A.脆弱性が見つかっても、修正する手段がなくなります。

A.あります。利用者を焦らせ、操作を誘導するために使われます。

A. 悪意ある動作そのものよりも、「配布と解析を難しくする作り」に特徴があります。

年末年始の長期休暇は、サイバー攻撃が特に増える時期です。 理由はシンプルで、企業側の隙が生まれやすいから。 担当者が不在になりやすい 監視・対応が手薄になる 「休み明け」を狙った攻撃が成功しやすい 実際の調査では、調査対象企業の半数以上が、年末年始にセキュリティ被害を経験していることが分かっています。 これは中小企業にとっても、決して他人事ではありません。 年末年始のセキュリティ被害、実際どれくらい起きている？ セキュリティ評価プラットフォーム「Assured」の調査によると、51.4% の企業が、過去3年間の年末年始にセキュリティ被害を経験していることが分かっています。 被害内容の上位は ランサムウェア（身代金要求型ウイルス） 標的型攻撃（特定企業を狙う不正アクセス） DDoS攻撃（Webサイトやサービス停止） （参照 : 年末年始のセキュリティ被害、大手企業の半数以上が経験。取引先起因の被害にも要注意 ） さらに注目すべきは、 約半数が「取引先が原因」の被害を経験している点です。 「うちは大丈夫」が危ない。取引先経由のサイバー被害 同調査では

「費用対効果って、どれくらいあるの？」 ITツールやDXの話になると、よく聞くキーワードですよね。 たとえば・・・ 業務効率化ツールを入れて人件費が減った ペーパーレス化でコストも手間も削減できた など ただ、セキュリティ対策の話となると事情が少し変わります。 というのも、セキュリティ対策は「入れたら売上が増える」タイプの投資とは考えられにくいのです。 導入したことでどんな良い変化があったのか 本当に必要なのか 効果はどれくらいなのか こういった部分が、セキュリティ対策では可視化されづらいとされ、「お金もかかるし、今は困ってないから…」と、後回しにされるケースもあると聞きます。 中小企業の33％は「セキュリティに一切投資していない」 実際に、IPA（情報処理推進機構）の調査では、中小企業の33％が「セキュリティに全く投資していない」 と回答しています。 特に100名以下の小規模企業では、この割合はさらに高まります。 直近過去3基の情報セキュリティ投資額 そして、セキュリティへ投資をしない理由の多くは「費用対効果」への疑問です。...

皆さんは、日々セキュリティパッチをあてていますでしょうか。 私たちが手洗いうがいを心掛けなければウイルスに感染しやすくなるように、セキュリティの世界でもパッチを当てていないシステムは攻撃を受けやすくなってしまいます。 パッチとは、ソフトウェアやシステムの不具合や脆弱性を修正するために提供される更新プログラムのことで、配布されたセキュリティパッチを速やかに適用することは、基本でありながら非常に重要な対策です。 「パッチ？何それ？」という方も、 「通知は出てるけど後回しにしてしまう…」という方も、ぜひ一度ご一読ください。 パッチ（Patch）とは？ あらためてパッチについて説明すると、パッチとはソフトウェアの欠陥を修正するための更新プログラム のことです。 不具合（バグ）や、セキュリティの弱点（脆弱性）、動作の改善、新しい機能の追加など、 こうした問題を直したり改善したりする「修正ファイル」のことをパッチと呼びます。 そんなパッチですが、実は「対策の必要性を感じたことがない」という方も多く、IPAの調査では、企業規模が小さいほどパッチを適用していない

2025年10月30日(木)、31日(金)に東京・大田区のコングレスクエア羽田／PiO PARKで開催された 「第15回おおた研究・開発フェア」 に、当社は出展いたしました。 大田区内外の企業や研究機関が集まり、最先端の技術・製品を紹介する本フェアは、産学公連携の促進や新たなビジネス創出の場として多くの方が来場されました。 ♦ セキュリティサービス 「CSJ プロテクティブDNS」 をご紹介しました 当社ブースでは、中小企業向けのセキュリティサービス 「CSJ プロテクティブDNS」 をご紹介しました。 「DNS通信を監視し、マルウェアやフィッシングを防ぐ効果的なセキュリティ対策」として、 ネットワーク設定の簡単な変更のみで導入可能 機器の設置や大きなコスト負担が不要 危険なサイトとの通信を自動で検知・ブロック といった特徴を持つソリューションです。 ♦ プレゼンテーションも実施しました 今回のフェアでは、当社の田上と渡邉が5分間のプレゼンテーションを行いました。 内容は、「中小企業におけるランサムウェア被害の現状」と、それを防ぐための手段とし

京都市左京区の私立・東山中学・高校は2025年10月、身代金要求型ウイルス「ランサムウェア」によるサイバー攻撃を受けたと発表した。 20日朝、教職員用端末が起動できず、ネットワーク接続も不能となったため調査を行ったところ、サーバー内に脅迫文書が発見され、感染が判明したという。 学校は即座にネットワークを遮断し、京都府警に通報した。 「学校がなぜ攻撃の標的に？」「学校はお金儲けとは無縁」と思われがちだが、実は教育機関もまた、サイバー攻撃の標的となっている。 実際、警察庁の統計によれば、2022年~2024年に報告された国内のサイバー攻撃被害522件のうち、「教育・学習支援業」は全体の8％を占めている。 製造業や小売業と比べると被害の割合は少なく見えるが、教育機関は社会基盤としての重要度が高く、一度被害に遭えば影響範囲は非常に大きい。 1. 教育機関が狙われる3つの理由 （1）価値の高い個人情報 学校のシステムには、生徒や保護者の氏名、住所、成績、健康情報など、極めて機密性の高い個人データが蓄積されている。 これらの情報は闇市場（ダークウェブ）で高値

1. Xで話題になった“rnicrosoft.com” 先日、X（旧Twitter）上である投稿が話題になった。 それが「 rnicrosoft.com 」というドメインを使ったフィッシングメールである。 　　▲ 海外の掲示板サイト「 Reddit 」の投稿から参照 ぱっと見では「microsoft.com」に見えるが、実際には「r」と「n」を並べて「m」に見せかけた、非常に巧妙な偽ドメインだ。ネット上では「老眼の人を狙い撃ちした攻撃だ」と揶揄する声もあったが、実際には「rnicrosoft.com」のような例は氷山の一角にすぎず、注意が必要である。 2. ホモグラフ攻撃とは――見た目そっくりな文字で誘導する罠 こうした攻撃は「ホモグラフ攻撃（Homograph Attack）」と呼ばれる。 URLのホスト名に、正規のサイトとほとんど見分けがつかない文字を使用して偽装し、ユーザーを偽サイトに誘導して情報を盗み取る手法だ。 本来、ホスト名（ドメイン名）に使用できる文字は、ASCIIコード内のアルファベット・数字（A–Z、0–9）、ハイフン（-）、ド

パスワード作成のルールといえば何でしょう？ 「英字・数字・記号を混ぜる」「定期的に変更する」を思い浮かべる方も、多いのではないでしょうか。 しかし、こうした「常識」も、セキュリティの進化と共に変わりつつあるようです... 今回話題になったのが、米国の国立標準技術研究所（NIST）が2025年10月に発表した、パスワードに関する新しいガイドライン。 この発表によると、これまでパスワードの「常識」とされていた「英字・数字・記号を混ぜる」「定期的に変更する」といったルールが、明確に見直されたのです。 1．「複雑なパスワード＝安全」か？ 今回の見直しにあたり、根底にあるのは『「複雑なパスワード＝安全」という考え方が誤りである』という指摘です。 これまで推奨されてきた、英数字や記号を混ぜる形でパスワードを作ろうとすると、かえって利用者にとって覚えやすいパターン（例：「Password1!」「Tokyo2024!」など）を作りがちになり、かえって攻撃者に推測されやすいことが問題となっていました。 また、90日ごとなどの定期的なパスワード変更も推奨されてきまし

1. 基本的なセキュリティ対策 見せる広がり セキュリティ対策、されていますか？ 近年、多くの中小企業でも、セキュリティへの意識は着実に高まっています。 実際、IPA（情報処理推進機構）が2025年5月に公表した「中小企業の情報セキュリティ対策に関する実態調査」では、73％の企業が「パソコンやサーバーのOSを最新の状態に保っている」、71％が「ウイルス対策ソフトを導入し、定義ファイルを常に更新している」と回答しています。 こうした基本的対策が広がる一方、これはあくまで“第一段階の防御”。 多くの企業にとって、次のステップ――ウイルス対策やバックアップ、不審メール対策などの多層防御や、社員教育、取引先との連携などは、まだ課題が残る部分も多いのではないでしょうか。 2. 「アップデートしているのに狙われる」──見落とされがちな“踏み台リスク” そんな今日、サプライチェーンが狙われています。 サプライチェーンとは、原材料の調達から製造、流通、販売までの一連の流れに関わる、関連企業や取引先のネットワーク全体のこと。 現代のビジネスでは、顧客や取引先、協力

近年、国内の企業や自治体を狙ったサイバー攻撃の報道が絶えない。 ランサムウェアによる業務停止、情報流出による信用の失墜──。 被害の規模や件数は年々拡大傾向にあり、もはや「いつ、誰が狙われてもおかしくない」状況にある。 サイバー攻撃のイメージは人によってさまざまだが、多くの人が、重々しくフードをかぶったハッカーが暗い部屋で複数のモニターを操作し、0や1の数字やコードを駆使して、難解な技術で攻撃を仕掛けている──、そんな光景を想像したりするだろう。 しかし、実際の攻撃の多くは高度な技術によるものではなく、 むしろ、人の不注意や慢心に起因する「 入り口の隙 」から始まるケースが多い。 警察庁が公表した「 令和6年におけるサイバー空間をめぐる脅威の情勢等について 」によると、 情報漏えい事故やランサムウェア感染の主要因は、 VPN機器などの脆弱性、リモートデスクトップ、そして不審メールや添付ファイルの開封 だという。 つまり攻撃の多くは、更新を怠ったVPN機器の放置、リモート接続の設定不備、そしてフィッシングメールを不用意に開く――そうした人の注意不足

1. 「ランサムウェア」とは？ ニュースでもよく耳にする「 ランサムウェア攻撃 」。 ランサムウェアとは、感染した端末やサーバー内のデータを暗号化し、復号のために「身代金（Ransom）」を要求するサイバー攻撃です。近年では、単にデータを人質に取るだけでなく、情報を盗み出して「公開する」と脅す二重恐喝型も増加しています。 IPA（情報処理推進機構）の調査では、ランサムウェアは2016年から10年連続で「情報セキュリティ10大脅威」の第1位。 大企業が被害に遭うイメージが強いですが、実は 被害の約4割が中小企業 となっています。 　　　　　　　　　　　　　　（参照：2024年7月〜2025年6月、JSNA調査） 大企業よりもセキュリティ対策が手薄になりがちな中小企業が、攻撃者にとって“入りやすい標的”となっているのです。 警察庁によると、2024年から2025年にかけて、中小企業でのランサムウェア被害は前年比約4割増で、サプライチェーンの一角を狙う「踏み台型攻撃」や、機器の脆弱性を突く侵入が多発しています。 2. 実際のランサムウェア被害...

1. サポート終了はいつ？ Windows10は、Microsoft社が開発・提供するオペレーティングシステム (OS)で、パソコンやタブレットなどで動作し、Windows7やWindows8.1の後継として2015年にリリースされました。そんなWindows10の登場から早10年、サポートが 2025年10月14日（火） をもって終了します。 2. サポートが終了するとどうなる？ サポートが終了すると、セキュリティの更新も行われなくなるため、以下のようなリスクが出てきます。 新しいウイルスや攻撃手法への防御ができなくなる 個人情報や取引先データの漏えいリスクが高まる 銀行・クラウドサービスなど一部の業務アプリが動作しなくなる可能性 社内や取引先から「セキュリティ対策が不十分」と見なされる危険 3. 今のうちに検討すべき対策 「そんなこと言っても、まだ使えるし…」と思っている方も、Windows11への更新をすぐに検討しましょう。目まぐるしく変化するセキュリティの世界では、更新が何より大切です。中には、従来使用していたPCが新しいOSに対応してお

2025年9月24日、学校法人宮城学院は、5月16日に公表したランサムウェア感染について続報を発表しました。 同学院によると、最大で約3万人分の個人情報が漏えいした可能性があるとのことです。 攻撃の原因は、外部攻撃者によるアカウント情報の窃取であり、それをきっかけに学内ネットワークへ侵入され、ランサムウェアの実行と個人情報の漏えいにつながったとしています。 ■ 何が起きたのか？ 漏えいを確認した情報：9名分（卒業生・修了生） 氏名、学籍番号、学部、電話番号、メールアドレス、住所、出身校 漏えいの可能性がある情報：約3万人分（重複含む） 対象期間：1995年度～2025年度に在籍・在職していた学生、生徒、園児、教職員など 学生・生徒・園児情報：氏名、住所、電話番号、メールアドレス、学籍情報等 教職員情報：氏名、住所、電話番号、生年月日などの人事関連情報 その他：業務関連文書、サーババックアップファイル等 ■ 調査の経緯 2025年5月12日：大学教務システムサーバのダウンを確認 2025年5月16日：ランサムウェア感染を公表 2025年5月～9月：

2025年9月19日、スターバックス コーヒー ジャパンは、従業員や退職者の個人情報約3万1500人分が漏えいしたと発表しました。 原因は、同社が利用しているパナソニック コネクト傘下の米Blue Yonder社が提供するシフト作成ツール「Work Force Management」に対するサイバー攻撃です。 ■ 何が起きたのか？ 漏えい人数：約3万1500人分の従業員・退職者情報 漏えい内容：ID、漢字氏名（読み仮名なし）、一部で生年月日・契約開始日・職位（各約50人分） 漏えいしていない情報：住所、電話番号、メールアドレス、給与、銀行口座情報、マイナンバー、顧客情報 攻撃の発覚は2024年12月にさかのぼります。Blue Yonderがハッカー集団からのサイバー攻撃を受け、2025年5月29日にスターバックスへ報告。 その後の調査過程で当初は110人分とされていましたが、最終的に3万1500人規模の漏えいであったことが判明しました。 ■ 調査の経緯 2024年12月：Blue Yonderがサイバー攻撃を受ける 2025年5月29日：スターバ

2025年7月11日、毎日新聞社が運営するニュースサイト「毎日新聞デジタル」で、第三者による不正ログインの試みが確認されました。短期間で約2万件のIDが使われたこの攻撃は、外部で流出したIDとパスワードの組み合わせを悪用する「パスワードリスト攻撃」の疑いがあります。 ■ 何が起きたのか？ 攻撃期間：2025年7月8日～10日の3日間 試行件数：約2万件のログイン試行が確認 実害：一部のアカウントに対して不正ログインが成功 原因：他サイト等で流出したID・パスワードを利用したと見られる なお、被害対象の個人情報ページ（住所や支払い情報など）へのアクセスは確認されておらず、現時点での個人情報流出の可能性は低いと発表されています。 クレジットカード情報は別システムで管理されており、影響はありません。 ■ 「パスワードリスト攻撃」とは？ パスワードリスト攻撃とは、他のWebサービス等で流出したID・パスワードを使い回して、別のサービスにログインを試みる攻撃手法です。 今回も、毎日新聞デジタルのシステム自体からIDやパスワードが流出した形跡はなく、外部から

「セキュリティは大事なのは分かってる。でも実際に手を打てていない…」 そんな企業が、実はかなり多いという調査結果が出ています。 ◆ 実態：「十分なセキュリティ投資ができている」企業は2割だけ レバテック株式会社が実施した最新調査によると、企業のセキュリティ対策について、 「十分にできている」と答えた経営層はわずか20.5％。 つまり、約8割は“まだ不十分”と感じているという結果に。 特に従業員1,000人未満の中小企業では、この傾向がより顕著でした。 ◆ 着手のきっかけは「他社の被害を見て焦ったから」 セキュリティ対策に本格的に取り組み始めた理由を聞くと、 「他社がサイバー攻撃を受けたのを見て」：63.8％ 「社内から問題提起があった」：38.4％ 「外部から脆弱性を指摘された」：28.5％ このように、“きっかけがないと動かない”企業が大半でした。 特にコロナ禍以降（2020年〜）に対策を始めた企業も多く、 「リモート環境になって初めて危機感を持った」ケースも目立っています。 (画像はレバテック株式会社の公式HPより) ◆ 投資額には“企業規模

2025年7月、帝国データバンク宇都宮支店が実施した調査で、栃木県内企業の4割近く（38.6%）がサイバー攻撃を経験していることが明らかになりました。 これまで“大企業の話”と思われていたサイバー攻撃が、今や中小企業にも日常的に及んでいるという事実が浮き彫りになっています。 ◆ 中小企業も狙われている現実 調査によると、サイバー攻撃を受けた割合は、 大企業：50.0％ 中小企業：36.6％ 中小企業の3社に1社以上が実際に攻撃を受けている計算です。 帝国データバンクの担当者は「すでに攻撃は中小企業でも日常レベルに起きており、リスクは急速に高まっている」と警鐘を鳴らしています。 ◆ 特に狙われている業種は？ 攻撃被害が多かった業種は以下の通り： 建設業：54.8％（最も多い） 製造業：36.4％ 小売業：35.3％ 運輸・倉庫業：33.3％ 建設業が突出して高い背景には、業界全体のデジタル化の加速や、似たような仕組みが多いサプライチェーン構造が狙われやすさにつながっていると分析されています。 ◆中小企業が“今すぐ”意識すべきこと 「うちは大丈夫」と

企業のパソコンやシステムがロックされ、「身代金を払え」と脅されるランサムウェア攻撃。そんなトラブルが起きたとき、あなたの会社には対応マニュアルがありますか？ 実は、日本企業の6割以上が“準備していない”という驚きの調査結果が、ガートナーから発表されました。 ◆ 「対応マニュアルがある」企業はたったの36.5％ ガートナーが実施した国内調査によると、「感染時の対応をマニュアル化している」と答えた企業は全体の36.5％にとどまりました。 つまり、10社中6〜7社はマニュアルすらないということです。 さらに、 外部の専門家と相談できる体制がある → 34.0％ 公的機関への届け出体制がある → 31.8％ セキュリティ製品ベンダーへのサポート体制 → 27.5％ といった「何かあったときの連絡先」すら用意していない会社が、半数以上存在していることが分かりました。 ◆ 「身代金を払うかどうか」も、決めていない企業が多数 もっと深刻なのは、「お金を払うかどうか」の方針が決まっていない企業が半数近くあること。 「払わない方針だが、ルールにはしていない」→ 3