キヤノンITS、神戸大学の森井昌克先生が心理学の視点からサイバー攻撃の手口を解説、最新の脅威動向やGW前の防衛策も紹介
キヤノンマーケティングジャパングループのキヤノンITソリューションズ(以下、キヤノンITS)は、「新入社員が企業のセキュリティホールになる? 神戸大 森井教授と読み解く、2026年春のサイバー脅威とGW前の防衛策」と題したラウンドテーブルを4月15日に開催した。今回のラウンドテーブルでは、神戸大学名誉教授の森井昌克先生をゲストに迎え、「個人の隙」を突くサイバー攻撃の手口について、最新のサイバー心理学の視点から解説した。また、キヤノンITSによる「2025年サイバーセキュリティレポート」に基づいた最新の脅威動向と、ゴールデンウィーク前に取り組むべき具体的な防衛策を紹介した。
4月は、入社・配属されたばかりの新入社員や異動直後の社員を狙ったサイバー攻撃が増加するタイミングであり、各企業ではセキュリティ対策の強化が求められている。昨今のサイバー攻撃の状況について、神戸大学の森井先生は、「国内でもランサムウェア攻撃の被害が拡大しており、昨年はアサヒビールやアスクルといった大企業も被害を受け、業務に大きな影響を及ぼした。しかし、企業を狙ったサイバー攻撃はランサムウェアだけではなく、攻撃手法はさらに高度化・巧妙化している」と指摘する。「例えば『ビジネスメール詐欺』では、企業の内部情報をダークウェブなどのアンダーグラウンドマーケットから収集し、それを利用して半年から1年以上かけて騙していく。また、自動音声機能を利用した『ボイスフィッシング詐欺』や、最近ではAIを活用した社長の音声合成による『ディープフェイクフィッシング詐欺』も生まれてきている」と、人間の心理を突いた巧妙なサイバー詐欺が増えてきているという。
「多くの人は『詐欺なんて自分には関係ない』と思っているが、スマホや携帯電話、SNSが当たり前になった今、詐欺師にとっては対面で近づく必要がなくなり、“狙える相手”が一気に増えた。つまり誰もが、特殊詐欺に接触する可能性が大幅に高まっている。詐欺は、『騙される人が悪い』のではない。人間の『隙』を突いてくる以上、誰でも被害者になり得る。だからこそ、詐欺から身を守るために、『信用しない』『慌てない』という2つを心がけてほしい」と、詐欺対策のポイントについてアドバイスしてくれた。「特に昨年末から今年にかけて、会社の社長などをかたり『業務のためにLINEグループを作成して』といった業務メール詐欺が急増している。社内のことがまだよくわかっていない新入社員は、騙されやすいので気をつけてほしい」と、注意を呼び掛けた。
「中小企業が抱える経営リスクはさまざまあるが、その中でもサイバー攻撃は、いま最も気にしなくてはならない経営リスクといえる。労働災害の分野では、ヒヤリハットを社内で報告・共有・分析することで、事故を未然に防ぐ活動が行われている。しかし、ランサムウェア攻撃は、このヒヤリハットが認識できず、気づかないうちに侵入されてしまうのが最大の問題である」と、サイバー攻撃は中小企業が最優先で対処すべき重大な経営リスクなのだと訴える。「中小企業は、コスト的にEDRなどの物理的な監視装置を導入することは難しい。それだけに、従業員一人ひとりの意識教育が重要であり、サイバーセキュリティにおけるヒヤリハットを少しでも見えるように、感じるようにすることで、サイバー攻撃の被害を防ぐことが可能になる。重大事故を想定し、ヒヤリハットがどんな被害につながるのか、理解を深めることが大切である」との考えを示した。
「4月から入社したばかりの新入社員は、形式的なことは理解していても、社内事情や社内手続きに不慣れで、現場対応能力はまだ乏しいのが実状。何か問題が発生した場合には、自分の評価や不祥事を気にしてまわりに聞かず、検索やAIに頼って解決しようする傾向もみられる。そんな新人社員が引っ掛かりやすいのが『サポート詐欺』。この他にも、企業を狙った不正アクセスや詐欺の手口には限りがないので、少しでも異変に気づいたら、自分で判断せずに必ず相談してほしい」と、企業のセキュリティホールにならないよう新人社員にメッセージを送ってくれた。
次に、キヤノンITS サイバーセキュリティラボ マルウェアアナリストの池上雅人氏が、同社サイバーセキュリティ情報局が公開した「2025年サイバーセキュリティレポート」のポイントを紹介した。「昨年の脅威統計では、マルウェア検出数とインシデント情報の2つの観点から分析を行い、ClickFixやReact2Shellの悪用など、昨年注目を集めた攻撃の増加を統計上で確認した。国内については、IDが入力済みのログインページを表示するHTML/Phishing.Agentを確認。下半期のHTML/FakeCaptchaの検出数は減少傾向だった一方で、React Server Componentsの脆弱性であるCVE−2025−55182(React2Shell)が多数検出された。全世界の状況では、マルウェア検出数は昨年11月が最多となり、日本のHTML/Phishing.Agentの検出増が影響した。また、8年前に発見された脆弱性を悪用するマルウェアWin32/Exploit.CVE−2017−0199が依然TOP10入りしている」と、昨年の脅威動向について解説。「同レポートでは、ユーザーを誘導して不正なコードを実行させるソーシャルエンジニアリング手法であるClickFixとその亜種の攻撃手法を解説し、その機能や特徴を比較考察している。さらに、React Server Componentsのデシリアライズ処理に起因する重大な脆弱性であるCVE−2025−55182(React2Shell)の概要、影響範囲、技術詳細、メカニズム、組織が取るべき対策についても解説している」と、ClickFixとReact2Shellの悪用など新たな脅威にフォーカスを当てていると強調した。
「これらの脅威への対策としては、『人』と『システム』両面での対策が必要になると考えている。当社では、『人』の対策として、新社会人向けのチェックシートを作成。『インターネット・ソフトウェアの利用』、『メール・チャットツールの利用』、『データ・端末の取り扱い』、『生成AIツールの利用』の4項目のチェックリストでセキュリティリテラシーの確認を促している」とのこと。「『システム』の対策では、今年度末頃にサプライチェーン強化のために『セキュリティ対策評価制度(SCS評価制度)』を運用開始する予定。そして、4月24日からは同制度に対応した『セキュリティ対策診断サービス』の提供を開始する。この他に、『ASMサービス』『脆弱性情報提供サービス』『ペネトレーションテストサービス』など、攻撃対象領域や脆弱性を特定し、攻撃者に侵入されづらい環境を作るサービスも用意している」と、ゴールデンウィーク前に「人」と「システム」の両面から脅威対策を施すことで、さらに巧妙化するサイバー攻撃から企業を守ってほしいと訴えた。
キヤノンITソリューションズ=https://www.canon-its.co.jp/
