクセス、 https://www.elastic.co/jp/what-is/user-behavior-analytics

56. A Case Study of Credential Stuffing Attack: Canva Data Breach - ResearchGate, 9月 3, 2025にアクセス、 https://www.researchgate.net/publication/363290044_A_Case_Study_of_Credential_Stuffing_Attack_Canva_Data_Breach

57. 不正アクセスをログから確認！不正アクセスを調べる方法 - サイバーセキュリティ.com, 9月 3, 2025にアクセス、 https://cybersecurity-jp.com/column/102502

58. WAFとは｜どこまで守れる？セキュリティ対策の効果をわかりやすく解説 | AeyeScan, 9月 3, 2025にアクセス、 https://www.aeyescan.jp/blog/about_waf/

59. パスワードリスト攻撃による、不正アクセスを防ぐ方法とは？ | SBテクノロジー (SBT), 9月 3, 2025にアクセス、 https://www.softbanktech.co.jp/special/blog/sbt_sbt/2021/0005/

60. WAFが守る攻撃パターンを一挙にご紹介！こんなに攻撃の種類があるの？ - セキュリティサービス, 9月 3, 2025にアクセス、 https://security.valtes.co.jp/blog/attack_pattern_vol_02/index.html

61. サイバーセキュリティ経営ガイドライン Ver 2.0 - NISC, 9月 3, 2025にアクセス、 https://www.nisc.go.jp/pdf/policy/infra/CSM_Guideline_v2.0.pdf