新たな最前線：グローバル小売業界におけるサイバー防衛の実態の解体

エグゼクティブサマリー

本レポートは、小売業界におけるサイバー脅威の状況が、純粋な技術的エクスプロイトから、「人的ファイアウォール」、特にITサービスデスクを標的とした高度なソーシャルエンジニアリングへと戦略的に移行している現状を分析する。英国の大手小売業者に対する最近の攻撃が示すように、その経済的および運営上の影響は甚大である。この分析から、サイバー防衛はもはや独立したIT部門の機能ではなく、中核的なビジネスリスクであり、GoogleやMicrosoftのようなテクノロジー大手、さらにはRH-ISAC（小売・ホスピタリティ情報共有分析センター）のような業界団体が積極的に支援する、エコシステム全体での協調的アプローチが必要であることが明らかになる。結論として、レジリエントな小売企業を構築するための主要な戦略的必須事項として、人的要素の再強化、テクノロジー主導の多層防御の実装、そして堅牢なガバナンスフレームワークの採用を提示する。

I. 2025年の小売業界における脅威の状況：パラダイムシフト

汎用マルウェアから標的型作戦へ：小売業者に対するサイバー脅威の進化

小売業界に対するサイバー脅威の性質は、劇的に進化している。かつてはジェネリックなフィッシングやPOSマルウェアといった日和見的な攻撃が主流であったが、現在は高度に標的化された多段階のキャンペーンへと移行している ¹。小売業者は、保有する膨大な量の価値ある顧客データと、複雑で脆弱性を抱えがちなサプライチェーンを理由に、もはやランダムな攻撃の被害者ではなく、意図的に狙われる標的となっている ²。攻撃手法はますます高度化しており、AIを活用したなりすましやディープフェイク技術の利用により、ソーシャルエンジニアリングの説得力は格段に増している ¹。

最近の注目すべきインシデント分析：英国小売業者への攻撃とその世界的拡大

2025年、英国の主要な小売業者であるMarks & Spencer (M&S)、Co-op、Harrodsを標的とした一連の攻撃は、この新たな脅威の現実を浮き彫りにした ⁴。これらのインシデントは個別の事案ではなく、「Scattered Spider」として知られる攻撃グループによる組織的なキャンペーンの一環であった ⁴。

さらに、この脅威は英国に留まらなかった。Googleの脅威インテリジェンスグループ（GTIG）は、この攻撃の背後にいる集団が、まったく同じ手口を用いて米国の小売業者へと標的を移していると警告を発した ⁶。これは、特定のセクターを狙った methodical（計画的）な標的選定の明確なパターンを示している。脅威は業界全体に及んでおり、Cartier、Dior、Louis Vuittonといった高級ブランドから、Victoria's SecretやThe North Faceに至るまで、2025年には多数の小売業者が被害を報告している ¹。これは、高級品から大衆向け商品まで、小売市場のどのセグメントも例外ではないことを示している。

波及効果：運営、財務、評判への損害の定量化

これらのサイバー攻撃がもたらす影響は、単なるデータ漏洩に留まらず、企業の根幹を揺るがす深刻なものとなっている。

• 財務的影響: Co-opは2億600万ポンドの収益損失を記録し、M&Sは総損失額が3億ポンドに達すると推定されている ⁵。さらに、M&Sへの攻撃は同社の株価を5億ポンド以上下落させ、サイバーインシデントが株主価値に直接的な打撃を与えることを証明した ⁴。

• 運営上の混乱: M&Sではオンライン販売が5日間にわたって停止し、1日あたり平均380万ポンドの損失が発生した ⁴。Co-opでは2,300の食料品店で大規模な在庫不足が発生した ⁶。また、食料品卸売業者であるUnited Natural Foods, Inc. (UNFI)への攻撃は、サプライチェーンの混乱が店舗の棚を空にする事態を引き起こすことを示した ¹。

• 評判へのダメージ: 顧客の個人情報が盗まれた場合、小売ブランドにとって最も重要な資産である顧客からの信頼が著しく損なわれる ¹。

欧米を越えて：日本市場における同様の脅威とインシデント

この脅威はグローバルなものであり、日本の小売市場も例外ではない。最近の事例として、ある専門小売店チェーンでは、公式アプリの脆弱性を突かれ、12万人のユーザー情報が漏洩する不正アクセスが発生した ¹⁰。また、別の地域密着型スーパーマーケットチェーンはランサムウェア攻撃を受け、システム障害により全23店舗が一時休業に追い込まれた ¹⁰。これらの事例は、攻撃手法やその影響が世界共通であることを示している。KADOKAWAのような他業種の企業がサイバー攻撃により36億円もの特別損失を計上した事例も、日本企業が直面する経済的リスクの大きさを物語っている ¹¹。

これらの事実を総合すると、かつて「リテール・アポカリプス（小売業の終焉）」が経済的な文脈で語られたように、現代ではサイバー攻撃が同様の破壊的な影響をもたらすデジタル版のリテール・アポカリプスと化している。M&SやCo-opで見られたサプライチェーンの停止や店舗閉鎖は、物理的な災害や経済不況の影響と酷似している。これは、サイバー攻撃がもはや単なるデータ漏洩インシデントではなく、小売企業の中心的機能を麻痺させうる事業継続性の危機であることを意味する。

さらに、Scattered Spiderによる計画的なキャンペーンは、サイバー犯罪市場の成熟を示唆している。彼らがまず英国の小売セクターという一つの市場で攻撃手法を試し、次に米国というより大きな市場へと展開した戦略は、ランダムな攻撃ではなく、合法的なビジネスが新市場を開拓する際に見られるような戦略的計画性に基づいている。このことから、防御側は単に技術的な脆弱性に対応するだけでなく、市場アナリストのように、どのセクターが次に魅力的な標的となるかを予測する視点を持つ必要がある。

II. 現代の脅威の解剖学：Scattered Spiderの手口

攻撃者のプロファイル：Scattered Spider (UNC3944)とは何者か？

Scattered Spiderは、主に米国と英国の若年の英語話者の男性ハッカーで構成される広範な集団として特定されている ⁶。彼らは若年層であるにもかかわらず、「攻撃的で、創造的で、非常に熟練している」と評価されており、その活動は「The Com」といった他のオンライン犯罪組織とも関連が指摘されている ⁵。このプロファイルは、国家の支援や長年の経験がなくとも、甚大な被害を引き起こすことが可能であるという、現代のサイバー犯罪の現実を物語っている。

信頼の兵器化：主要な攻撃ベクトルの段階的解体

このグループの最大の特徴は、ITサービスデスクやヘルプデスクを標的としたソーシャルエンジニアリングである ⁴。その手口は巧妙かつ体系的である。

• ステップ1：なりすまし。攻撃者は正規の従業員を装い、ITヘルプデスクに支援を求める ⁴。

• ステップ2：欺瞞。彼らはITヘルプデスクのスタッフを巧みに操り、パスワードのリセットや、決定的に重要な多要素認証（MFA）の無効化といった、本来厳格な手続きが必要な操作を実行させる ⁴。

• ステップ3：初期アクセス。有効なパスワードを入手し、MFAが解除されたことで、攻撃者は機密性の高い内部システムへのアクセス権を獲得する ⁴。この手法は、人間のプロセスを悪用することで、企業が投資した何十億ドルもの技術的なセキュリティ対策をいとも簡単に迂回してしまう。

技術的な兵器庫：侵入後のツールと手順の分析

内部への侵入を果たした後の攻撃グループの行動は計画的である。主要な目的の一つは、Active Directoryからパスワードハッシュを含む重要なファイルを窃取することであり、これによりさらなる権限昇格とネットワーク内での水平移動（ラテラルムーブメント）が可能となる ⁴。

最終的な目標は、DragonForceのようなランサムウェアを展開し、基幹システムを暗号化して身代金を要求することである ⁴。M&Sへの攻撃では、この手口が全店舗にわたる広範な業務停止を引き起こした ⁴。さらに、彼らの高度な作戦能力は、被害企業がインシデント対応を協議するために開催するオンライン会議に密かに参加し、防御側の動向をリアルタイムで把握していたという事実にも表れている ⁹。

最も脆弱なリンクとしての「人的ファイアウォール」

この攻撃手法がなぜ小売・ホスピタリティ業界で特に有効なのかを理解することが極めて重要である。これらの業界では、ITスタッフを含む従業員が、優れた顧客体験を提供するために、親切で、協力的で、効率的であることが求められる文化が根付いている ⁴。

この文化こそが、ソーシャルエンジニアリングが成功しやすい土壌を作り出している。サービスデスクのスタッフは、迅速な問題解決と優れた「社内顧客」サービスを優先するあまり、説得力のある要求を信じ込み、微細な危険信号を見逃してしまう可能性がある ⁴。優れた小売業の従業員を育成するための資質そのものが、企業に対する武器として利用されているのである。

この現実から、サイバー犯罪の経済モデルが変化していることがわかる。ゼロデイ脆弱性の開発には多大なコストと時間がかかるが、説得力のある電話をかけるコストはごくわずかである。Scattered Spiderが引き起こした莫大な金銭的損害は、純粋な技術的手段と比較して、ソーシャルエンジニアリングへの投資が犯罪者にとって圧倒的に高いリターンをもたらすことを示している。これは、防御側が今後、より高度なソーシャルエンジニアリング攻撃の増加を予測すべきであることを意味する。なぜなら、それは犯罪者にとって単に「良いビジネス」だからである。

また、この一連の攻撃は、多要素認証（MFA）が決して万能薬ではないことを証明した。セキュリティ業界はMFAをほぼ完璧な解決策として推進してきたが、Scattered Spiderの手口はこの前提を覆す。彼らはMFAの技術を破るのではなく、特権を持つユーザー（ヘルプデスク）を説得してMFAを無効化させるのである。この事実は、アイデンティティセキュリティの焦点が、単にMFAを導入することから、認証要素のライフサイクル管理全体を保護することへと移行しなければならないことを示唆している。誰がMFAをリセットでき、誰が無効化できるのか、そしてその際の本人確認プロセスはどうなっているのか。新たなセキュリティの境界線は、ネットワークファイアウォールではなく、ヘルプデスクの本人確認手順そのものなのである。

III. テクノロジー巨人の反撃：最前線に立つGoogleとMicrosoft

小売業界を襲う脅威に対し、GoogleとMicrosoftは単なるテクノロジーベンダーに留まらず、サイバー防衛の積極的な担い手として進化している。彼らはそれぞれ異なるアプローチで、企業のレジリエンス向上に貢献している。

A. Googleのプロアクティブな防衛

脅威インテリジェンスの優位性：MandiantとGTIGの役割

Googleは、傘下のMandiantと脅威インテリジェンスグループ（GTIG）を通じて、脅威アクターの追跡において業界をリードしている。特に、英国の小売業者を攻撃したグループ（UNC3944/Scattered Spider）が米国の小売セクターに標的を移していることを特定し、業界に対して貴重な早期警告を提供したことは、その能力を象徴している ⁶。これは、過去の攻撃を分析するだけでなく、未来のキャンペーンを予測するプロアクティブなインテリジェンス能力の証明である。Mandiantは568以上の脅威アクターを追跡しており、その深い専門知識がこのような予測を可能にしている ¹²。

大規模セキュリティオペレーション：Google Chronicleがもたらす全社的可視性

Google Chronicleは、ペタバイト規模のセキュリティテレメトリを固定費用で保存・分析するために設計されたクラウドネイティブなSIEMプラットフォームである ¹⁴。この能力は、数ヶ月間も潜伏する「Brickstorm」のようなマルウェアの痕跡を過去のデータから遡って調査する際に不可欠となる ¹⁵。あるグローバルヘルスケア企業の事例では、Chronicleの導入により調査時間が15分以内に短縮され、Tier 1アナリストの能力が向上し、セキュリティ予算が最適化されたことが示されている ¹⁶。

クラウドの強化とツールの提供

Googleは、セキュア・バイ・デザインのインフラ、WebアプリおよびAPI保護（WAAP）、そしてセキュリティ業務を自動化するGemini for Securityといった広範なセキュリティソリューションを提供している ¹⁴。さらに、中国関連グループが用いるステルス性の高いマルウェア「Brickstorm」に対抗するため、ネットワークをスキャンするツールやバックアップを検索するためのYARAルールを公開し、防御者を直接的に支援している ¹⁵。

B. Microsoftの統合的レスポンス

現場での対応：DARTチームの役割

Microsoftの強みは、インシデント発生時に顧客と直接連携する高度なスキルを持つ調査チーム、Detection and Response Team (DART) にある ¹⁹。DARTが小売企業2社のインシデントに対応した実際のケースでは、フォレンジックツールの展開、根本原因の分析、そして包括的な封じ込め措置の実行といった、彼らの体系的なアプローチが示されている ¹⁹。

統合されたセキュリティエコシステム：Sentinel、Defender、Entra IDの連携

DARTの調査活動は、Microsoftの製品エコシステムがどのように連携して多層防御を形成するかを明確に示している。Microsoft Defender for Cloudが初期のアラートを発し ¹⁹、Microsoft SentinelがSIEM/SOARプラットフォームとして調査とオーケストレーションの中心的な役割を担う ²⁰。そして、Microsoft Entra ID（旧Azure AD）が、侵害されたアカウントの隔離とアイデンティティシステムの回復において決定的な役割を果たす ¹⁹。この緊密な統合により、検知、調査、対応の間の摩擦が減少し、対応時間が短縮される。

脆弱性への対応：具体的な修正勧告

DARTが対応した事例は、2つの異なる攻撃経路を明らかにしている。一つはパッチが適用されていないSharePointの脆弱性（CVE-2025-49706, CVE-2025-49704）を悪用するもので、もう一つは単一の侵害されたIDから始まるものであった ¹⁹。これに基づき、MicrosoftはオンプレミスのSharePoint環境の強化、全デバイスへのEDR展開、MFAの強制、最小権限アクセスの原則の適用といった、具体的かつ実行可能な推奨事項を提示している ¹⁹。

クラウドセキュリティにおける従来の「責任共有モデル」は、プロバイダーがクラウドを保護し、顧客がクラウド「内」を保護するというものだった。しかし、GoogleのGTIGによる予測的警告やMicrosoftのDARTによる実践的なインシデント対応は、このモデルが時代遅れであることを示している。彼らは今や、単なるインフラ提供者ではなく、顧客の防衛における積極的なパートナー、「共有防衛」の担い手となっている。この変化は、企業がクラウドプロバイダーを選定する際の基準が、インフラの性能だけでなく、付随するセキュリティエコシステムと専門知識の質へと移行していることを意味する。

同時に、GoogleとMicrosoftの間には「協調的競争（Co-opetition）」とも呼べるダイナミクスが生まれている。彼らはクラウド市場で熾烈な競争を繰り広げる一方で、共通の敵と戦うためには協力も惜しまない。Google傘下のMandiantが提供する脅威インテリジェンスはMicrosoft Sentinelに取り込むことができ、SentinelはGoogle Cloudのログを収集するコネクタを備えている ²²。RH-ISACのような業界団体は、両社と提携して会員企業に情報を提供している ⁹。この協調と競争の共存は、脅威の規模が商業的なライバル関係を超えた協力を必要とするほどに増大した、成熟しつつある業界の証左であり、最終的には双方のエコシステムの長所を活用できるエンドユーザーに利益をもたらす。

IV. 共同戦線の構築：集団的防衛の力

Retail & Hospitality ISAC (RH-ISAC)の役割

個々の企業が単独で高度なサイバー攻撃に立ち向かうには限界がある。ここで重要な役割を果たすのが、業界全体での協力体制である。RH-ISACは、かつてのTargetへの攻撃などを教訓に2014年に設立された、小売・ホスピタリティ業界におけるサイバーセキュリティ協力の中心的存在である ⁹。

その中核機能は、小売業者、ホテル、レストランなど290以上の会員企業間で、脅威情報、ベストプラクティス、対応戦略を共有することにある ⁹。共通の敵に直面したとき、ビジネス上の競合関係は協力関係へと変わるという原則に基づいている ⁹。Scattered Spiderによる一連の攻撃は、RH-ISACの有効性を証明する格好のケーススタディとなった。攻撃が始まると、RH-ISACは会員向けにブリーフィングを開催し、既に同様の攻撃に対応した英国企業と米国の会員企業を結びつけ、Googleと協力して脅威に関する情報を提供した ⁶。

官民パートナーシップ：RH-ISAC、テクノロジー大手、法執行機関の連携

RH-ISACの有効性は、その広範なパートナーシップによってさらに強化されている。同組織はGoogle、Microsoft、Palo Alto Networks、Akamaiといったテクノロジー企業と公式に提携し、専門的なブリーフィングやトレーニングを会員に提供している ⁹。これにより、Googleが収集したインテリジェンスやMicrosoftがインシデント対応で得た教訓が、セクター全体に迅速に共有される公式なチャネルが確立されている。この連携は法執行機関にも及び、英国当局は被害を受けた小売業者と協力し、攻撃に関連する容疑者を逮捕するに至った ⁵。これは、技術的分析から法執行までを含む、包括的な連携対応の好例である。

サプライチェーンの課題：システム的なリスクへの対応

脅威は直接的な攻撃だけでなく、サプライチェーン全体に潜むシステム的なリスクからも生じる ¹。攻撃はソフトウェアサプライヤー、マネージドサービスプロバイダー、あるいはその他のサードパーティベンダーを経由して行われる可能性がある ⁸。

この複雑なリスクを管理するための重要なフレームワークが、NIST SP 800-161「サイバーセキュリティサプライチェーンリスク管理（C-SCRM）」である。このガイドラインは、サプライチェーンリスクを管理するためのポリシー、計画、評価の策定に関する指針を提供する ²⁹。重要なベンダーの特定、継続的な監視、契約におけるセキュリティ要件の義務化などが主要な実践項目として挙げられている ²⁷。

この問題は日本においても深刻である。独立行政法人情報処理推進機構（IPA）が実施したITサプライチェーンに関する調査では、重大なギャップが明らかになった。委託契約の8割において、新たな脅威への対応責任が明記されておらず、また、委託元企業の約8割が専門知識の不足を理由に責任範囲を明確化できないと回答している ³⁵。これは、サードパーティリスク管理における広範かつ深刻なガバナンスの欠如を示している。

サプライチェーンリスクは、単なる技術的な問題ではなく、本質的にはガバナンスと契約の問題である。サプライヤーのソフトウェアに存在する技術的な脆弱性は、より深い問題の表層に過ぎない。IPAの調査データが示すように、根本原因は委託元（小売業者）がセキュリティ要件を定義するための専門知識を欠き、その結果として法的拘束力のある契約書で責任の所在を明確化できていないというガバナンスの失敗にある。技術的な対策だけではこの問題は解決できない。解決策は、調達部門や法務部門のスキルアップから始まり、明確で交渉の余地のないサイバーセキュリティ条項を契約書に盛り込むことから着手しなければならない。

V. 小売業のレジリエンスに向けた戦略的必須事項：実行可能なフレームワーク

これまでの分析を踏まえ、小売企業がサイバーレジリエンスを構築するために実行すべき具体的な戦略を、人的要素、テクノロジー、ガバナンスの3つの側面から体系的に提示する。

A. 人的ファイアウォールの再強化

サービスデスクを標的からセンサーへ

Scattered Spiderに悪用された中心的な脆弱性に直接対処するため、単なる「意識向上トレーニング」を超えた、具体的で堅牢な対策が必要である。

• 高度なトレーニングの義務化: 全てのサービスデスクスタッフに対し、ソーシャルエンジニアリングの戦術に関する高度なトレーニングを義務付ける ⁴。

• 厳格な本人確認プロセスの導入: パスワードリセットやMFA設定変更といった機微な操作を行う前に、監査可能な、厳格で譲歩の余地のない本人確認プロセスを導入する ⁴。

• 権限付与と文化醸成: セキュリティを迅速性よりも優先する文化を醸成し、サービスデスクのスタッフが疑わしい要求をエスカレーションすることを奨励し、評価する体制を整える ⁴。

セキュリティ意識文化の醸成

フィッシングメールの見分け方や安全なパスワード管理など、全従業員を対象としたトレーニングを拡大し、定期的なフィッシングシミュレーションを通じてその効果を測定・強化する ²。

B. テクノロジー主導の多層防御の実装

基礎的なコントロール

全ての小売業者が導入すべき基本的な技術的対策は以下の通りである。

• MFAの完全義務化: 全てのアカウントでMFAを必須とし、特にMFAのリセットプロセスを厳格に管理する ²。

• 堅牢なパッチ管理: SharePointのような既知の脆弱性が悪用されているシステムに対しては、迅速なパッチ適用を徹底する ¹⁹。

• ゼロトラスト原則の採用: いかなるユーザーやデバイスもデフォルトでは信頼せず、全てのリクエストに対して検証を要求するゼロトラストの考え方を導入する ¹⁷。

高度な脅威検知と対応

• EDRの展開: 全てのデバイスにEndpoint Detection and Response (EDR) を展開し、攻撃者の活動を可視化する ¹⁹。

• SIEM/SOARの活用: Microsoft SentinelやGoogle ChronicleのようなSIEM/SOARプラットフォームを活用し、ログの一元管理、アラートの相関分析、対応アクションの自動化を実現する ¹⁴。

POSおよび決済インフラの保護

• POSシステムの保護: メモリスクレイパーやキーロガーといったマルウェアからPOSシステムを保護する ⁴⁰。

• PCI DSSの遵守: 決済カード業界データセキュリティ基準（PCI DSS）を厳格に遵守する。これには、ネットワークのセグメンテーション、カード会員データの暗号化、定期的なセキュリティ評価が含まれる ⁴⁹。

C. ガバナンスとリスク管理体制の導入

NISTサイバーセキュリティフレームワークの適用

サイバーセキュリティへの取り組みを体系的に整理・管理するための戦略的ツールとして、NISTサイバーセキュリティフレームワークの採用を推奨する。その5つの中核機能（特定、防御、検知、対応、復旧）に基づき、小売業者が取るべき具体的なアクションを計画する ⁵³。

取締役会レベルでの関与

サイバーセキュリティはIT部門だけの問題ではなく、事業継続に関わる経営リスクであるという認識を徹底する ²。IPAのガイドラインが示すように、経営陣がリーダーシップを発揮し、必要な予算とリソースを確保することが不可欠である ⁵⁶。取締役には善管注意義務があり、適切なセキュリティ体制を怠った場合、法的な責任を問われる可能性もある ⁵⁸。

最も重要なセキュリティ対策は、テクノロジーそのものではなく、文書化され、徹底された「プロセス」である。Scattered Spiderの攻撃はMFA技術の失敗ではなく、ヘルプデスクにおける本人確認プロセスの失敗であった。この事実は、成熟したセキュリティプログラムが、新しいテクノロジーの購入と同じくらい、プロセスの定義、文書化、監査に投資する必要があることを示している。

真にレジリエントなフレームワークとは、単なるベストプラクティスのリストではなく、実証された攻撃者の戦術に対抗するために、人、プロセス、テクノロジーが連携する統合システムである。効果的なセキュリティ戦略は「脅威インフォームド（脅威情報に基づく）」でなければならない。それは、GoogleやMicrosoft、RH-ISACが提供する攻撃者の実際の活動に関するインテリジェンスから始まり、そこから防御策を構築していくアプローチである。

結論：小売業サイバーセキュリティの未来を航海する

本レポートで明らかになったように、小売業界のサイバーセキュリティは、人的要素を標的とする攻撃への移行、集団的防衛の重要性の高まり、そして脅威情報に基づいたレジリエントな戦略の必要性という、大きな転換点を迎えている。コンプライアンス遵守は出発点に過ぎず、真のセキュリティは動的なアプローチを必要とする。

未来を見据えたとき、人工知能（AI）は二重の役割を担うことになるだろう。攻撃者はAIを用いて、より説得力のあるディープフェイクや自動化された攻撃を仕掛けてくる ¹。一方で、防御側にとってもAIは不可欠な武器となる。GoogleやMicrosoftが提供する次世代のSIEM/SOARプラットフォームは、AIを活用して膨大なデータを分析し、機械の速度で脅威に対応することを可能にする ¹⁴。小売業のサイバーセキュリティの未来は、悪意あるAIと防御的なAIとの間の熾烈な競争によって形作られていくだろう。

引用文献

1. Top 7 Cyber Threats Facing Retailers in 2025 | ArmorPoint, 9月 25, 2025にアクセス、 https://armorpoint.com/2025/08/29/top-7-cyber-threats-facing-retailers-in-2025/

2. Cyber attacks in the luxury retail sector: legal insights and practical steps for building resilience - Burges Salmon, 9月 25, 2025にアクセス、 https://www.burges-salmon.com/articles/102l6is/cyber-attacks-in-the-luxury-retail-sector-legal-insights-and-practical-steps-for

3. 小売業が対策すべきセキュリティリスクとは？情報漏洩の脅威と対策事例 - Watchy（ウォッチー）, 9月 25, 2025にアクセス、 https://watchy.biz/contents/column/975/

4. Avoiding service desk exploitation: deconstructing the modern retail ..., 9月 25, 2025にアクセス、 https://www.techradar.com/pro/avoiding-service-desk-exploitation-deconstructing-the-modern-retail-attack

5. Co-op Records £206m Revenue Loss Following Cyber-Attack - Infosecurity Magazine, 9月 25, 2025にアクセス、 https://www.infosecurity-magazine.com/news/co-op-206m-revenue-loss-cyber/

6. A UK retail cyberattack campaign is headed to the US, researcher ..., 9月 25, 2025にアクセス、 https://www.retaildive.com/news/threat-actors-uk-retail-attacks-targeting-us/748259/

7. Google: UK retail cyberattack wave set to spread to US, 9月 25, 2025にアクセス、 https://www.retail-systems.com/rs/Google_UK_Retail_Cyberattack_Wave_Set_To_Spread_To_US.php

8. Retail Under Attack: 2025 Cyber Breaches Hit Cartier, Louis Vuitton, M&S, and More, 9月 25, 2025にアクセス、 https://www.sangfor.com/blog/cybersecurity/luxury-retail-cyberattacks-2025

9. How the retail sector teams up to defend against cybercrime ..., 9月 25, 2025にアクセス、 https://www.cybersecuritydive.com/news/retail-isac-lessons-learned-scattered-spider/758504/

10. 2025年セキュリティインシデントランキング【上半期の最新事例 ..., 9月 25, 2025にアクセス、 https://www.iij.ad.jp/global/column/column159.html

11. JNSAセキュリティ十大ニュース, 9月 25, 2025にアクセス、 https://www.jnsa.org/active/news10/

12. Threat Intelligence Solutions | Cyber Security Services & Training, 9月 25, 2025にアクセス、 https://www.mandiant.com/

13. Threat Intelligence Tool - Find Out Who is Targeting You - Mandiant, 9月 25, 2025にアクセス、 https://www.mandiant.com/threats

14. Security Solutions | Google Cloud, 9月 25, 2025にアクセス、 https://cloud.google.com/solutions/security

15. China-linked groups are using stealthy malware to hack software suppliers, 9月 25, 2025にアクセス、 https://www.cybersecuritydive.com/news/china-espionage-supply-chain-cyberattack-backdoor-malware/760917/

16. Chronicle Customer Case Study: Global healthcare industry leader - Black Hat, 9月 25, 2025にアクセス、 https://www.blackhat.com/sponsor-posts/09152020-google-cloud-security.html

17. Cloud Security and Data Protection Services | Google Workspace, 9月 25, 2025にアクセス、 https://workspace.google.com/security/

18. Google Cloud Security: 8 Key Components & Critical Best Practices - Exabeam, 9月 25, 2025にアクセス、 https://www.exabeam.com/explainers/google-security-operations/google-cloud-security-8-key-components-and-critical-best-practices/

19. Retail at risk: How one alert uncovered a persistent cyberthreat​​ | Microsoft Security Blog, 9月 25, 2025にアクセス、 https://www.microsoft.com/en-us/security/blog/2025/09/24/retail-at-risk-how-one-alert-uncovered-a-persistent-cyberthreat/

20. Introduction to Azure security | Microsoft Learn, 9月 25, 2025にアクセス、 https://learn.microsoft.com/en-us/azure/security/fundamentals/overview

21. Top 10 Benefits of Azure Sentinel for Your Business. - ne Digital, 9月 25, 2025にアクセス、 https://www.nedigital.com/en/blog/azure-sentinel-for-your-business-top-10-benefits

22. Sentinel Integration with Google - Proxar IT Consulting, 9月 25, 2025にアクセス、 https://www.proxar.co.uk/security-operation-centre/sentinel-integration-with-google/

23. Ingest Google Cloud Platform log data into Microsoft Sentinel, 9月 25, 2025にアクセス、 https://learn.microsoft.com/en-us/azure/sentinel/connect-google-cloud-platform

24. 6 Best Threat Intelligence Feeds in 2025 (Free & Paid Tools) - Comparitech, 9月 25, 2025にアクセス、 https://www.comparitech.com/net-admin/best-threat-intelligence-feeds/

25. New Mandiant Threat Intelligence Integrations for MISP, Splunk SIEM and SOAR, and Cortex XSOAR by Palo Alto Networks | Google Cloud Blog, 9月 25, 2025にアクセス、 https://cloud.google.com/blog/products/identity-security/threat-intelligence-misp-siem-soar-integrations/

26. NCA confirms arrest after airport cyber disruption | IT Pro - ITPro, 9月 25, 2025にアクセス、 https://www.itpro.com/security/cyber-attacks/nca-confirms-arrest-after-airport-cyber-disruption

27. Cyber risk in supply chains: A top concern for business in 2025 - S-RM, 9月 25, 2025にアクセス、 https://www.s-rminform.com/latest-thinking/cyber-risk-in-supply-chains-a-top-concern-for-business-in-2025

28. Supply Chain Attacks Surge in 2025: Double the Usual Rate - Cyble, 9月 25, 2025にアクセス、 https://cyble.com/blog/supply-chain-attacks-double-in-2025/

29. Using NIST SP 800-161 for Cybersecurity Supply Chain Risk Management | Mitratech, 9月 25, 2025にアクセス、 https://mitratech.com/resource-hub/blog/nist-800-161-for-cybersecurity-supply-chain-risk-management/

30. NIST SP 800-161 | Hyperproof, 9月 25, 2025にアクセス、 https://hyperproof.io/nist-800-161/

31. NIST 800-161 rev. 1: How to build a cyber risk management program - Mastercard, 9月 25, 2025にアクセス、 https://b2b.mastercard.com/news-and-insights/blog/how-to-build-a-cyber-risk-management-program/

32. SP 800-161 Rev. 1, Cybersecurity Supply Chain Risk Management Practices for Systems and Organizations - NIST Computer Security Resource Center, 9月 25, 2025にアクセス、 https://csrc.nist.gov/pubs/sp/800/161/r1/final

33. SP 800-161 Rev. 1, Cybersecurity Supply Chain Risk Management Practices for Systems and Organizations - NIST Computer Security Resource Center, 9月 25, 2025にアクセス、 https://csrc.nist.gov/pubs/sp/800/161/r1/upd1/final

34. NIST 800-161: Cybersecurity Supply Chain Risk Management Steps - ComplianceForge, 9月 25, 2025にアクセス、 https://complianceforge.com/compliance/nist-800-161-compliance

35. ITサプライチェーンにおける 情報セキュリティの責任範囲に関する調査 - IPA, 9月 25, 2025にアクセス、 https://www.ipa.go.jp/archive/files/000073411.pdf

36. 「ITサプライチェーンにおける情報セキュリティの責任範囲に関する調査」報告書について - IPA, 9月 25, 2025にアクセス、 https://www.ipa.go.jp/archive/security/reports/2018/scrm.html

37. 【エバンジェリスト・ボイス】サプライチェーンと情報セキュリティに対する責任, 9月 25, 2025にアクセス、 https://www.idnet.co.jp/column/page_060.html

38. サプライチェーンリスクとは？例や対策をわかりやすく解説 - LANSCOPE, 9月 25, 2025にアクセス、 https://www.lanscope.jp/blogs/cyber_attack_cpdi_blog/20231228_17830/

39. The Dos & Don'ts of security on the helpdesk : r/msp - Reddit, 9月 25, 2025にアクセス、 https://www.reddit.com/r/msp/comments/f3f0v5/the_dos_donts_of_security_on_the_helpdesk/

40. 小売業特有のサイバー攻撃の仕組みと脆弱性対策をすべて解説！, 9月 25, 2025にアクセス、 https://sec.ift-kk.co.jp/blog/industry/p4968/

41. Security Operations SOAR - Journey Overview, 9月 25, 2025にアクセス、 https://security.googlecloudcommunity.com/soar-27/security-operations-soar-journey-overview-5228

42. Supercharge SOC Efficiency with Google Chronicle SOAR: An Implementation Guide, 9月 25, 2025にアクセス、 https://www.cyberproof.com/blog/supercharge-soc-efficiency-with-google-chronicle-soar-an-implementation-guide/

43. POS Security: Most Common POS Breaches and Stats in 2025 | SapientPro, 9月 25, 2025にアクセス、 https://sapient.pro/blog/importance-of-pos-security

44. What Is Point-of-Sale (POS) Security? - Fortinet, 9月 25, 2025にアクセス、 https://www.fortinet.com/resources/cyberglossary/pos-security

45. POS malware 101: Risk factors to know and how to protect your business - Stripe, 9月 25, 2025にアクセス、 https://stripe.com/resources/more/pos-malware-101-risk-factors-to-know-and-how-to-protect-your-business

46. POS Hacking: How Bad Guys Access Your Vault (& What to Do) - The CFO Club, 9月 25, 2025にアクセス、 https://thecfoclub.com/operational-finance/pos-hacking/

47. Point-of-Sale (POS) Malware - NJCCIC, 9月 25, 2025にアクセス、 https://www.cyber.nj.gov/threat-landscape/malware/point-of-sale-pos-malware

48. Security for the Point of Sale: Protecting your PoS systems from cyber threats - Fluid Attacks, 9月 25, 2025にアクセス、 https://fluidattacks.com/blog/point-of-sale-security

49. PCI Compliance: What Retail Companies Must Know - ERMProtect ..., 9月 25, 2025にアクセス、 https://ermprotect.com/blog/pci-compliance-what-retail-companies-must-know/

50. PCI Compliance: What You Need to Know - Square, 9月 25, 2025にアクセス、 https://squareup.com/us/en/the-bottom-line/operating-your-business/pci-compliance

51. Payment Card Data Security Standards (PCI DSS), 9月 25, 2025にアクセス、 https://www.pcisecuritystandards.org/standards/

52. PCI Compliance Requirements: What Small Business Owners Must Know - PaySimple, 9月 25, 2025にアクセス、 https://paysimple.com/blog/pci-compliance-requirements-for-small-businesses/

53. NIST Cybersecurity Framework 2.0: Small Business Quick-Start Guide, 9月 25, 2025にアクセス、 https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.1300.pdf

54. What is the NIST Cybersecurity Framework? - IBM, 9月 25, 2025にアクセス、 https://www.ibm.com/think/topics/nist

55. How the NIST Cybersecurity Framework Can Help Your Business, 9月 25, 2025にアクセス、 https://mile2.com/how-the-nist-cybersecurity-framework-can-help-your-business/

56. サイバーセキュリティ対策のための、予算の確保 - プラクティス・ナビ IPA 情報処理推進機構, 9月 25, 2025にアクセス、 https://www.ipa.go.jp/security/economics/practice/practices/Practice207/

57. 中小企業のセキュリティ対策とDX推進に向けて, 9月 25, 2025にアクセス、 https://lfb.mof.go.jp/kantou/kofu/kouensiryou.pdf

58. 中小企業の 情報セキュリティ対策 ガイドライン - IPA, 9月 25, 2025にアクセス、 https://www.ipa.go.jp/security/guide/sme/ug65p90000019cbk-att/000055520.pdf

59. Threats News | Cybersecurity Dive, 9月 25, 2025にアクセス、 https://www.cybersecuritydive.com/topic/threats/

60. Cybersecurity Dive: Cybersecurity News and Analysis, 9月 25, 2025にアクセス、 https://www.cybersecuritydive.com/

61. Microsoft for Retail – Cloud Solutions | Microsoft Industry, 9月 25, 2025にアクセス、 https://www.microsoft.com/en-us/industry/retail/microsoft-cloud-for-retail