【特集】セキュリティリーダー8名に聞く、2025年に得られた「教訓」　来年注目の脅威・技術動向は？

2025年末特別インタビュー：「サイバーセキュリティ（Security Online）」編

2025/12/26 10:00

通知

ランサムウェア攻撃を取り巻く「経済」に新たな動き、もう無関心では許されない（SBテクノロジー辻伸弘氏）

2025年の振り返り、2026年の展望

　2025年に私が最も時間を費やしたのは、ランサム攻撃者のリサーチでした。2020年頃からリークサイト（交渉不成立時に被害者情報を暴露するサイト）や攻撃者の動向を継続して追ってきましたが、そこには変わるものと変わらないものがあります。まず変わらない点として、特定の業種が不動の一位として狙われ続けるという構図は存在しないこと。集計をすれば一位の業種は出ますが、多くの場合二位との差は僅かで、三位以下も団子状態です。攻撃者の目的が金銭である以上、「誰から取っても一億円は一億円」であり、どの業種でも標的になり得るという現実があります。「うちは狙われるほど価値がない」といった声はいまだ耳にしますが、それは単に無関心であるだけで、無関係ではいられない状況が続いていることを理解していただきたいと思います。

SBテクノロジー株式会社
プリンシパルセキュリティリサーチャー
辻伸弘氏
大阪府出身。SI企業にてセキュリティ技術者として、セキュリティ製品の構築や、情報システムの弱点を洗い出し修正方法を助言するペネトレーションテスト（侵入テスト）業務に従事。民間企業や官公庁問わず多くの診断実績を持つ。
2014年にSBテクノロジーに転職し、診断事業に携わりながら情報を対外発信するエヴァンジェリストとして活動。現在は、セキュリティリサーチャーとして国内外のサイバーセキュリティに関わる動向を調査・分析し、脅威情報の発信を行う。その他、イベントや勉強会での講演、テレビ・新聞などメディアへの出演、記事や書籍の執筆など、セキュリティに関する情報を発信し、普及・啓発活動に取り組む。

　一方で大きく変化しているのは、ランサム攻撃を取り巻く“経済”の発展です。従来の RaaS（Ransomware-as-a-Service）は、ランサムウェア及び脅迫プラットフォームの提供者と実行犯であるアフィリエイトの分業が基本でした。しかし近年はさらに細分化が進み、私が特に注目しているのは IAB（Initial Access Broker）と呼ばれる“侵入経路の売人”の存在です。脆弱性や弱い認証、マルウェア感染やフィッシングなどで得た認証情報を販売し収益を得る彼らの台頭は、これまで一気通貫のスキルがなければ参入できなかったランサムウェアを取り巻く経済に、より低スキルの攻撃者まで参加できるようになったことを表しています。結果、攻撃者の裾野が広がり、私たちが晒されるリスクも増大しています。

　残念ながら、この状況は2026年も続くでしょう。煽るつもりはありませんが、これが現実です。だからこそ私は、来年も得た情報を様々な経路で皆さんに伝え続けたいと思っています。完璧ではなくとも最善を尽くし、2026年も共に考え、行動していきましょう。

二要素認証の常識が崩れた、2026年は「脱パスワード」の進展に期待（イー・ガーディアングループ徳丸浩氏）

2025年の振り返り、2026年の展望

　2025年のセキュリティのトピックといえば、多くの方がランサムウェア被害や、生成AI関連のテーマを思い浮かべると思いますが、私は、被害の深刻さや国民に与える影響から、オンライン証券の被害について注目しています。これは、攻撃者が事前に安値で仕込んだ株式を、不正ログインした被害者の口座を利用して高値で買い取らせ利益を得るという、デジタル版の相場操縦とも言うべき手口ですが、ルーツは意外に古く、2006年に米国での被害が確認されていて、Hack, Pump And Dumpという語呂合わせのような名称がついています。

　特筆すべきは、国内での数千億円におよぶ被害金額と、不正アクセスの多くがフィッシングに起因している点です。特に、正規のサイトと利用者の間に攻撃者が介在し、認証情報をリアルタイムで窃取・悪用する「リアルタイム中継型フィッシング」の手口が広く確認されました。これにより、従来、二要素認証さえ設定しておけば大丈夫という「セキュリティの常識」が崩れることになった一年でした。とはいえ、フィッシングはIPAが毎年発表している情報セキュリティ10大脅威でも2019年から7年連続してランクインしており、その脅威が深刻な形で表面化したと言えます。

イー・ガーディアングループ CISO
EGセキュアソリューションズ株式会社取締役CTO
徳丸浩氏
1985年京セラ株式会社に入社後、ソフトウェアの開発、企画に従事。1999年に携帯電話向け認証課金基盤の方式設計を担当したことをきっかけにWebアプリケーションのセキュリティに興味を持つ。2004年同分野を事業化。2008年独立してWebアプリケーションセキュリティを専門分野とするHASHコンサルティング株式会社（現EGセキュアソリューションズ株式会社）を設立。2023年にイー・ガーディアングループのCISOに就任。

　2026年に向けては、深刻化するフィッシングへの抜本的な対策が重要な課題です。金融庁は既に2025年7月に、「金融商品取引業者等向けの総合的な監督指針」等の一部改正（案）を公開して、証券会社に『フィッシングに耐性のある多要素認証（例：パスキーによる認証、PKI（公開鍵基盤）をベースとした認証）の実装及び必須化（デフォルトとして設定）』という内容を盛り込みました。現在広く用いられているSMS等によるワンタイムパスワードは、フィッシングの耐性がなく改善が必要であることを、証券業界のみならず、国内に広く認識させた点が重要だと考えています。

　これを受けて、証券会社各社はパスキーの実装計画を次々に発表していますが、証券業界にとどまらず、広くパスキーの普及の兆しが現れています。2026年は、サービス事業者がパスキー導入を加速させ、長年の懸案だった「脱パスワード」が本格的に進むことを期待しています。オンライン証券での被害は大きな代償を伴うものでしたが、日本全体の認証の強化のきっかけとなってくれればと考えています。