top of page
Blog article

Blog article

サイバー攻撃の現実とFIDO認証の可能性:大分トキハ事件から学ぶ、次世代の防御策

更新日:8月29日

第1章:トキハグループ事件 – 現代小売業を襲った大災害


2025年3月、日本の地方経済を支える百貨店グループ、大分トキハグループは、事業の根幹を揺るがすサイバー攻撃の渦中に突き落とされました。この事件は、単なる技術的なインシデントではなく、現代の小売業がいかに脆弱であり、サイバー攻撃がもたらす影響がいかに甚大であるかを浮き彫りにする象徴的なケーススタディとなりました。その被害は、一時的な業務停止にとどまらず、数ヶ月にわたる機能不全、そして最終的には数十万人に及ぶ顧客情報の漏洩という最悪の結末を迎えました。この災害の全貌を理解することは、同様のリスクに直面するすべての企業にとって不可欠な教訓となります。


初動の混乱と事業の麻痺


異変が最初に検知されたのは、2025年3月30日のことでした 1。当初「システム障害」として認識されたこの問題は、調査が進むにつれて、その深刻な正体を現しました。グループの複数のサーバーがランサムウェアによって暗号化されていたのです 1。ランサムウェアは、データを人質に取り、その復号と引き換えに身代金を要求する悪質なマルウェアです。この攻撃により、トキハインダストリーが運営するスーパーマーケットの基幹システム、すなわち商品の仕入れや売上を管理するシステムが完全に機能不全に陥りました 3

この事態を受け、経営陣は苦渋の決断を迫られました。翌3月31日、トキハインダストリーは県内に展開する全23店舗の臨時休業を発表しました 5。地域社会の生活インフラであるスーパーマーケットが一斉にシャッターを下ろすという前代未聞の事態は、顧客に多大な不便を強いるだけでなく、企業の信頼性に対する深刻な打撃となりました。この初動の混乱は、ランサムウェア攻撃が単なるデータの問題ではなく、物理的な事業活動を直接的に麻痺させる能力を持つことを明確に示しています。


長期化する機能不全と見えざる経済的損失


店舗の営業は翌日には再開されたものの、それは問題の解決を意味するものではありませんでした。むしろ、被害の根深さが露呈し始めたのはこの後からです。攻撃によって基幹システムが破壊された影響は甚大で、クレジットカード決済やポイントカードといった顧客サービスの中核をなす機能が、約2ヶ月もの間、停止し続けました 8。顧客は現金での支払いを余儀なくされ、貯めていたポイントを利用することも、新たに貯めることもできなくなりました。これは顧客満足度の著しい低下を招き、競合他社への顧客流出を加速させた可能性があります。

さらに、この機能不全は、お中元ギフトの受注開始が6月末に延期されるなど、季節ごとの重要な販売戦略にも直接的な影響を及ぼしました 8。これらの事実は、サイバー攻撃による損害が、身代金の支払いという直接的なコストだけではないことを物語っています。むしろ、事業継続性の喪失、顧客離れ、ブランドイメージの毀損といった「見えざるコスト」こそが、企業の屋台骨を静かに蝕んでいくのです。

この種の損害を定量的に理解するために、IBMとPonemon Instituteが発表した「2024年データ漏洩コストに関する調査」が重要な示唆を与えてくれます。この調査によると、データ漏洩の全世界での平均総コストは488万米ドルに達し、前年から10%というパンデミック以来最大の増加率を記録しました 11。このコストの内訳で最大の割合を占めるのが「逸失利益」であり、業務停止や顧客離れによる損害が平均で147万米ドルにも上ります 15。トキハグループが経験した2ヶ月間の決済システム麻痺は、まさにこの「逸失利益」が現実のものとなった典型例と言えるでしょう。このことから導き出される重要な点は、ランサムウェア対策の第一目標は、身代金の支払いを回避すること以上に、事業の継続性を確保することにある、という事実です。


最終的な悲劇:大規模な個人情報漏洩


そして2025年7月、トキハグループは最悪の事態を公表せざるを得なくなりました。ランサムウェア攻撃の過程で、攻撃者がデータを暗号化するだけでなく、大量の情報を窃取していたことが判明したのです。漏洩した可能性のある情報は、最大で約44万9000件に及びました。その内訳は衝撃的でした。顧客会員情報(氏名、住所、電話番号、メールアドレス、購入履歴など)が最大42万1355件、さらにその中には12万7263件分のクレジットカード情報(カード番号、名義人、有効期限)が含まれていました 17。加えて、取引先情報、派遣・雇用関係者、従業員とその家族の情報までが流出の対象となっていました 17

これは、現代のランサムウェア攻撃の標準的な手口である「二重恐喝(ダブルエクストーション)」が実行されたことを意味します 18。攻撃者はデータを暗号化して事業を停止させるだけでなく、窃取したデータを公開すると脅迫することで、たとえ企業がバックアップからシステムを復旧できたとしても、身代金を支払わざるを得ない状況に追い込むのです。

この大規模な情報漏洩は、トキハグループに長期的な負債を負わせることになります。顧客からの信頼失墜はもちろんのこと、個人情報保護委員会への報告や被害者への通知、そして潜在的な集団訴訟のリスクなど、その対応には莫大なコストと時間が費やされることになります 21。IBMのレポートによれば、一件の記録が漏洩した場合の平均コストは年々上昇しており、特に個人を特定できる情報(PII)の漏洩はコストを押し上げる最大の要因の一つです 12

トキハグループの事例は、ランサムウェア攻撃がもはや単なるデータの暗号化インシデントではないことを明確に示しています。それは、事業を麻痺させ、顧客との信頼関係を破壊し、長期的な財務的・法務的負担を強いる、複合的な企業災害なのです。したがって、防御戦略もまた、単にバックアップを整備するだけでは不十分であり、攻撃者の最初の侵入そのものを阻止することに最大の焦点を当てる必要があります。


第2章:ランサムウェアの攻撃手口:攻撃者の収益化プロセスを解明する


トキハグループを襲ったような壊滅的な被害は、決して魔法のように起こるわけではありません。その背後には、サイバー犯罪者たちが確立した、体系的かつ効率的な「攻撃のプレイブック」が存在します。この手口を理解することは、効果的な防御策を講じるための第一歩です。現代のランサムウェア攻撃は、特定の共通した弱点を突くことで成り立っており、その侵入経路は驚くほど限定されています。


主戦場となるリモートアクセスインフラ


近年のサイバーセキュリティレポートは、ほぼ例外なく同じ侵入経路を指摘しています。それは、組織のネットワークに外部から接続するための「リモートアクセスインフラ」です。具体的には、VPN (Virtual Private Network) 機器とRDP (Remote Desktop Protocol) が、攻撃者にとって最も魅力的な標的となっています 22。日本の警察庁が発表する統計でも、ランサムウェア被害の感染経路としてVPN機器からの侵入が突出して多く報告されています 24

なぜこれらのインフラが狙われるのでしょうか。理由は大きく二つあります。第一に、これらのサービスは、その性質上、インターネットに直接公開されている必要があるため、世界中の攻撃者からアクセス可能です 22。第二に、これらの機器やプロトコルには、しばしばセキュリティ上の欠陥が存在します。例えば、パッチが適用されていない既知の脆弱性が放置されていたり 25、推測しやすい単純なパスワードや工場出荷時のデフォルトパスワードが設定されたままになっていたりすることがあります 24。攻撃者は、これらの弱点を突いて、ブルートフォース攻撃(総当たり攻撃)やパスワードスプレー攻撃(よく使われるパスワードを多数のアカウントに対して試す攻撃)を仕掛け、組織のネットワークへの最初の足がかりを掴むのです 24

この事実は、企業にとって重大な示唆を与えます。従業員の生産性を向上させるためのリモートアクセスツールが、今や組織のセキュリティにおける最大のウィークポイント、すなわちサイバー攻撃の主戦場と化しているのです。これらのエントリーポイントのセキュリティレベルが、組織全体のランサムウェアに対する脆弱性を直接的に決定づけていると言っても過言ではありません。


攻撃の鍵となる「盗まれた認証情報」


もう一つの主要な侵入経路は、正当なユーザーの認証情報(IDとパスワード)を盗み出し、それを使って堂々とシステムにログインする手口です。IBMの「2024年データ漏洩コストに関する調査」では、この「盗難・侵害された認証情報」が、全データ侵害の16%を占める最も一般的な初期攻撃ベクトルであることが明らかにされています 11。さらに深刻なのは、この種の侵害は検知と封じ込めに平均で292日という最も長い時間を要する点です。これは、攻撃者が正規のユーザーになりすましているため、その活動が異常であると気づかれにくいことを示しています。

では、これらの認証情報はどのようにして盗まれるのでしょうか。その答えは、古くからある、しかし今なお非常に効果的な手法、すなわち「フィッシング」にあります。2024年の調査では、ランサムウェア攻撃の実に52.3%が、メールやフィッシング詐欺に起因していることが報告されています 29。攻撃者は、取引先やIT部門、あるいはMicrosoftのような大手クラウドサービスを装った巧妙な偽のメールを送りつけます 30。メール内のリンクをクリックしたユーザーは、本物そっくりの偽のログインページに誘導され、そこで疑うことなく自身のIDとパスワードを入力してしまうのです 33


サイバー犯罪のエコシステム:イニシャル・アクセス・ブローカー(IAB)


現代のランサムウェア攻撃の脅威をさらに増大させているのが、RaaS (Ransomware-as-a-Service) というビジネスモデルと、そのエコシステムを支える「イニシャル・アクセス・ブローカー(IAB)」の存在です 19。IABは、サイバー犯罪界の「専門業者」です。彼らは、ランサムウェアの展開やデータの暗号化といった最終的な攻撃は行いません。彼らのビジネスは、ただ一つ、組織のネットワークに侵入し、そのアクセス権を販売することに特化しています 35

IABは、前述したVPNやRDPの脆弱性攻撃、あるいはフィッシングによって企業のネットワークへの侵入に成功すると、そのアクセス情報(例えば、VPNアカウントの認証情報やRDPサーバーの管理者権限など)をダークウェブ上の闇市場で競売にかけます 36。購入するのは、LockBitやALPHV/BlackCatといった大手ランサムウェアグループの「アフィリエイト(提携者)」たちです 39。これにより、高度な侵入技術を持たない攻撃者でも、資金さえあれば容易に大企業のネットワークへのアクセス権を手に入れ、ランサムウェア攻撃を実行できるのです。

このIABモデルの台頭は、防御側にとって二つの重要な意味を持ちます。第一に、組織のセキュリティは、特定の攻撃者からだけでなく、金銭的動機を持つ不特定多数の侵入専門家によって、常に、そして受動的にテストされている状態にあるということです。第二に、セキュリティ上の欠陥がもたらすリスクの「賞味期限」が劇的に長くなったことを意味します。IABが1月にネットワークに侵入し、そのアクセス権が3月になって初めてランサムウェアグループに売却される、といった事態が起こり得るのです 39。これは、セキュリティインシデントへの事後対応(リアクティブ)ではなく、常に堅牢な防御態勢を維持する事前対策(プロアクティブ)がいかに重要であるかを物語っています。


第3章:侵入の起点:なぜレガシー認証は失敗した防御策なのか


トキハグループのような悲劇がなぜ繰り返されるのか。その根本的な原因は、多くの組織がいまだに時代遅れの認証セキュリティに依存しているという事実にあります。攻撃者の手口が高度化する一方で、防御側の「玄関の鍵」は旧態依然のままです。パスワードという脆弱な基盤の上に、付け焼き刃の対策を重ねても、巧妙な攻撃の前には無力です。ここでは、なぜ従来の認証方法、特に基本的な多要素認証(MFA)でさえもが現代の脅威に対して不十分なのかを技術的に解明します。


パスワードという「原罪」


すべての問題の根源は、パスワードにあります。パスワードは「共有秘密鍵」の一種であり、ユーザーとサービスの両方が同じ秘密(パスワード)を知っていることで認証が成立します。この仕組み自体が、致命的な欠陥を抱えています。なぜなら、その秘密は盗むことができるからです。フィッシングによって騙し取られたり 30、ブルートフォース攻撃で推測されたり 41、他のサービスから漏洩したパスワードリスト(クレデンシャルダンプ)を悪用されたり 24、攻撃者がパスワードを手に入れる手段は無数に存在します。一度パスワードが盗まれれば、それはもはや秘密ではなく、攻撃者にとっての「合鍵」となります。


「フィッシング可能なMFA」の限界


このパスワードの脆弱性を補うために登場したのが、多要素認証(MFA)です。特に、SMSで送られてくるワンタイムコードや、スマートフォンアプリ(例:Microsoft Authenticator, Google Authenticator)が生成する時間ベースのワンタイムパスワード(TOTP)は、広く普及しています。これらは「知識情報(パスワード)」に加えて、「所持情報(スマートフォン)」を要求するため、パスワードのみの場合よりも格段に安全性を高めます。

しかし、これらの一般的なMFAもまた、「共有秘密鍵」の呪縛から逃れられていません。ワンタイムコードもまた、ユーザーとサービスの間で共有される一時的な秘密情報です。そして、パスワードと同様に、この秘密もまた盗むことが可能です 43。この手口を可能にするのが、「Adversary-in-the-Middle(AiTM)攻撃」、日本語では「中間者攻撃」と呼ばれる高度なフィッシング詐欺です。


AiTM攻撃のメカニズム:セッショントークンの乗っ取り


AiTM攻撃の仕組みは以下の通りです 44

  1. リバースプロキシの設置:攻撃者は、標的とするサービス(例:Microsoft 365)のログインページを完璧に模倣した偽サイトを、自身が管理する「リバースプロキシサーバー」上に構築します。

  2. ユーザーの誘導:攻撃者は、フィッシングメールを送り、ユーザーをこの偽サイトに誘導します。ユーザーは本物のサイトと信じ込み、IDとパスワードを入力します。

  3. 認証情報の中継と窃取:リバースプロキシは、ユーザーが入力したIDとパスワードを、リアルタイムで本物のログインページに転送(リレー)します。

  4. MFA要求の中継:本物のサービスは、パスワードが正しいことを確認し、MFA(ワンタイムコードの入力やプッシュ通知の承認)を要求します。リバースプロキシは、このMFA要求もそのままユーザーに転送します。

  5. MFAの突破とセッションクッキーの窃取:ユーザーは、偽サイト上でワンタイムコードを入力するか、スマートフォンのプッシュ通知を承認します。リバースプロキシは、この情報も本物のサービスに中継し、認証を成功させます。

  6. セッションハイジャック:認証が成功すると、本物のサービスはユーザーのブラウザに対して「セッションクッキー」を発行します。これは、ログイン状態を維持するための「通行証」のようなものです。リバースプロキシは、このセッションクッキーをユーザーに渡す前に窃取します 47

このセッションクッキーさえ手に入れてしまえば、攻撃者はユーザーのID、パスワード、MFAをすべて迂回し、正規のユーザーとしてアカウントにアクセスできてしまいます 44。ALPHV/BlackCatのような主要なランサムウェアグループが、このAiTM攻撃を積極的に利用していることが確認されています 49

この攻撃手法は、現代の認証における脆弱性の本質が、もはやパスワードやワンタイムコードといった「静的な秘密情報」ではなく、認証成功後に発行される「セッショントークン」そのものへと移行したことを示しています。攻撃者の主目的は、ログインの瞬間を突破することではなく、その結果得られる有効なセッションを乗っ取ることにあるのです。したがって、プロキシ経由での中継が可能な認証方法は、原理的にこの攻撃に対して脆弱であると言えます。

この現実を前に、MFAの有効性を評価する尺度は根本的に変わりました。もはや「知識」「所持」「生体」という要素の組み合わせだけでは不十分です。真に問われるべきは、その認証プロセスが、中間者による傍受とリプレイに対して暗号技術的に耐性を持つプロトコルに基づいているかどうかです。CISA(米国サイバーセキュリティ・社会基盤安全保障庁)のような公的機関がMFAの強度を階層化し、FIDO/PKIベースの認証を最上位に、OTPやプッシュ通知をそれより下位に位置付けているのは、まさにこのプロトコルレベルのセキュリティの差に基づいています 43。レガシーな認証からの脱却は、もはや選択肢ではなく、必須の要件なのです。


第4章:アクセスセキュリティのパラダイムシフト:フィッシング耐性MFAとFIDO2標準


従来の認証方法がAiTM攻撃のような巧妙な手口の前に次々と破られている現状に対し、セキュリティの世界では新たな「ゴールドスタンダード」が確立されつつあります。それが、「フィッシング耐性MFA(Phishing-Resistant MFA)」です。これは単なるMFAの改良版ではなく、認証の根本的な考え方を変えるパラダイムシフトです。CISAやNIST(米国国立標準技術研究所)といった政府機関が強く推奨するこのアプローチは、その中核技術であるFIDO2/WebAuthnによって実現されます 43


フィッシング耐性MFAの定義


フィッシング耐性MFAとは、その名の通り、フィッシング攻撃や中間者攻撃(AiTM)に対して原理的に耐性を持つ認証方式を指します。その鍵は、「共有秘密鍵」の概念を捨てることにあります。SMSコードやTOTPのように、ユーザーとサーバーの間で一時的な秘密情報をやり取りするのではなく、傍受されても意味をなさない暗号技術的な証明を用いることで、認証プロセスそのものを堅牢化します 43


FIDO2/WebAuthnの仕組み:公開鍵暗号の応用


フィッシング耐性MFAを実現する代表的な技術が、FIDO AllianceとW3Cによって標準化されたFIDO2/WebAuthnです。その動作原理は、広く信頼されている「公開鍵暗号方式」に基づいています 53

  1. 登録(Registration):ユーザーが初めてFIDO2対応のウェブサイト(専門用語で「リライングパーティ」)に自身のデバイス(スマートフォンやYubiKeyのような物理セキュリティキー。専門用語で「認証器」)を登録する際、認証器は内部で一対の鍵ペア、すなわち「秘密鍵」と「公開鍵」を生成します 56。この鍵ペアは、そのウェブサイト専用に作られます。最も重要な点は、


    秘密鍵は認証器の安全な領域に保存され、決して外部に出ないということです。一方、公開鍵はウェブサイトのサーバーに送信され、ユーザーアカウントに紐づけて保管されます 58

  2. 認証(Authentication):ユーザーがログインしようとすると、ウェブサイトは「チャレンジ」と呼ばれる、一度しか使えないランダムなデータをユーザーのブラウザに送信します 53

  3. 署名と検証:ブラウザからチャレンジを受け取った認証器は、ユーザーに本人確認(PIN入力や指紋認証など)を求めます。確認が取れると、認証器は内部に保持している秘密鍵を使って、受け取ったチャレンジにデジタル署名を行います。この署名されたデータがウェブサイトに送り返されます 53。ウェブサイト側は、事前に登録されていた公開鍵を使ってこの署名を検証します。署名が正しければ、そのユーザーは正当な秘密鍵の所有者であると証明され、ログインが許可されます 59


フィッシングを無力化する「オリジンバインディング」


FIDO2がフィッシングに対して絶大な効果を発揮する理由は、「オリジンバインディング」という仕組みにあります 55。登録時に生成される鍵ペアは、そのウェブサイトのドメイン名(オリジン)と暗号技術的に強く結びつけられています。

例えば、ユーザーが正規のサイト login.microsoft.com に鍵を登録した場合、その鍵ペアは login.microsoft.com というオリジン専用となります。もしユーザーがフィッシングサイト microsoft-login.com にアクセスしてしまっても、ブラウザは現在のドメインが登録済みのドメインと異なることを検知し、login.microsoft.com 用の鍵ペアの使用を許可しません。認証器は署名を行うことができず、認証は失敗します 62

これはAiTM攻撃に対しても同様に機能します。攻撃者のリバースプロキシサーバーのドメインは、当然ながら正規のサイトとは異なります。そのため、ユーザーが偽サイト上で認証を試みても、オリジンバインディングによってブロックされ、攻撃者は有効な署名を手に入れることができません。このように、FIDO2はユーザーがフィッシングサイトに騙されてしまうという「人的ミス」を、プロトコルレベルで強制的に防ぎます。セキュリティの判断を、脆弱な人間に委ねるのではなく、信頼性の高い暗号プロトコルに任せる。これがFIDO2の革新性です。


ハードウェア認証器の役割


YubiKeyのような物理的なセキュリティキーは、このFIDO2の仕組みをさらに強固なものにします 66。これらのデバイスは、秘密鍵を耐タンパー性のある専用のセキュアエレメント内に保管します。これにより、たとえユーザーのPCがマルウェアに感染したとしても、秘密鍵を盗み出すことは極めて困難になります 68。物理的な「所持」が認証の必須条件となるため、リモートからの攻撃に対して非常に高い防御力を発揮します。


MFAメソッドの強度比較


これまでの分析を基に、主要なMFAメソッドをセキュリティ属性の観点から比較すると、その優劣は明らかです。

特徴

SMS/音声

TOTP (認証アプリ)

プッシュ通知 (単純承認)

FIDO2/WebAuthn (フィッシング耐性)

セキュリティ原理

共有秘密鍵 (コード)

共有秘密鍵 (コード)

ユーザーによる承認

公開鍵暗号方式

フィッシング脆弱性

高い (コードを詐取可能)

高い (コードを詐取可能)

高い (承認を誤誘導可能)

極めて低い (オリジンバインディングが防御)

AiTM攻撃耐性

無し

無し

無し

高い

プッシュボンビング耐性

対象外

対象外

高い

無し

NIST AALレベル

AAL1 (制限付き)

AAL2

AAL2

AAL3 (最高レベル)

CISAによる評価

最も弱い

弱い

弱い

ゴールドスタンダード

出典: CISAおよびNISTのガイダンスに基づく分析 43

この表が示すように、FIDO2/WebAuthnは他の一般的なMFA手法とは一線を画すセキュリティレベルを提供します。それは、認証のパラダイムを「秘密を守る」ことから「秘密を共有しない」ことへと転換させた結果なのです。


第5章:FIDO認証を企業システムに実装する:ソフト技研のFIDO関連ソリューション


FIDO2という強力な標準規格も、企業の複雑なIT環境に統合されなければその価値を発揮できません。株式会社ソフト技研が提供するFIDO関連ソリューションは、この先進的な認証技術を企業のWindows環境に適用するための具体的な手段を提供します。ここでは、同社の製品群の中からFIDO2に関連する「YubiOn FIDO Logon」と「YubiOn FIDO2 Server」に焦点を当て、その機能を見ていきます。


PCログオンのセキュリティ強化:「YubiOn FIDO Logon」


「YubiOn FIDO Logon」は、Windows PCおよびWindows ServerへのログオンをFIDO2認証で強化するためのソフトウェアです 104。主な機能は、従来のパスワード認証に加えて、YubiKeyのようなFIDO2準拠の物理認証器による2要素認証を必須にすることです 106。これにより、たとえパスワードが漏洩したとしても、物理的な認証器がなければPCにログインできなくなり、不正アクセスのリスクを低減します。

このソリューションは、多くの企業で利用されているActive Directory (AD) 環境において、既存のAD設定を変更することなく導入できるという特徴があります 107。また、Windows標準のリモートデスクトップ(RDP)接続時の認証にも対応しており、ランサムウェアの主要な侵入経路の一つであるRDP経由の不正アクセスに対する防御策となり得ます 107

さらに、特定の管理者アカウントのみに2要素認証を強制したり 107、FIDO認証器を使ったログオンを必須とする「FIDOログオン強制機能」を備えています 108。これにより、組織のセキュリティポリシーに応じた柔軟な設定が可能です。製品にはクラウド連携版のほか、インターネットに接続できない閉域網向けのスタンドアロン版も用意されています 106


WebサービスへのFIDO認証導入:「YubiOn FIDO2 Server」


「YubiOn FIDO2 Server」は、企業が自社で開発・運用するWebサービスやアプリケーションに、FIDO2認証機能を組み込むためのサーバー製品です 110。このサーバーを導入することで、社内ポータルや顧客向けサイトなどのログインプロセスに、パスワードレスまたは多要素認証としてFIDO2認証を追加できます 110

この製品は、FIDO Allianceの認定を受けており 112、クラウドサービスとして利用する形態と、オンプレミス環境に設置するアプライアンスサーバーの形態で提供されています 110。オンプレミス版は、外部ネットワークに接続できない閉鎖的な環境での利用に適しています 110

WebサービスにFIDO2認証を導入することにより、フィッシング攻撃によって認証情報が窃取されるリスクを大幅に下げることが期待できます。これは、FIDO2の「オリジンバインディング」機能により、ユーザーは正規のドメインでしか認証できず、偽サイトでは認証プロセスが失敗するためです。

これらのソリューションは、FIDO2という標準技術を、企業の具体的なセキュリティ課題である「PC・サーバーへのアクセス管理」と「Webサービスへのアクセス管理」に適用するためのツールと言えます。


第6章:シナリオ分析:FIDO認証はトキハグループをどう守れたか


これまでの分析を踏まえ、ソフト技研のFIDO関連ソリューションが導入されていた場合に、トキハグループを襲ったような攻撃がどのように阻止された可能性があるかを、具体的なシナリオに基づいて検証します。


シナリオ1:特権管理者アカウントの侵害(フィッシング/AiTM攻撃)


このシナリオは、組織内で大きな権限を持つIT管理者が標的とされた場合を想定しています。


攻撃経路


  1. 侵入:IT管理者が、Microsoft 365などを装った巧妙なフィッシングメールを受信し、偽のログインページ(AiTMリバースプロキシ)にアクセスします。

  2. 認証情報窃取:管理者は偽サイトでユーザー名、パスワード、そして従来のMFAコードを入力し、攻撃者は有効なセッションクッキーを窃取します 44

  3. 内部侵入:攻撃者は盗んだ認証情報やセッションクッキーを使い、VPNやRDP経由で社内ネットワークに侵入します 22

  4. 攻撃の展開:管理者権限を悪用して内部で活動範囲を広げ、最終的にランサムウェアを展開します 71


FIDOソリューションによる防御プロセス


  1. 防御点1:Webサービスへのアクセス阻止:管理者が利用するWebサービス(例:Microsoft 365や社内システム)の認証に「YubiOn FIDO2 Server」が組み込まれ、FIDO2認証が必須となっていた場合、攻撃はここで頓挫する可能性が高いです。管理者が偽サイトで認証を試みても、FIDO2のオリジンバインディング機能が働き、ブラウザはフィッシングサイトのドメインが正規のものと異なることを検知します。その結果、物理認証器は署名を返さず、認証は失敗します 55。攻撃者は有効なセッションクッキーを入手できません。

  2. 防御点2:PC・サーバーへのログオン阻止:仮に、攻撃者が何らかの方法で管理者のパスワードのみを盗み出し、そのパスワードでRDP経由でサーバーへのログインを試みたとします。そのサーバーに「YubiOn FIDO Logon」が導入されていれば、ログオンにはパスワードに加えて物理認証器の操作が必須となります 107。攻撃者は物理的な認証器を持っていないため、ログインすることはできません。

結論:このシナリオでは、FIDO認証は複数の防御層として機能します。まず、WebサービスへのアクセスがFIDO2によって保護されていれば、フィッシングによる認証情報の窃取が防がれます。さらに、PCやサーバーへのアクセスが物理認証器で保護されていれば、たとえパスワードが漏洩しても、ネットワークへの不正侵入を水際で食い止めることができます。


シナリオ2:公開サーバーの脆弱性悪用(ブルートフォース/設定不備)


このシナリオは、インターネットに公開されたサーバーの弱いパスワードを狙う攻撃を想定しています。


攻撃経路


  1. 偵察と侵入:攻撃者は、外部にRDPポートが公開されているサーバーを発見し、ブルートフォース攻撃(総当たり攻撃)によって単純なパスワードを破り、ログインに成功します 24

  2. 権限昇格と水平移動:サーバーに侵入後、内部ネットワークで他のアカウントの認証情報を窃取し、活動範囲を拡大します 71

  3. 攻撃の展開:最終的にドメイン全体を掌握し、ランサムウェアを展開します。


FIDOソリューションによる防御プロセス


  1. 偵察とパスワード突破:攻撃者が公開RDPサーバーを発見し、パスワードを割り出すところまでは同じです。

  2. 防御点:RDPログオンの阻止:攻撃者が盗んだパスワードでRDP接続を試みます。しかし、そのサーバーに「YubiOn FIDO Logon」がインストールされ、MFAが強制されている場合、ログイン画面はパスワードに加えて物理認証器の操作を要求します 107。攻撃者は物理認証器を持っていないため、認証を完了できず、サーバーへの侵入は失敗に終わります。

結論:このシナリオでは、「YubiOn FIDO Logon」が最後の防衛線として機能します。パスワードという脆弱な防御線が破られても、物理的な「所持」を証明しなければならないという認証要件が、攻撃者の侵入を阻止します。これにより、ブルートフォース攻撃のような古典的だが依然として有効な攻撃手法を無力化できる可能性があります。

これらのシナリオから、FIDO2に基づいた認証ソリューションは、攻撃の連鎖における複数の重要な段階で防御的に機能し、組織のセキュリティを向上させる可能性があることが示唆されます。


第7章:テクノロジーを超えて:「ヒューマンファイアウォール」を強化する


YubiOnのような先進的な技術が、サイバー攻撃に対する強力な防波堤となることは間違いありません。しかし、技術的な防御策だけで組織の安全が完全に保証されるわけではないことも、また事実です。セキュリティの連鎖において、最も予測が難しく、そして最も狙われやすい要素は常に「人」です。組織の全従業員がセキュリティ意識を持ち、防衛の最前線として機能する「ヒューマンファイアウォール」の構築は、技術的対策と両輪をなす、不可欠な戦略です 73


ヒューマンファイアウォールの概念


ヒューマンファイアウォールとは、組織内のすべての個人が、サイバー脅威に対する防衛の一翼を担うという考え方です。技術的なファイアウォールがネットワークの境界を守るように、訓練され、意識の高い従業員が、フィッシングメールやソーシャルエンジニアリングといった、人間の心理的な隙を突く攻撃を見抜き、報告することで、組織への侵入を防ぎます 73。データ侵害の多くに人的要因が関与しているという事実 76 を踏まえれば、この「人的な防衛線」を強化することの重要性は明らかです。


セキュリティ意識向上トレーニングの役割


ヒューマンファイアウォールを構築するための具体的な手段が、継続的なセキュリティ意識向上トレーニングです。効果的なトレーニングは、従業員に以下のような知識とスキルを植え付けます。

  • 脅威の認識:フィッシング、マルウェア、ソーシャルエンジニアリングといった具体的な攻撃手口を学び、怪しいメールの兆候(不自然な送信者アドレス、緊急性を煽る文面、文法的な誤りなど)を見分ける能力を養います 78

  • 安全な行動習慣:強力なパスワードの作成と管理、公共Wi-Fiの安全な利用方法、機密情報の取り扱いに関する社内ポリシーの遵守など、日々の業務における安全な行動習慣を身につけます。

  • セキュリティ文化の醸成:トレーニングを通じて、セキュリティはIT部門だけの責任ではなく、全従業員の共同責任であるという文化を育みます 73


フィッシングシミュレーション:諸刃の剣


従業員の意識と対応能力を測定し、向上させるための一般的な手法として、フィッシングシミュレーションがあります。これは、IT部門が偽のフィッシングメールを従業員に送り、誰がリンクをクリックしたり、情報を入力したりするかをテストする訓練です。

この手法には確かに効果が期待できます。ある調査では、トレーニングによって従業員のフィッシング攻撃への脆弱性が80%減少し、シミュレーションプログラムは平均で37倍の投資対効果(ROI)をもたらしたと報告されています 81。実践的なシナリオを通じて学ぶことで、知識の定着率が向上することは間違いありません。

しかし、その運用には注意が必要です。大規模な実証研究の中には、シミュレーション訓練によるクリック率の低下はごく僅かであり、その効果は時間とともに薄れていくことを示すものもあります 82。また、頻繁すぎるテストは「訓練疲れ」を引き起こし、従業員の士気を低下させたり、本物の脅威に対する注意力を散漫にさせたりするリスクも指摘されています 82。失敗した従業員を罰するようなアプローチは、問題を隠蔽する文化を生み出し、逆効果になりかねません。


究極の目標:完璧な防御ではなく、迅速な報告


ヒューマンファイアウォールの真の価値は、従業員が絶対にフィッシングメールをクリックしない「完璧な人間」になることではありません。それは非現実的な目標です。真の価値は、従業員が「何かおかしい」と感じたときに、それを躊躇なく、迅速にセキュリティ部門へ報告できる文化とプロセスを確立することにあります 74。報告されたフィッシングの試みは、たとえそれが誤報であったとしても、セキュリティチームにとっては貴重な脅威インテリジェンスとなります。一つの報告が、組織全体を標的とする大規模な攻撃キャンペーンの最初の兆候を捉えることもあるのです。

ここで、フィッシング耐性MFAとヒューマンファイアウォールの間に、非常に重要な相乗効果が生まれます。YubiOnのような強力な技術的対策は、いわば「セーフティネット」として機能します。万が一、従業員がフィッシングの罠にかかり、リンクをクリックして認証情報を入力してしまったとしても、FIDO2のプロトコルが最後の砦となって攻撃者の侵入を防ぎます。この技術的な安全性が確保されているからこそ、組織はより現実的で高度なフィッシングシミュレーションを、実際の侵害を恐れることなく実施できます。技術が人的ミスの影響を最小限に抑え、その安全な環境で実施される訓練が人間の警戒心を高める。この好循環こそが、真にレジリエントなセキュリティ体制を築く鍵なのです。

さらに、ヒューマンファイアウォールへの投資は、単にクリックを防ぐ以上のリターンをもたらします。インシデント発生時の初動対応を迅速化し、GDPRやHIPAAといったデータ保護規制が要求する従業員トレーニングの要件を満たし、そしてセキュリティに対する真摯な取り組みを顧客に示すことで、企業の評判を守ることにも繋がるのです 78


第8章:レジリエントな企業のための戦略的提言


トキハグループの事例と最新のサイバー脅威の分析から、フィッシング耐性MFAの導入がもはや「推奨」ではなく「必須」のセキュリティ対策であることは明らかです。しかし、特に大規模な組織において、新しい認証システムを全社的に展開することは、技術的な課題だけでなく、組織的な変革を伴う一大プロジェクトです。ここでは、YubiOnのようなソリューションを成功裏に導入し、真にレジリエントな(回復力のある)企業を構築するための、実践的なロードマップを提言します。


段階的展開(フェーズドアプローチ)の採用


全従業員に一斉に新しい認証方法を導入するのは、混乱を招き、ヘルプデスクへの問い合わせが殺到する原因となります。より現実的で効果的なのは、リスクの高い領域から順に展開していく段階的なアプローチです 86

  1. フェーズ1:ハイリスクユーザーの保護:最初に保護すべきは、最も価値が高く、最も狙われやすいアカウントです。具体的には、ドメイン管理者、ITスタッフ、役員、経理・財務部門の担当者がこれにあたります 87。これらの特権アカウントが侵害された場合の影響は計り知れないため、最優先でフィッシング耐性MFAを適用します。

  2. フェーズ2:リモートアクセスの要塞化:次に、ランサムウェアの主要な侵入経路であるVPNおよびRDPアクセスを、全ユーザーを対象に保護します 89。これにより、組織の「玄関」を固め、外部からの不正侵入リスクを大幅に低減できます。

  3. フェーズ3:重要アプリケーションの保護:Microsoft 365、Salesforce、ERPシステムなど、企業の機密情報や顧客データが集中する重要なクラウドアプリケーションへのアクセスに、フィッシング耐性MFAを適用します 90

  4. フェーズ4:全社展開:最後に、残りの一般従業員へと展開を拡大します。先行するフェーズでの経験と教訓を活かすことで、全社展開をよりスムーズに進めることができます。


完全なライフサイクル管理の計画


セキュリティキーの導入は、単にデバイスを配布して終わりではありません。その登録から廃棄までの全ライフサイクルを管理する計画が不可欠です 91

  • オンボーディングと登録:ユーザーが簡単かつ安全に自身のキーを登録できるプロセスを確立します。明確で分かりやすいマニュアルを用意し、可能であればYubico FIDO Pre-regのような事前登録サービスを活用して、特に新入社員のオンボーディングを簡素化することを検討します 93。また、紛失や故障に備え、各ユーザーに主キーと予備キーの2つを配布することがベストプラクティスとされています 92

  • サポートとトラブルシューティング:ヘルプデスク部門に、よくある問題(例:PINの失念、ブラウザの互換性問題、キーの紛失)に対応するためのトレーニングと手順書を提供します 95。ユーザーが問題を抱えた際に、迅速かつ的確なサポートを受けられる体制は、導入プロジェクトの成否を左右します。

  • オフボーディングと回収:従業員が退職または異動する際に、そのキーに関連付けられたアクセス権を確実に無効化し、デバイスを回収または破棄するプロセスを明確に定めておく必要があります 86


コミュニケーションの重要性


新しいセキュリティ施策の導入は、従業員に変化を強いるものです。なぜこの変更が必要なのか、それによって会社と従業員自身がどのように守られるのかを丁寧に説明する、戦略的なコミュニケーション計画が不可欠です 99。単に「導入します」と通知するのではなく、セキュリティの重要性を啓蒙し、利便性の側面(パスワードを覚える手間が減るなど)も伝え、従業員の理解と協力を得ることが、円滑な移行の鍵となります。


ゼロトラスト・アーキテクチャへの統合


フィッシング耐性MFAの導入は、それ自体がゴールなのではなく、より広範な「ゼロトラスト」セキュリティ戦略の基礎をなす要素として位置づけるべきです 62。ゼロトラストとは、「決して信頼せず、常に検証する(Never Trust, Always Verify)」という原則に基づき、社内ネットワークの内外を問わず、すべてのアクセス要求を信頼できないものとして扱い、その都度厳格な認証と認可を行うセキュリティモデルです。強力なユーザー認証は、このゼロトラスト・アーキテクチャを実現するための最も重要な柱の一つです。

これらの提言から浮かび上がるのは、フィッシング耐性MFAの導入が、単なる技術的なアップグレードではなく、プロジェクト管理、変更管理、そして組織文化の変革を伴う戦略的な取り組みであるという事実です。技術の選定と同じくらい、ユーザー教育、コミュニケーション、ヘルプデスクの準備といった人的・組織的側面に注意を払うことが、プロジェクトを成功に導き、組織を真のレジリエンスへと導くのです。


第9章:結論:事後対応型の防御から事前対策型のレジリエンスへ


大分トキハグループを襲ったサイバー攻撃は、現代の企業が直面する脅威の深刻さと、従来のセキュリティ対策の限界を痛烈に突きつけるものでした。この事件は、もはや他人事ではなく、あらゆる組織が明日にでも経験しうる現実です。一連の分析を通じて明らかになったのは、この種の災害は予測不可能な天災ではなく、その多くが既知の脆弱性と攻撃手口の連鎖によって引き起こされる、予防可能な人災であるという事実です。

本レポートは、この問題に対する一つの有効なアプローチを提示しました。まず、脅威の現実を直視すること。ランサムウェア攻撃は、事業継続性を脅かし、大規模な情報漏洩を引き起こす複合災害へと進化しました。その経済的損失は、IBMの調査が示すように数億円規模に達し、企業の存続そのものを危うくします 11。攻撃者は、フィッシングによる認証情報窃取や、VPN・RDPといったリモートアクセスインフラの脆弱性を悪用するという、確立された手法を用いて、組織の防御網を突破します。

次に、旧来の防御策の限界を認識すること。パスワードに依存したセキュリティは、もはや崩壊しています。さらに、SMSや認証アプリによるワンタイムパスワードといった一般的な多要素認証(MFA)でさえ、AiTM攻撃のような巧妙な手口の前には無力化されうることが証明されています。これらの方法は、攻撃者がセッションそのものを乗っ取ることを防げないという、根本的な欠陥を抱えています。

そして最後に、最も重要なこととして、解決策はすでに存在し、実用段階にあることを理解することです。CISAやNISTといった世界のセキュリティ機関が「ゴールドスタンダード」と認めるフィッシング耐性MFAは、この問題に対する最も効果的な技術的回答です。その中核をなすFIDO2/WebAuthn標準は、公開鍵暗号方式とオリジンバインディングという強力なメカニズムによって、フィッシングや中間者攻撃を原理的に無効化します。

ソフト技研の「YubiOn FIDO Logon」や「YubiOn FIDO2 Server」のようなソリューションは、このFIDO2標準を企業のWindows環境やWebサービスに適用するための具体的な選択肢となります。PCログオンやRDPアクセスといった重要な侵入ポイントを物理キーで保護し、Webサービスの認証を強化することで、典型的な攻撃経路を初期段階で遮断できる可能性が高まります。

もちろん、技術だけが万能薬ではありません。「ヒューマンファイアウォール」を構築するための継続的な従業員教育と、セキュリティを組織文化として根付かせる努力もまた、不可欠です。しかし、人間がミスを犯すことを前提とし、そのミスが致命的な結果につながらないようにする技術的なセーフティネットを張ることこそが、経営層に課せられたリスク管理の責務です。

トキハグループが経験した数ヶ月にわたる事業の混乱、数十万件の個人情報漏洩、そして計り知れない信用の失墜という甚大な代償 8 は、フィッシング耐性MFAの導入という事前投資のコストをはるかに上回ります。選択肢は明確です。旧態依然とした防御策に固執し、避けられない危機に事後対応で追われるのか。それとも、現代の脅威に正面から向き合い、実証済みの最も効果的な防御策へ投資することで、事前対策型の真のレジリエンス(回復力)を構築するのか。その決断こそが、企業の未来を左右するのです。



引用文献

  1. 当社におけるサイバー攻撃被害について|お知らせ・インフォメーション|ふるさと大分の百貨店トキハ, 7月 24, 2025にアクセス、 https://www.tokiwa-dept.co.jp/topics/details/360

  2. トキハインダストリー全店がランサムウェアにより3月31日は臨時休業|セキュリティニュース, 7月 24, 2025にアクセス、 https://rocket-boys.co.jp/security-measures-lab/tokihain-ransomware-closure-2025-03-31/

  3. スーパー「トキハインダストリー」 1日は再開見通し サイバー攻撃で全店休業 - YouTube, 7月 24, 2025にアクセス、 https://www.youtube.com/watch?v=xbrCiNG9Ac4

  4. 大分「トキハ」にサイバー攻撃、トキハインダストリーは全店臨時休業 - Yahoo! JAPAN, 7月 24, 2025にアクセス、 https://article.yahoo.co.jp/detail/fd558c0b19725df18f18a71ba7181c3166ae825c

  5. スーパー「トキハインダストリー」のサイバー攻撃被害から学ぶ、システム障害とリスク管理 - note, 7月 24, 2025にアクセス、 https://note.com/smatec/n/n40cbd5784304

  6. 大分のスーパーがランサム被害 - 臨時休業するも翌日再開 - Security NEXT, 7月 24, 2025にアクセス、 https://www.security-next.com/168834

  7. 不正アクセス原因で一時23店舗全店臨時休業、トキハインダストリー - サイバーセキュリティ.com, 7月 24, 2025にアクセス、 https://cybersecurity-jp.com/news/109414

  8. サイバー攻撃から2か月「トキハグループ」現在もクレジット決済不可やお中元受付延期など影響続く 大分 - YouTube, 7月 24, 2025にアクセス、 https://www.youtube.com/watch?v=RoV31HzERGE

  9. サイバー攻撃から2か月 トキハグループ一部の店舗でクレジット決済やポイントカードが利用可能に 大分 - YouTube, 7月 24, 2025にアクセス、 https://www.youtube.com/watch?v=rmmLfYgVfjU

  10. サイバー攻撃から2か月 トキハグループ一部の店舗でクレジット決済やポイントカードが利用可能に 大分 - FNNプライムオンライン, 7月 24, 2025にアクセス、 https://www.fnn.jp/articles/-/888470

  11. IBM Report: Escalating Data Breach Disruption Pushes Costs to New Highs, 7月 24, 2025にアクセス、 https://newsroom.ibm.com/2024-07-30-ibm-report-escalating-data-breach-disruption-pushes-costs-to-new-highs

  12. Cost of a Data Breach Report 2024, 7月 24, 2025にアクセス、 https://wp.table.media/wp-content/uploads/2024/07/30132828/Cost-of-a-Data-Breach-Report-2024.pdf

  13. Data Breach Costs Key Drivers and Trends - Pentera, 7月 24, 2025にアクセス、 https://pentera.io/blog/cost-of-data-breach/

  14. Cost of a data breach 2024: Financial industry - IBM, 7月 24, 2025にアクセス、 https://www.ibm.com/think/insights/cost-of-a-data-breach-2024-financial-industry

  15. How much does a data breach cost in 2024? - Embroker, 7月 24, 2025にアクセス、 https://www.embroker.com/blog/cost-of-a-data-breach/

  16. Data breach costs in 2024 | Griffiths & Armour, an Aon company, 7月 24, 2025にアクセス、 https://www.griffithsandarmour.com/knowledge-centre/data-breach-costs-in-2024/

  17. 大分のトキハインダストリー 、ランサムウェアによるサイバー攻撃で約42万人の個人情報漏洩の可能性|セキュリティニュースのセキュリティ対策Lab, 7月 24, 2025にアクセス、 https://rocket-boys.co.jp/security-measures-lab/oita-tokiha-industry-ransomware-attack-potential-personal-info-leak/

  18. 代表的なランサムウェアの感染経路6つと対策を詳しく解説 - LANSCOPE, 7月 24, 2025にアクセス、 https://www.lanscope.jp/blogs/cyber_attack_cpdi_blog/20230403_29782/

  19. Kaspersky ransomware report for 2024 - Securelist, 7月 24, 2025にアクセス、 https://securelist.com/state-of-ransomware-in-2025/116475/

  20. Ransomware 2025: A Resilient and Persistent Threat - Symantec Enterprise Blogs, 7月 24, 2025にアクセス、 https://www.security.com/sites/default/files/2025-02/2025_02_Ransomware_2025.pdf

  21. ランサム被害で顧客情報流出の可能性 - トキハグループ - Security NEXT, 7月 24, 2025にアクセス、 https://www.security-next.com/172651/2

  22. なぜランサムウェア攻撃でVPNが狙われやすいのか? - Keeper Security, 7月 24, 2025にアクセス、 https://www.keepersecurity.com/blog/ja/2024/07/29/why-are-vpns-targeted-in-ransomware-attacks/

  23. VPN、サイバー攻撃被害に共通するセキュリティの注意点 | トレンドマイクロ, 7月 24, 2025にアクセス、 https://www.trendmicro.com/ja_jp/jp-security/23/d/securitytrend-20230426-02.html

  24. VPN機器への攻撃が増加|事例と対策をセキュリティアナリストが解説 - NRIセキュア, 7月 24, 2025にアクセス、 https://www.nri-secure.co.jp/blog/vpn

  25. VPNのセキュリティリスクとは?事故の原因と必要な対策について解説, 7月 24, 2025にアクセス、 https://gmo-cybersecurity.com/column/security-measures/vpn/

  26. Ransomware Threat Evolution Q1 2025 - Surefire Cyber, 7月 24, 2025にアクセス、 https://www.surefirecyber.com/ransomware-threat-evolution-q1-2025/

  27. サーバへのリモート接続に適切なセキュリティ設定を行えていますか? Windowsリモートデスクトップ機能を悪用した攻撃から大切なデータを守るために今すぐできる設定5選 - 三谷商事, 7月 24, 2025にアクセス、 https://si.mitani-corp.co.jp/cloudbox/windows-rdp

  28. Insights from IBM's 2024 Cost of a Data Breach Report | Enzoic, 7月 24, 2025にアクセス、 https://www.enzoic.com/blog/ibms-2024-cost-of-a-data-breach/

  29. Hornetsecurity Q3 2024 Ransomware Attacks Survey, 7月 24, 2025にアクセス、 https://www.hornetsecurity.com/en/blog/ransomware-attacks-survey-2024/

  30. ランサムウェア攻撃の対策方法とは 被害を防ぐ方法と復旧方法を紹介します - カスペルスキー, 7月 24, 2025にアクセス、 https://www.kaspersky.co.jp/resource-center/threats/how-to-prevent-ransomware

  31. ランサムウェアはメールで感染する?危険性やセキュリティ対策を徹底解説, 7月 24, 2025にアクセス、 https://www.cloud-security.jp/blog/ransomware-transmitted-by-email

  32. フィッシングメールとは?詐欺の手口や対処法・防止策まで徹底解説 - NECフィールディング, 7月 24, 2025にアクセス、 https://www.fielding.co.jp/service/security/measures/column/column-11/

  33. 50+ Ransomware Statistics for 2025 - Spacelift, 7月 24, 2025にアクセス、 https://spacelift.io/blog/ransomware-statistics

  34. Ransomware Statistics, Data, Trends, and Facts [updated 2024] - Varonis, 7月 24, 2025にアクセス、 https://www.varonis.com/blog/ransomware-statistics

  35. Initial Access Brokers: The Hidden Architects of Modern Cyberattacks - Loginsoft, 7月 24, 2025にアクセス、 https://www.loginsoft.com/post/initial-access-brokers-the-hidden-architects-of-modern-cyberattacks

  36. Initial Access Brokers Report - Cyberint, 7月 24, 2025にアクセス、 https://e.cyberint.com/hubfs/IAB%20Report%202025.pdf

  37. Initial Access Brokers: The Hard Facts - Cyberint, 7月 24, 2025にアクセス、 https://cyberint.com/blog/other/initial-access-brokers-the-hard-facts/

  38. An identity defenders' worst nightmare? Initial Access Brokers and here is why | SC Media, 7月 24, 2025にアクセス、 https://www.scworld.com/news/an-identity-defenders-worst-nightmare-initial-access-brokers-and-here-is-why

  39. To HADES and Back: UNC2165 Shifts to LOCKBIT to Evade Sanctions | Mandiant | Google Cloud Blog, 7月 24, 2025にアクセス、 https://cloud.google.com/blog/topics/threat-intelligence/unc2165-shifts-to-evade-sanctions

  40. Ransomware Rebounds: Extortion Threat Surges in 2023, Attackers Rely on Publicly Available and Legitimate Tools - Google Cloud, 7月 24, 2025にアクセス、 https://cloud.google.com/blog/topics/threat-intelligence/ransomware-attacks-surge-rely-on-public-legitimate-tools

  41. ランサムウェアの感染経路をランキング形式で紹介|経路の特定方法や侵入防止対策を解説, 7月 24, 2025にアクセス、 https://www.c-ntn.co.jp/knowledge/ransomware-routes/

  42. 対策なしは危険!リモートデスクトップのセキュリティ全解説|コラム|クラウドソリューション, 7月 24, 2025にアクセス、 https://business.ntt-east.co.jp/content/cloudsolution/column-381.html

  43. Implementing Phishing-Resistant MFA - CISA, 7月 24, 2025にアクセス、 https://www.cisa.gov/sites/default/files/publications/fact-sheet-implementing-phishing-resistant-mfa-508c.pdf

  44. Adversary-in-the-middle phishing - Datadog Security Labs, 7月 24, 2025にアクセス、 https://securitylabs.datadoghq.com/cloud-security-atlas/attacks/adversary-in-the-middle-phishing/

  45. Bypassing MFA: The Rise of Adversary-in-the-Middle (AitM) Attacks - Swissbit, 7月 24, 2025にアクセス、 https://www.swissbit.com/en/blog/post/bypassing-mfa-the-rise-of-adversary-in-the-middle-aitm-attacks/

  46. State-of-the-art phishing: MFA bypass - Cisco Talos Blog, 7月 24, 2025にアクセス、 https://blog.talosintelligence.com/state-of-the-art-phishing-mfa-bypass/

  47. AiTM Phishing Attacks: Evolving Threat to Microsoft 365 | Proofpoint US, 7月 24, 2025にアクセス、 https://www.proofpoint.com/us/blog/email-and-cloud-threats/aitm-phishing-attacks-evolving-threat-microsoft-365

  48. What Are Adversary-in-the-Middle (AiTM) Attacks? - ProWriters, 7月 24, 2025にアクセス、 https://prowritersins.com/cyber-insurance-blog/adversary-in-the-middle-aitm-phishing/

  49. #StopRansomware: ALPHV Blackcat | CISA, 7月 24, 2025にアクセス、 https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-353a

  50. Phishing-Resistant MFA vs. Standard MFA: What's the Difference? - Rublon, 7月 24, 2025にアクセス、 https://rublon.com/blog/phishing-resistant-mfa-vs-standard-mfa/

  51. Multi-Factor Authentication | NIST, 7月 24, 2025にアクセス、 https://www.nist.gov/itl/smallbusinesscyber/guidance-topic/multi-factor-authentication

  52. What Is Phishing-Resistant MFA and How Does it Work? - HYPR Blog, 7月 24, 2025にアクセス、 https://blog.hypr.com/what-is-phishing-resistant-mfa

  53. About FIDO | YubiOn, 7月 24, 2025にアクセス、 https://www.yubion.com/fido?lang=en

  54. What is FIDO2? How Does FIDO2 Authentication Work? - AuthX, 7月 24, 2025にアクセス、 https://www.authx.com/blog/what-is-fido2/

  55. How FIDO2 works, a technical deep dive - Michael Waterman, 7月 24, 2025にアクセス、 https://michaelwaterman.nl/2025/04/02/how-fido2-works-a-technical-deep-dive/

  56. What Is FIDO2 & How Does FIDO Authentication Work? - Descope, 7月 24, 2025にアクセス、 https://www.descope.com/learn/post/fido2

  57. FIDO2: What It is and How It Works - Frontegg, 7月 24, 2025にアクセス、 https://frontegg.com/blog/fido2

  58. What Is FIDO2 and How Does It Work? FIDO Authentication Explained - Hideez, 7月 24, 2025にアクセス、 https://hideez.com/blogs/news/fido2-explained

  59. What Is FIDO2? | Microsoft Security, 7月 24, 2025にアクセス、 https://www.microsoft.com/en-us/security/business/security-101/what-is-fido2

  60. FIDO Authentication with WebAuthn - Auth0, 7月 24, 2025にアクセス、 https://auth0.com/docs/secure/multi-factor-authentication/fido-authentication-with-webauthn

  61. Implementing Phishing-Resistant MFA: Hands-On Developer Guide - SuperTokens, 7月 24, 2025にアクセス、 https://supertokens.com/blog/phishing-resistant-mfa

  62. FIDO Universal 2nd Factor Authentication | U2F - Yubico, 7月 24, 2025にアクセス、 https://www.yubico.com/authentication-standards/fido-u2f-standard/

  63. Let's Talk About WebAuthn! . Unlock the future of secure… | by Samuelgbenga | Medium, 7月 24, 2025にアクセス、 https://medium.com/@samuelgbenga972/lets-talk-about-webauthn-f7118cfee3ab

  64. Why Phishing-Resistant MFA Is The Future of Secure Authentication - Token Ring, 7月 24, 2025にアクセス、 https://www.tokenring.com/learn/phishing-resistant-mfa

  65. What is Web Authentication? Definition and FAQs - Yubico, 7月 24, 2025にアクセス、 https://www.yubico.com/authentication-standards/webauthn/

  66. Yubico - FIDO Alliance, 7月 24, 2025にアクセス、 https://fidoalliance.org/company/yubico/

  67. YubiKeys | Two-Factor Authentication for Secure Login, 7月 24, 2025にアクセス、 https://www.yubico.com/products/

  68. YubiKey Technical Manual - Yubico Product Documentation, 7月 24, 2025にアクセス、 https://docs.yubico.com/hardware/yubikey/yk-tech-manual/webdocs.pdf

  69. FIDO2: The Future of Passwordless Security with YubiKey and More - Authgear, 7月 24, 2025にアクセス、 https://www.authgear.com/post/fido2-the-future-of-passwordless-security-with-yubikey-and-more

  70. More than a Password - CISA, 7月 24, 2025にアクセス、 https://www.cisa.gov/MFA

  71. Mandiant Identifies UNC2165's Transition to Lockbit Ransomware - Anvilogic, 7月 24, 2025にアクセス、 https://www.anvilogic.com/threat-reports/mandiants-tracks-lockbit

  72. Understanding LockBit Ransomware: TTPs and Behavioral Insights for Effective Defense - Logpoint, 7月 24, 2025にアクセス、 https://www.logpoint.com/wp-content/uploads/2023/07/etp-lockbit.pdf

  73. What Is a Human Firewall? Meaning | Proofpoint US, 7月 24, 2025にアクセス、 https://www.proofpoint.com/us/threat-reference/human-firewall

  74. What is a Human Firewall? Definition, Examples & More - StrongDM, 7月 24, 2025にアクセス、 https://www.strongdm.com/what-is/human-firewall

  75. What is a Human Firewall? | NordLayer Learn, 7月 24, 2025にアクセス、 https://nordlayer.com/learn/firewall/human/

  76. 2024 Data Breach Investigations Report - Verizon, 7月 24, 2025にアクセス、 https://www.verizon.com/business/resources/reports/dbir./

  77. What is a Human Firewall? Examples, Strategies + Training Tips - Hoxhunt, 7月 24, 2025にアクセス、 https://hoxhunt.com/blog/human-firewall

  78. Why is Cyber Security Awareness Training Important for Employees? | BD Emerson, 7月 24, 2025にアクセス、 https://www.bdemerson.com/article/why-is-cyber-security-awareness-training-important

  79. Understanding the Importance of Cybersecurity Awareness Training - New Horizons - Blog, 7月 24, 2025にアクセス、 https://www.newhorizons.com/resources/blog/the-importance-of-cybersecurity-awareness-training

  80. Ransomware Prevention - Mimecast, 7月 24, 2025にアクセス、 https://www.mimecast.com/content/ransomware-prevention/

  81. Does phishing training work? Yes! Here's proof - CyberPilot, 7月 24, 2025にアクセス、 https://www.cyberpilot.io/cyberpilot-blog/does-phishing-training-work-yes-heres-proof

  82. Phishing simulations: What works and what doesn't - Help Net Security, 7月 24, 2025にアクセス、 https://www.helpnetsecurity.com/2025/07/23/phishing-simulations-effectiveness-in-organizations/

  83. Understanding the Efficacy of Phishing Training in Practice - Full-Time Faculty, 7月 24, 2025にアクセス、 https://people.cs.uchicago.edu/~grantho/papers/oakland2025_phishing-training.pdf

  84. We Trained 3 Million Employees: How Effective Is Security Awareness Training? - Hoxhunt, 7月 24, 2025にアクセス、 https://hoxhunt.com/blog/how-effective-is-security-awareness-training

  85. How To Build A Human Firewall In 5 Steps - CanIPhish, 7月 24, 2025にアクセス、 https://caniphish.com/blog/how-to-build-a-human-firewall

  86. Best Practices for Deploying FIDO Security Keys - Thales CPL, 7月 24, 2025にアクセス、 https://cpl.thalesgroup.com/blog/access-management/deploying-fido-security-keys-best-practices

  87. Enabling Phishing Resistant MFA for Admins : r/AZURE - Reddit, 7月 24, 2025にアクセス、 https://www.reddit.com/r/AZURE/comments/1lajvxj/enabling_phishing_resistant_mfa_for_admins/

  88. Require phishing-resistant multifactor authentication for administrators - Learn Microsoft, 7月 24, 2025にアクセス、 https://learn.microsoft.com/en-us/entra/identity/conditional-access/policy-admin-phish-resistant-mfa

  89. Multi-factor authentication's role in thwarting ransomware attacks - ESET, 7月 24, 2025にアクセス、 https://www.eset.com/us/about/newsroom/corporate-blog/multi-factor-authentications-role-in-thwarting-ransomware-attacks-1/

  90. Get started with a phishing-resistant passwordless authentication deployment in Microsoft Entra ID, 7月 24, 2025にアクセス、 https://learn.microsoft.com/en-us/entra/identity/authentication/how-to-plan-prerequisites-phishing-resistant-passwordless-authentication

  91. Enterprise Adoption Best Practices | FIDO Alliance, 7月 24, 2025にアクセス、 https://fidoalliance.org/wp-content/uploads/Enterprise_Adoption_Best_Practices_Lifecycle_FIDO_Alliance.pdf

  92. Accelerate YubiKey adoption at scale - The Kernel, 7月 24, 2025にアクセス、 https://thekernel.com/wp-content/uploads/2022/07/Yubico_Best__practices_guide_for_YubiKey_deployment.pdf

  93. Yubico FIDO Pre-reg is here: What secure, fast passwordless onboarding and account recovery at scale means for your business and end users, 7月 24, 2025にアクセス、 https://www.yubico.com/blog/fido-pre-reg-is-here-what-secure-fast-passwordless-onboarding-and-account-recovery-at-scale-means-for-your-business-and-end-users/

  94. FIDO2 Deployment in the Enterprise - AuthN by IDEE, 7月 24, 2025にアクセス、 https://www.getidee.com/blog/fido2-deployment-in-the-enterprise

  95. Troubleshoot Passkeys and FIDO Security Keys - AWS Identity and Access Management, 7月 24, 2025にアクセス、 https://docs.aws.amazon.com/IAM//latest/UserGuide/troubleshoot_mfa-fido.html

  96. Android known issues with FIDO2 - Yubico Support, 7月 24, 2025にアクセス、 https://support.yubico.com/hc/en-us/articles/17865198749852-Android-known-issues-with-FIDO2

  97. Admin troubleshooting PIN support for FIDO2 WebAuthn - SecureAuth Product Docs, 7月 24, 2025にアクセス、 https://docs.secureauth.com/2104/en/admin-troubleshooting-pin-support-for-fido2-webauthn.html

  98. FIDO2 troubleshooting - Yubico Support, 7月 24, 2025にアクセス、 https://support.yubico.com/hc/en-us/articles/12107415748764-FIDO2-troubleshooting

  99. Free Download Multi-Factor Authentication Rollout Plan - Meegle, 7月 24, 2025にアクセス、 https://www.meegle.com/en_us/advanced-templates/implementation_roadmap/multi_factor_authentication_rollout_plan

  100. Duo_End_User_Education_Com, 7月 24, 2025にアクセス、 https://duo.com/assets/pdf/Duo_End_User_Education_Communication_Templates.docx

  101. 6 steps to effectively deploy MFA - IS Decisions, 7月 24, 2025にアクセス、 https://www.isdecisions.com/en/blog/mfa/6-must-dos-when-preparing-your-business-for-multi-factor-authentication

  102. MFA Announcement to Organization (email template?) - Microsoft Community Hub, 7月 24, 2025にアクセス、 https://techcommunity.microsoft.com/discussions/identityauth/mfa-announcement-to-organization-email-template/171616

  103. 安心・安全・快適認証ソリューション | YubiOn (ユビオン) | 日本, 7月 24, 2025にアクセス、 https://www.yubion.com/

  104. ソフト技研、パスワードレスでのWindowsログオンを可能にする「YubiOn FIDO Logon」, 7月 26, 2025にアクセス、 https://it.impress.co.jp/articles/-/21479

  105. 「パスキー」対応、「YubiOn FIDO Logon」Web管理コンソールに, 7月 26, 2025にアクセス、 https://www.yubion.com/post/%E3%80%8C%E3%83%91%E3%82%B9%E3%82%AD%E3%83%BC%E3%80%8D%E5%AF%BE%E5%BF%9C%E3%80%81%E3%80%8Cyubion-fido-logon%E3%80%8Dweb%E7%AE%A1%E7%90%86%E3%82%B3%E3%83%B3%E3%82%BD%E3%83%BC%E3%83%AB%E3%81%AB

  106. PCログオン強化はYubiOn WindowsLogon, 7月 26, 2025にアクセス、 https://www.yubion.com/windowslogon

  107. パソコン多要素認証の決定版「YubiOn FIDO Logon」リモートデスクトップ接続に続きログオン画面でのキー登録が可能に | 株式会社ソフト技研, 7月 26, 2025にアクセス、 https://sgk.co.jp/news/20241212/

  108. リモートデスクトップ接続でも「パスキー」ログオンに対応 「YubiOn FIDO Logon」サービスで, 7月 26, 2025にアクセス、 https://www.dreamnews.jp/press/0000300456/

  109. リモートデスクトップ接続でも「パスキー」ログオンに対応 「YubiOn FIDO Logon」サービスで, 7月 26, 2025にアクセス、 https://www.yubion.com/post/20240701

  110. 構築不要で使える認証強化サービス YubiOn FIDO2 Server, 7月 26, 2025にアクセス、 https://www.yubion.com/fido2-server

  111. FIDO2認証対応「YubiOn FIDO Logon」クラウドサービス開始 ~FIDO2認証でより安全により便利な社会へ~ プレスリリース発表 - ソフト技研, 7月 26, 2025にアクセス、 https://sgk.co.jp/news/20210512/

  112. 安心・安全・快適認証ソリューション 「YubiOn」 - 【キーマンズネット】IT、IT製品の比較・事例・価格情報サイト, 7月 26, 2025にアクセス、 https://kn.itmedia.co.jp/endsec/authc/product/30843/




All Tags

bottom of page