- share :
「サイバー攻撃は大企業を標的としたものであり、自社には関係ない」
あなたは、このような過信はないでしょうか。あるいは「従来のパスワード管理を徹底すれば十分だ」と安易に考えてはいないでしょうか。
2025年に発生した甚大なデータ漏洩事件は、こうした楽観的な認識を根底から覆す事態となりました。経営層が主導すべきセキュリティ戦略は今や組織の存続に直結する課題です。
本記事では、デジタルトランスフォーメーション(DX)を安全に進めるための実践的な防衛策を提示します。
【本記事の要点】
- 2025年発生の甚大なデータ漏洩が示すWEB上の新たな脅威の把握
- インフォスティーラーによる「生きた認証情報」窃取の実態解明
- ゼロトラスト概念とパスワードレス認証による現実的な防御体制の構築
2025年データ漏洩事件の全貌:インフォスティーラー型マルウェアの脅威
2025年は、大規模なデータ漏洩が多発し、サイバーセキュリティ業界に大きな衝撃を与えた年といえます。独立した30のデータセットから集計された160億件超のログイン情報が流出した事実は、デジタル社会の脆弱性を浮き彫りにしました(参考:Cybernews)。2025年前後に世界規模で発生したこれら一連のデータ漏洩群は、企業が直面する脅威が新たな局面に入ったことを示唆しています。
事件の時系列と被害状況
一連のデータ漏洩群は、2024年末から国内の大手ネット証券で発生した不正売買被害を皮切りに顕在化しました。これら国内の事案については、インフォスティーラーが関与した可能性が複数の専門家から指摘されています。
金融庁の集計では、第一四半期(1-3月)の被害額暫定値が4月公表後、5月時点で1-4月累計約3,000億円超(売却約1,612億円・買付約1,437億円)と精査により更新され、当初見積もりを上回りました(参考:FSA reports about ¥300B in illicit online trading from January to April/the japan times)。
被害の深刻化については、潜伏型マルウェアによる長期的侵入も一因と推測されます。こうした一連の事件は、2025年5月に報じられた著名投資家のアカウント乗っ取りにより、さらに社会的な注目を集める結果となったのです。
サイバーセキュリティメディアのCybernewsが2025年初頭からWEB上のデータ群(データセット)を監視した結果、数週間ごとに新たな大規模データが公開されている実態が判明しました(参考:16 billion passwords exposed in record-breaking data breach: what does it mean for you?/cybernews)。これは、感染した端末から情報を自動で抜き出す「インフォスティーラー」により、窃取された膨大な認証情報が攻撃者の手で集計・リスト化された結果に他なりません。
攻撃者はこれら組織化されたリストを悪用し、正規ユーザーになりすまして企業システムへの不正アクセスを執拗に試行していました。2025年6月には複数の専門メディアがこの事態を報じ、過去最大級の認証情報漏洩としてその深刻な実態が明るみに出たのです。
ZDNET Japan等による事後分析によれば、160億件という流出規模は単一のインシデントではなく、30件の独立したデータセットを集積した結果であることが改めて裏付けられました(参考:160億件のパスワード流出報道を読み解く–冷静な視点で見るデータ漏えいの実態/ZDNET Japan)。これは、Cybernewsの速報が示した「データの重複や分散」という事実を、企業経営の観点から「組織的かつ継続的な情報の集積」として解析した結果に他なりません。
漏洩情報には過去のデータの再録が含まれる一方、インフォスティーラーによって現在進行形で窃取されている最新の認証情報が大量に混在している点は見過ごせないでしょう。攻撃者が新旧の情報を組み合わせ、不正アクセスの試行精度を向上させている現状が、これら専門機関の解析を通じてより鮮明になったのです。
インフォスティーラー型マルウェアとは
今回の事件の主な発生源となっているのが、「インフォスティーラー型マルウェア」です。これは、ユーザーのシステムに密かに侵入し、データを自動的に収集して攻撃者のコントロールサーバーに送信するように設計された悪質なソフトウェアを指しています。ブラウザに保存されているログイン情報、Cookie、セッショントークン、さらには多要素認証(MFA)の情報を盗み出す能力が特徴です。
KELAによる推計報告によれば、2024年のみで430万台の機器がインフォスティーラーに感染しました(参考:KELA/The State of Cybercrime 2025 Report)。攻撃者は、認証画面(CAPTCHAページ)に偽装するなど、巧妙な手口でユーザーにマルウェアのインストールを誘発することもあります。
攻撃の巧妙化と影響範囲
インフォスティーラーマルウェアによるデータ漏洩事件で特筆すべきは、その攻撃手法の巧妙化と自動化です。盗まれた認証情報は工業的規模で悪用されており、ボットが何千ものサイトで何十億もの認証情報を試行し続けることで、被害が拡大しています。
現在、悪性ボットはWEBおよびAPI(Application Programming Interface)トラフィックの10%前後を占めると推計され、クレデンシャルスタッフィング(盗んだ認証情報を他のサイトで試す攻撃)やアカウント乗っ取り(ATO:Account Takeover)が主な攻撃の流れとなっています。
この攻撃の深刻な点は、従来型の多要素認証構成ではその脆弱性を突かれる恐れがあることです。たとえ多要素認証を導入していたとしても、攻撃者はログインページを標的としたMFA疲労攻撃(大量の認証要求を送りつけることでユーザーを疲れさせ、誤って承認させる手口)を仕掛けたり、SMS認証などの脆弱なフォールバック手段を悪用したり、行動データを収集して次の攻撃の精度を高めたりします。
影響を受けたプラットフォームは多岐にわたりました。
- Apple
- Telegram
- GitHub
- VPNサービス
- 開発者プラットフォーム
- 電子市場
- 政府機関のポータル
こうした状況は、企業におけるデータ漏洩の平均損失額を押し上げる要因となっています。米IBMが発表した2024年の調査報告によれば、データ漏洩1件あたりの世界平均損失額は約488万ドル(約7.3億円)に達し、前年比で10%増加しました。これは16の国と地域、17の業種にわたる604組織の平均値であり、大規模なインシデントが数値を牽引している側面は否定できません。
しかし、従業員500人以下の小規模組織においても平均約331万ドルの損失が発生しており、中小企業にとっても決して看過できない脅威であると断じざるを得ません。
- アカウントの乗っ取り
- なりすまし詐欺
- 個人情報窃盗
- 金銭的被害
- 信用の失墜
- ランサムウェア攻撃
- ビジネスメール詐欺
- デジタルサプライチェーン攻撃
など、中小企業においても、その被害リスクはかつてないほど高まっていると認識すべきです。
執筆者
株式会社MU 代表取締役社長
山田 元樹
社名である「MU」の由来は、「Minority(少数)」+「United(団結)」という意味。企業のDX推進・支援を過去のエンジニア経験を活かし、エンジニア + 経営視点で行う。DX推進の観点も含め上場企業をはじめ多数実績を持つ。