投稿者「APSC」のアーカイブ

2025.07.14 「自律型AIボット」が標的型攻撃に悪用?企業に迫る“無限ハッカー”の脅威とは

投稿日時: 投稿者:
返信

ここ最近、セキュリティ業界をざわつかせているのが「AIエージェント型マルウェア」の登場です。

セキュリティ企業のSquareX社が発表したレポートによると、ChromeやEdgeなどのブラウザ拡張機能に紛れて、悪意あるAIボットがユーザーの操作を真似たり、勝手に通信を開始したりと、従来のマルウェアでは考えられない「自律行動」が確認されたとのことです。

このAIは、人間のように「目的に応じて柔軟に動く」ことができ、メールから機密情報を抜き出したり、内部の業務ツールを操作したりと、従来のスクリプト型攻撃の枠を超えています。

■ 経営者が注目すべきポイント
1. パターンに頼った防御は無力に
AIエージェント型の攻撃は、既知のウイルス定義ファイルでは検出が困難。人間のように動くため、”ルールベース”の対策だけでは不十分です。
2. 「クリックしない」だけでは防げない
攻撃者はAIに業務メールやチャットを分析させ、「自然な」やりとりで侵入を図ってきます。社員の一瞬の油断が命取りになる時代です。
3. 中小企業も狙われる理由
防御が甘い企業ほど、AI攻撃の“練習台”として狙われやすい傾向にあります。大企業だけの問題と思ってはいけません。

■ では、どう備えるか?

今後ますます進化するAI型サイバー攻撃に対しては、「多層防御」かつ「人の判断力」を高めることがカギになります。
• 次世代型UTM(統合脅威管理)の導入
AI行動に近い異常通信やパターンを検知することが可能です。CheckPoint製のUTMは、特にゼロデイ攻撃にも強い製品として知られています。
• セキュリティ研修の強化
「AIが自動で騙してくる」ことを社員に理解させ、怪しい挙動を“感覚的”に察知できるようにすることが、今後の重要な対策です。

AIが便利になればなるほど、その裏で悪用も進化していきます。
「自社は関係ない」と思っている企業こそ、今一度、自社の守りを見直すタイミングかもしれません。
ご不明な点がありましたら、いつでもお気軽にお問い合わせください。

では今日もセキュアな一日を!

2025.07.02 今年6月発生の不正アクセス!中小企業の実例に学ぶ

投稿日時: 投稿者:
返信

【実録】中小企業を狙った不正アクセス被害―6月に発生した国内事例から学ぶ

2025年6月、ある国内の中小企業が、不正アクセスによる被害を受けたことがニュースで報じられました。被害に遭ったのは、東京都内で建設関連業を営む従業員30名ほどの企業。攻撃の発端は、社員が業務用に利用していたクラウドストレージのIDとパスワードが流出していたことでした。

 

◾️パスワード使い回しが原因に

この企業では、複数の社員が同じパスワードを様々な業務ツールで使い回していたことが発覚しています。攻撃者はダークウェブ上に流出していた情報を元に、クラウドサービスに不正ログイン。顧客情報や見積データが大量にダウンロードされていたとのことです。

また、この攻撃は“ブルートフォース攻撃”ではなく、“クレデンシャルスタッフィング”と呼ばれる手法が使われたと見られています。これは、過去に漏洩したID・パスワードの組み合わせを自動で試してログインを狙う手口で、特に中小企業に多い「パスワード管理の甘さ」が狙われやすいポイントです。

◾️中小企業こそ「入口対策」を

このような事件は「大企業だけの話」ではなく、むしろセキュリティ対策が不十分になりがちな中小企業こそ狙われやすい傾向にあります。

社員全体の「ITリテラシー」や「パスワード管理意識」を高めることも不可欠です。当社でも実施しているIT研修や不正メール訓練などを通じて、地に足の着いた対策を始めましょう。

また、UTM(統合脅威管理)などの導入で「ネットワークの入口対策」を強化することが、被害防止に効果的です。

最後にひとこと

情報漏洩は、取引先の信用を一瞬で失うことにもつながります。明日はあなたの会社が狙われるかもしれません。パスワードの見直し、そしてセキュリティ教育の導入から、今すぐ始めましょう!

最新の対策や診断をご希望の方は、ぜひ一度ご相談ください。

では、今日もセキュアな1日を!

2025.07.01 無料で始める!中小企業の情報セキュリティ対策5選

投稿日時: 投稿者:
返信

「無料から始める!中小企業の情報セキュリティ対策5選」
〜まずは“やれること”から、被害を防ぐ第一歩〜

中小企業の経営者の皆さん、「うちは狙われるほどの情報はないから大丈夫」と思っいませんか?
実はその“油断”こそが、サイバー攻撃の標的になる最大の理由の一つです。

最近のサイバー攻撃は、大企業だけでなく、セキュリティ対策が手薄な中小企業を狙傾向が強まっています。とはいえ、対策にコストをかけられないという声もよく聞きます。そこで今回は、無料または低コストでできる中小企業向け情報セキュリティ対策を5つご紹介します。

【1】パスワードの強化と管理の徹底

安易なパスワード(例:123456、password)は絶対NGです。
英数字・記号を組み合わせた12文字以上の強固なパスワードを推奨します。無料で使えるパスワード管理ツール(例:BitwardenやKeePass)を導入すれば、運用の手間も大幅に軽減できます。

【2】Windowsやソフトの自動アップデートをONにする

脆弱性(ぜいじゃくせい=ソフトの穴)を突かれることが多いため、常に最新の状態に保つことが重要です。特にOSやブラウザ、Microsoft Officeなどは自動更新を有効にしておきましょう。

【3】無料のウイルス対策ソフトを使う

Windowsには「Microsoft Defender」というウイルス対策機能が標準搭載されています。基本的な防御はこれでも十分。ただし、不安な場合は無料のセキュリティソフト(例:Avast、AVG)を併用するのも選択肢です。

【4】怪しいメールを開かない教育

従業員が不審なメールを開かない・添付をクリックしない・返信しないようにするだけでも、攻撃の多くは防げます。月1回の簡単な社内周知や、不正メール訓練サービスの活用が効果的です。

【5】「USBメモリ禁止」などのルール整備

情報漏洩の原因は人が引き起こすケースが多く、社内ルールの整備は超重要です。特に、私物のUSBや私用PCの使用制限をルール化しておくだけでリスクは大幅に軽減されます。

これらの対策は、すぐにでも実施できるものばかりです。大がかりなシステム導入よりも、まずは「やれることをやる」ことが被害を防ぐ一番の近道です。

そして、少し慣れてきたら、UTM(統合脅威管理)機器の導入や、メール訓練・セキュリティ研修なども視野に入れてみてください。当社では中小企業向けに、低コスト・高効果の導入支援も行っています。

「明日はあなたの身に起こるかもしれません。お気をつけください!」
ご不明な点があれば、いつでもお気軽にご相談ください。

では今日もセキュアな1日を!

2025.06.19 埼玉県警察と連携〜大宮で勉強会を実施!

投稿日時: 投稿者:
返信

2025年6月19日(木)、大宮駅近くのホテルにて、埼玉県警察サイバー対策課の方にご協力いただき、中小企業の経営者向け無料勉強会を開催いたしました。
ご参加頂いた方は10名ほどと小規模開催となりましたが、みなさんとてもご満足いただき、大盛況でした!
埼玉県警察さんからは、フィッシング詐欺、サポート詐欺、ランサムウェア攻撃の3点についてかなり深掘りをして解説をしていただきましたが、衝撃だったのはフィッシング詐欺による10代・20代の若者の被害が急増しているのだそうです!1件あたりの被害額は数万円程度と小さいものの件数の増え方が尋常じゃないらしく、他人事ではないと改めて感じました。
また、埼玉県内でのランサムウェア被害も今年度に入りすでに2桁に達しているそうで、8000万円を搾取さらた事案もあるそうです!
地方だから、会社の規模が小さいから、個人情報の取り扱いが無いから、もうそんなことを言っている場合ではなく、あらゆる規模のあらゆる業種がターゲットとなりうるのだそうですので、どうかみなさんお気をつけください。

さて次回以降のスケジュールは下記の通りですので、ご期待ください!

7月23日(水)愛知県警察とのコラボセミナー(合同会社社長のミカタ様主催)
8月19日(水)秋田県警察とのコラボセミナー(仮)
8月20日(木)警視庁とのコラボオンラインセミナー(クアドラ大学様主催)
9月19日(金)京都府警察とのコラボセミナー(クアドラ大学様主催)
10月9日(木)兵庫県警察とのコラボセミナー(仮)

2025.06.23 スパムかも?メールヘッダー解析!

投稿日時: 投稿者:
返信

皆さんのメール受信箱に、一度は「なんか怪しいな…」と感じるメールが届いた経験はありませんか?

今回ご紹介するのは、弊社代表宛に届いた「PayPayカード」を装った不審メールの解析結果です。メールのヘッダー情報をもとに、スパムである可能性が非常に高い理由をわかりやすく解説します。

まず、ヘッダー情報とは、メールの「履歴書」のようなもので、「誰が、いつ、どこを通って、誰に送ったか」といった技術的な情報が記録されています。普段は目にしませんが、迷惑メールの判別やトラブルの原因調査には欠かせない情報です。

今回のメールでは、複数の「危険信号」が見つかりました。最初のポイントは、スパム判定の明確な証拠です。メールのヘッダーには「X-Spam-Score: 300」「X-Spam-Status: spam:medium」と記載されており、スパム判定用のシステムがこのメールを明確に「危険」と判断しています。通常のメールではスパムスコアは5〜10程度なので、300という数値は異常と言えます。

また「X-Vade-Spamcause」という不可解な文字列も付与されており、これは専門的なスパム対策ツールによる自動分析結果で、スパムとして扱われた証拠です。

次に注目すべきは「spf=softfail」という記録です。SPF(Sender Policy Framework)は、メール送信元が正当かどうかをチェックする仕組みですが、このメールでは送信元ドメインと送信者のIPアドレスが一致しておらず、「正規のメールとは断定できない」と判定されていました。PayPayカードのような大手企業が、このような不正確な認証状態でメールを送ることはまずありません。

さらに、Return-Path(エラー時の返信先)に設定されていたアドレスが「ef@savew.net」で、PayPayカードとは無関係なドメインでした。これは偽装の典型的なパターンです。スパムメールはしばしば、こうした怪しいドメインを使って送信されます。

極めつけは、使用されていたメールクライアントが「Microsoft Outlook Express 6」という、もはやサポートも終了した非常に古いソフトだったことです。最新の金融機関がこのようなソフトを使っているとは考えにくく、スパム業者が古い環境を悪用して送信していることを示唆しています。

以上の点から、このメールは複数の角度から明確に「スパム」と判断できます。

皆さんも、似たようなメールを受け取った際は、本文の内容だけでなく、こうしたヘッダー情報を確認する習慣を持つことをおすすめします。特に、有名企業や金融機関を装ったメールには要注意です。リンクのクリックや添付ファイルの開封は絶対に避け、安全な通信環境を守る意識を持ちましょう。

次回は、こうしたヘッダー情報を誰でも簡単に確認・分析する方法をご紹介します。お楽しみに!

2025.05.02 中部支部発足!

投稿日時: 投稿者:
返信

この度、愛知県名古屋市を拠点として、中部支部を発足することになりました!
今年1月に名古屋市内で行いました、愛知県警察様との合同勉強会にご参加くださった西川さんという方が、なんと京都府警察様との合同勉強会、警視庁様との合同勉強会にもそれぞれご参加くださいまして、ぜひ何かお手伝いをさせて欲しい!と熱烈にご要望いただきましたので、せっかくならと言う事で中部支部を発足し、支部長をお願いする事にしました。
愛知県、岐阜県、三重県、静岡県あたりは、中部支部管轄になろうかと思います。今後各県警様との連携した活動にも繋げていければと考えていますのでご期待ください!

2025.04.24 警視庁と連携〜東京都文京区で勉強会を実施!

投稿日時: 投稿者:
返信

2025年4月24日(木)、東京都文京区の文京シビックセンターにて、警視庁サイバーセキュリティ対策本部の方と一緒に、サイバー攻撃の現状と対策についての勉強会を開催いたしました。
約60名もの方々にご参加頂きまして、皆様とてもご満足くださいまして、大変有意義な勉強会となりました。

前半の第一部では、警視庁サイバーセキュリティ対策本部の方より、サイバー攻撃の最新動向やさまざまな手口などに関する情報提供をして頂きまして、第二部では、当会代表理事の野呂より、具体的なセキュリティ対策についての解説や、パスワード強化の具体策、Webのセキュリティ状態の簡単な確認方法などをご紹介しました。


「とても勉強になった」
「他人事ではないことがよくわかった」
「こういった機会を増やして欲しい」
「次回も開催されるときはぜひ参加したい」
「聞く側が参加するところもあり最後まで楽しめました」

当日のアンケートでは、このような有り難いお声を多数頂戴いたしました。

ご来場くださった方々、御許力頂きました警視庁サイバーセキュリティ対策本部の皆様へ、この場をお借りしてお礼申し上げます。本当にありがとうございました。

また直前で来られなくなってしまった方も10名ほどいらっしゃいましたので、また年内には第2回目を開催したいと考えております。さらに内容をブラッシュアップしまして、皆様にとって有益な情報を提供してまいりますので、今後ともどうぞ宜しくお願い致します。

2025.04.22 ★APSCメルマガ_0002 AIディープフェイクの脅威!

投稿日時: 投稿者:
返信

皆さんこんにちは!
ずいぶん暖かくなってきましたね。少しずつ夏が近づいてきている雰囲気を感じますが、皆様いかがお過ごしでしょうか?

パスワードはランダムな12桁以上にしましたか?

AIを悪用したディープフェイクの脅威!
偽物に騙された!英国大手企業アラップの事件とは?

今回は、「AIがもたらす最新の脅威」についてご紹介します。
オーストラリアの有名な建築物「オペラハウス」を作った、あの世界的な大企業でさえ被害に遭った、まさに今知っておくべき事件です。

 

事件の概要

2024年、イギリスに本社を置く世界的エンジニアリング企業「アラップ(Arup)」が、AIによる“ディープフェイク”ビデオ会議を通じて、詐欺被害に遭いました。

犯人は、アラップのCFO(最高財務責任者)になりすました偽の人物を使って、香港の現地社員とビデオ会議を実施。なんとその映像は、「AIが生成した”本物そっくりの偽者”」*だったのです。

声も顔も、話し方もまるで本人そのもの。

疑うことなく、社員は指示通りに数千万香港ドル(数億円相当)を送金してしまいました。

 

ディープフェイクとは?

ディープフェイクとは、「ディープラーニング(深層学習)」と「フェイク(偽物)」を組み合わせた言葉で、AIが人間の顔、声、表情、話し方などを本物そっくりに再現する技術のことです。

最近では、SNSやYouTubeなどで「芸能人の偽インタビュー動画」が話題になることもありますが、それと同じ技術がビジネス現場に悪用され始めているのです。

 

なぜこの手口が成功したのか?

この事件が成立した要因は、以下のような複数の巧妙な仕掛けによるものでした。

・事前に社内情報を盗み、会話内容を自然に演出
・複数人の“偽社員”がビデオ会議に登場し、リアルな会議を再現
・メールやチャットでも整合性のあるやり取りを演出
・「緊急対応」として即断即決を迫る心理的プレッシャー

つまり、単に“顔が似ている”というだけではなく、周到に準備された詐欺だったといことです。

 

大企業だけの話ではない

この事件を聞いて「ウチは中小企業だから関係ない」と思っていませんか?

実際、中小企業はサイバー攻撃のターゲットにされやすい傾向があります。

その理由は明白です。

・セキュリティ対策が甘く、突破しやすい
・経営者との距離が近く、社長を装った指示が通りやすい
・情報セキュリティ教育が未実施、または一度きりで終わっている

AIを悪用した攻撃は、規模や業種を問いません。

誰でも、どんな会社でも、狙われる可能性があるのです。

 

今すぐできる具体的な対策

では、私たちは何をすればよいのでしょうか?

以下はコストをかけずに今すぐ始められる基本的な対策です。

「本当に本人か?」の多重確認を徹底
→ 重要な送金指示やデータ提出は、メール+電話+別ルート確認をセットで行う。

「違和感」に敏感になる
→ 普段の話し方と少し違う、声が機械的、表情がぎこちない…などに気づく力を養う。

社員全体でセキュリティ意識を共有
→ 定期的な情報セキュリティ研修で、自分ごととして捉える習慣づくり。

 

最後に

AIはビジネスを飛躍させる可能性も持っていますが、その反面、使い方ひとつで凶器にもなり得ることを忘れてはいけません。

そして、このアラップの事件は私たちにこう問いかけています。

「あなたは、本当に“見えているもの”を信じて大丈夫ですか?」

これからの時代、技術を信じることと、盲信することは違います。

身を守るのは、システムよりも“疑う力”と“確認する習慣”です。

 

当会では、”疑う力”を養う訓練の一環として、フィッシング・標的型攻撃メール訓練サービス「Mail Fort Insight」をリリースいたします。
訓練だけでは終わらず、訓練後のアンケート、結果分析レポート、改善コンサルまで含めた「本気」のメール訓練サービスで、10通無料トライアルもご用意しています。
ご興味のあるかたは、下記までお問い合わせください。

お問い合わせ
office@apsc.jp

2025.3.25 ★APSCメルマガ_0001 「RaaS」とは?

投稿日時: 投稿者:
返信

ようやく小春日よりっぽくなってきた今日この頃ですが、皆様いかがお過ごしでしょうか?
パスワードは強固なものに変えましたか?

さて、ようやく当会のメルマガが配信可能になりました〜!
当会はまだまだ配信先も少なく、あまりお金をかけるのも・・と悩んでいましたが、いつまでも考えていてもしょーがない!ってことで、自力で!無料で!どうにかここまで辿り着きました!
もし表示がおかしい、名前がおかしいなど、不具合がありましたら何卒ご容赦くださいませ。。。

ということで・・・

記念すべきメルマガ第1回目は、最近耳にする「RaaS」について、わかりやすく解説しようと思います!

「RaaS」と検索すると
1、Retall as a Service(小売業のサービス化)
2、Robotics as a Service(ロボットのサービス化)
3、Ransomware as a Service(ランサムウェアのサービス化)
などが出てきますが、もちろん3のRansomware as a Serviceのお話しです。

RaaSって、一体なに?
RaaSは、「ランサムウェア」というコンピュータウイルスを、「サービス」として提供する仕組みのことです。
ランサムウェア:コンピュータやスマホのデータを勝手に暗号化して使えなくしたり、個人情報や会社の秘密情報を盗んだりする、悪いプログラムのこと。
サービス:本来は自分で行うことを、お金を払って他人にやってもらうこと。
つまり、RaaSは「ウイルス攻撃のプロ」が作ったランサムウェアを、「攻撃したい人」が簡単に利用できるサービスなんです。

RaaSの登場で、何が変わったの?
RaaSが登場する前は、高度な知識や技術を持った一部の悪い人しか、ランサムウェア攻撃はできませんでした。でも、RaaSのおかげで、
悪いプログラムを作る知識がなくても、
攻撃する技術がなくても、
誰でも簡単にサイバー攻撃ができるようになっちゃったんです。
これは、まるで「悪の武器」が、誰でも使えるようにレンタルできるようになったようなもの。

RaaSの仕組み
RaaSの仕組みは、悪の分業制です。
ランサムウェア開発者:悪いプログラムを作るプロ。
アフィリエイター:悪いプログラムを使って攻撃する人。
開発者は、作ったランサムウェアをアフィリエイターに貸し出して、アフィリエイターは、それを悪用して企業や個人を攻撃します。そして、身代金の一部を開発者に支払います。

RaaSの危険性
RaaSのせいで、近年ランサムウェア攻撃が急増しています。
企業の機密情報が盗まれたり、
病院のシステムがダウンして患者さんの命に関わったり、
個人情報が流出して、悪用されたり、
様々な被害が出ています。

RaaSから身を守るために
RaaSによる被害を防ぐためには、私たち一人一人がセキュリティ意識を高めることが大切です。
怪しいメールやウェブサイトは開かない。
セキュリティソフトを常に最新の状態にしておく。
大事なデータはバックアップを取っておく。
これらの対策をしっかり行うことで、RaaSによる被害を最小限に抑えることができます。

いかがですか?
なるべく平易な言葉で、堅苦しくなくしてみました。
被害に合わないように気をつけましょう!

 

2025.3.18 京都府警察と連携〜合同勉強会を実施!

アサイド

返信


3月18日(火)14時より、京都経済センターにて中小企業向けサイバーセキュリティ無料勉強会を行いました。

今回は、京都府警察サイバー対策本部との合同開催で行いました。
京都府警察からは、京都府内でのサイバー攻撃の件数や事例のご紹介や、パソコンを2台並べて片方からもう一台へハッキングをしてランサムウェアに感染させるデモなどがありました。
当会からは代表理事の野呂より、具体的なセキュリティ対策についての解説や、パスワード強化の具体策、Webのセキュリティ状態の簡単な確認方法などをご紹介しました。

ご来場社からは、「とても勉強になった」「知らない情報がたくさんあった」「次回も参加したい」などの前向きなご意見が大多数で、とても有意義でした。