「情報盗難」関連の最新 ニュース・レビュー・解説 記事 まとめ

PromptArmorが「間接プロンプトインジェクション攻撃」の手法を解説
1ポイントフォントの悪意　GoogleのAI開発環境Antigravityにデータ流出の恐れ
PromptArmorは、サイバー攻撃者がGoogleの「Google Antigravity」を悪用し、ユーザーの認証情報や機密コードを盗み出す危険性があると警告している。（2025/12/4）

国内で広がるビジネス被害
アサヒGHD、アスクル、日経――攻撃は「なぜ」起きたのか　教訓も解説
大規模な攻撃が日本企業にとって「対岸の火事」ではないことが、ここ最近の攻撃事例によって分かった。アサヒGHD、アスクル、日本経済新聞社――。各社はなぜ攻撃されたのか。（2025/12/2）

“全パスワードを一括管理”の落とし穴：
「パスワード管理ツール」の安全性を揺るがす6つのリスク、ESETが指摘
1人のユーザーが利用するパスワードが多岐にわたる中、パスワード管理ツールの利用が推奨されることがある。だがESETは、パスワード管理ツール自体が侵害されることがあるとして警鐘を鳴らした。（2025/11/27）

守るべきもの、本当に守れていますか？：
「侵入前提」だけではやられる理由――真因究明、優先順位付けは大丈夫？　アタックサーフェス管理が無駄になるポイント
2025年8月27日、ITmedia Security Week 2025 夏で、人気のポッドキャスト「セキュリティのアレ」を主宰する3人のリサーチャーが、再びアタックサーフェス管理を題材にパネルディスカッションを行った。（2025/11/18）

Oracle AI World 2025：
「4番目のクラウドプロバイダーは本当に必要か」　OCI“懐疑論”に対してOracleの新CEOが示した存在意義
米Oracleの新体制を象徴する「Oracle AI World 2025」が開催された。新共同CEOクレイ・マグワイク氏がOCIの進化と未来を語った。ByteDanceやOpenAIといった先進企業の要求に応える、OCIの設計思想とAI時代への戦略に迫る。（2025/11/17）

パスワードのセキュリティを高める7つの基本【前編】
「パスフレーズ」「パスワードマネジャー」はどう使う？　パスワード管理の基本
企業システムのパスワードを適切に管理するには、IT部門とエンドユーザーである従業員の双方の取り組みが必要だ。パスワードの漏えいを防ぎ、セキュリティを向上させるための基本的な方法を説明する。（2025/11/6）

セキュリティベンダーProofpointが公開：
パスワード変更も意味がない、クラウドを侵害し続ける悪意ある「OAuthアプリ」の実態
Proofpointは、悪意あるOAuthアプリケーションによる永続的クラウド侵害の実態を公開した。パスワード変更やMFA適用後も攻撃者のアクセスは継続し、4日間続いた実例も確認された。（2025/11/5）

小寺信良のIT大作戦：
ChatGPTが“操縦”するWebブラウザの使い心地は？　OpenAI「Atlas」レビュー　革新の裏にはリスクも
米国時間の10月21日に、米OpenAIからAI統合型ブラウザ「ChatGPT Atlas」が発表されると、SNSではすぐにその動作の様子が投稿され、ネットには解説サイトが立ち上がるなど話題だ。ただその一方で、それほど単純な話ではないという意見も聞こえてくる。AI統合型ブラウザがもたらすものと、そのリスクは何か。ChatGPT Atlasにまつわる諸問題を検討してみたい。（2025/10/28）

NordVPN調べ：
セキュリティリスクの実態調査　認知と行動のズレが浮き彫りに
ビジネスパーソン1000人を対象に実施した「ビジネスパーソンの無意識な行動に潜むセキュリティリスクに関する調査」。認知と行動のズレが浮き彫りになった。（2025/10/16）

大阪・関西万博の人気に便乗
「ミャクミャク」検索に仕掛けられるわな　偽サイト誘導でわが社も“加害者”に？
大阪・関西万博の関連グッズを検索する消費者を狙う偽通販サイトが急増中だ。消費者が被害に遭うだけではなく、無関係な企業サイトが乗っ取られ、偽サイトへの誘導に加担させられる場合もある。どう対処すべきか。（2025/10/7）

3つのポイントとは：
ITサポートをかたって従業員をだまし、Salesforceインスタンスのデータを盗み出す「UNC6040」　Googleが予防策を解説
Googleの脅威インテリジェンスグループは、「UNC6040」として追跡している脅威アクターによる、高度なソーシャルエンジニアリング攻撃や認証情報の侵害から組織を守るための予防策を解説する記事を公開した。（2025/10/6）

フィッシングツールをサブスク形式で提供
Microsoftが“お手軽”攻撃ツール「RaccoonO365」のインフラを停止
Microsoftは、サブスクリプション形式のフィッシング攻撃ツール「RaccoonO365」の撲滅に成功したと発表した。その経緯や、RaccoonO365が危険な理由を説明する。（2025/10/1）

ITmedia Security Week 2025 夏：
複雑なIT環境、細部に宿るは悪魔――クラウドを「責任回避の道具」としないセキュリティ対策は
2025年8月27日、ITmedia Security Week 2025 夏で立命館大学 情報理工学部 教授の上原哲太郎氏が「クラウドシフトの落とし穴〜悪魔は細部に宿る〜」と題して講演した。（2025/9/30）

世界を読み解くニュース・サロン：
Googleも「声」にだまされた　25億人分が流出、“電話詐欺型”サイバー攻撃の実態
米Googleがサイバー攻撃で大量のユーザーデータを盗まれた。サイバー犯罪集団が「声」を使った手口で相手をだまし、データベースに不正アクセスした。電話やメールを使った手口は多い。攻撃とその対策について、どの企業も真剣に向き合うことが必要だ。（2025/9/26）

進化する“ランサムウェアエコシステム”に対抗する方法　強い組織を作る3つの勘所
“ランサムウェアエコシステム”の発展が著しい。ランサムウェアの侵入を許さない組織を作るにはどうすればよいのか。専門家は「まず入り口対策の徹底を」と説く。（2025/9/19）

セキュリティニュースアラート：
CrowdStrike関連の多数のnpmパッケージが改ざん被害　攻撃の詳細は？
SocketはCrowdStrike関連の複数のnpmパッケージが改ざんされていたと報告した。「Shai-Halud攻撃」と呼ばれるサプライチェーン攻撃とされている。多数のパッケージが対象となるため注意が必要だ。（2025/9/18）

セキュリティニュースアラート：
世界の金融機関、年間300倍の攻撃にさらされる　KnowBe4が警鐘
KnowBe4は金融業界を対象とした脅威レポートを発表し、AIを利用したフィッシングや認証情報窃取、サプライチェーンの脆弱性など、金融機関が多面的なサイバー脅威にさらされている実態を明らかにしている。（2025/9/8）

半径300メートルのIT：
根絶は不可能？　辻伸弘氏が指摘するインフォスティーラー対策の問題点
証券会社の不正アクセス事案で注目を集めたインフォスティーラー。最近激増しているこのマルウェアですが実は対策が困難です。辻伸弘氏の講演から対策の問題点とやるべきことをまとめました。（2025/9/2）

世界を読み解くニュース・サロン：
日本企業の財産をどう守るのか　スパイ防止の対策と限界
7月の参議院選挙以降、スパイ防止法の議論が話題になっている。日本も防諜機関の活動や法整備によって対策を進めているが、企業の情報が盗まれる事例は多い。スパイ対策を効果的に進めるため、海外の法律なども参考になるだろう。（2025/8/29）

セキュリティニュースアラート：
認証情報を盗まれたら一巻の終わり？　模擬攻撃1.6億件から見えた現実
Picus Securityは1億6000万件以上の攻撃シミュレーションを分析し、企業における防御態勢の深刻な劣化を指摘した。万が一認証情報を盗まれたり、データ窃取が発生したりした場合、リカバリーが非常に困難な実態が分かった。（2025/8/28）

ITmedia Security Week 2025 春：
InfoStealerにクッキーを盗まれるとログイン不要の正規侵入が起こる――「セキュリティのアレ」の3人が明かす、認証認可を狙う新たな手口の現状とは
2025年5月27日、ITmedia Security Week 2025 春で、インターネットイニシアティブ 根岸征史氏、SBテクノロジー 辻伸弘氏、脅威情報分析チーム LETTICEのpiyokango氏がパネルディスカッション「認証認可唯我独尊 第弐章」に登壇した。ポッドキャスト「セキュリティのアレ」でおなじみのメンバーは今回、2024年の「認証認可唯我独尊」の続編に当たる内容で議論を交わした。（2025/8/5）

「日本が重視する内部犯行への備え」は外部脅威への対策にもなる：
PR：今のサイバーセキュリティの本質は「時間のゲーム」――生成AI・エージェンティックAI時代に有効なセキュリティ対策の在り方とは
サイバー脅威が日々高度化し、複雑化する現代において、企業が直面するセキュリティ課題は増大の一途をたどっている。特にAI技術の進化は、攻撃者と防御者の双方に大きな影響を与えている。サイバーセキュリティの最前線で活躍する企業の有識者に、今のセキュリティリスクの本質と課題、生成AI・エージェンティックAI時代における有効なセキュリティ対策の在り方を聞いた。（2025/7/22）

弁護士ドットコム、偽サイトを確認　「個人情報入力しないで」と注意喚起
弁護士ドットコムは17日、偽サイトが確認されたとして利用者に注意喚起した。（2025/7/18）

この頃、セキュリティ界隈で：
大企業に潜り込む工作員、増加中──北朝鮮ITワーカーの手口　採用面接もAIで突破、実績アピールの偽装SNSも
米国人になりすました北朝鮮のIT技術者を米国企業に採用させていたとして、FBIなどが米国内の共謀者を逮捕・起訴した。リモートワーカーとして採用された技術者は、給料を稼ぎながら、勤務先のシステムに不正アクセスして情報を盗み出していたという。（2025/7/10）

PR：相次ぐ証券口座への不正アクセス、企業は他山の石とせよ　「IDが漏れている前提」の対策とは
（2025/6/30）

世界を読み解くニュース・サロン：
その採用、大丈夫？　日本にも広がる「民間企業のスパイ活動」
日本企業の情報が盗まれて海外に渡るケースが増えており、「企業インテリジェンス」が注目されている。世界的な調査会社の日本支社長に取材すると、その活動の一端が見えてきた。企業のビジネスを守るために、どのような対策が必要なのか。（2025/6/13）

企業にとっても人ごとではない：
PR：アカウント乗っ取り被害激増　危機が迫る今こそパスワード管理の最適解を探る
オンライン証券サービスで多発しているユーザーアカウントの乗っ取り被害。この背景にはID／パスワードのずさんな管理、運用がある。サイバー攻撃が高度化する中、個人や企業はこれらの運用をどう再考すればいいのか。（2025/6/11）

最新の脅威とゼロトラストの全貌【第1回】
なぜ今の企業には「ゼロトラスト」が必要なのか　基本から徹底解説
巧妙化、複雑化するサイバー攻撃に対抗するため、「ゼロトラスト」という考え方が注目を集めています。本連載ではゼロトラストの基本からセキュリティおよびビジネスへのメリットなどを紹介します。（2025/7/8）

iPhoneの「マイナンバーカード機能搭載」でできること／できないこと　セキュリティは大丈夫？
6月24日から、iPhoneにマイナンバーカード機能が搭載される。Apple Payと同様に生体認証だけで簡単にマイナンバーカードの機能が使えるようになる。自分で送信する情報を選べるため、「名前確認でカードを手渡したら、住所も見られた」といったことはない。（2025/6/6）

不正アクセス急増の一因との指摘も
証券口座だけじゃない　企業も狙う「インフォスティーラー」の仕組みと対策
2025年に入ってから証券口座への不正アクセスが急増している。認証情報の入手手段として「インフォスティーラー」が注目されている。このマルウェアには、企業のIT部門も警戒すべきだ。（2025/6/2）

AIのプライバシー問題と対処法【前編】
便利だけど危険？　AIの裏側に潜む6大プライバシー侵害リスク
AI技術は業務効率化に貢献し得るが、その裏にはプライバシー侵害リスクが潜む。データ侵害や企業の社会的信頼の喪失、法令違反などに発展しかねない、企業が見過ごせない6つの懸念とは。（2025/5/30）

「楽観的過ぎる」と厳しい視線
サイバー攻撃で顧客情報流出の小売大手　専門家が批判する“見通しの甘さ”
英国の小売大手Marks and Spencer（M&S）はサイバー攻撃を受けて顧客情報が漏えいした問題で、セキュリティ専門家は「対処が不十分」と指摘している。何がだめなのか。（2025/5/30）

身代金交渉の実態も明らかに
ランサムウェア集団LockBitが情報漏えい　データが暴いた“攻撃者の苦労”とは
情報を盗む立場にある攻撃集団「LockBit」が、逆に情報を盗まれる被害に遭った。改ざんされたLockBitのシステムから漏えいした情報は、同集団の攻撃の実態や活動での苦労を物語っている。その内容は。（2025/5/29）

ITmedia Security Week 2025 冬：
流行中の「アタックサーフェスマネジメント」は使いものになるか？　根岸氏、辻氏、piyokango氏鼎談に見る3つの論点
2025年3月4日、ITmedia Security Week 2025 冬で、ポッドキャスト「セキュリティのアレ」でおなじみの根岸征史氏、辻伸弘氏、piyokango氏が登壇。「対象領域は明らかにしないといけないから」と題して、議論を交わした。（2025/5/27）

「パスワードレス認証」が切り札
パスワードはむしろ「危険」？　認証基盤を強化するこつは
従業員の認証情報が流出すれば、重大な攻撃につながる恐れがある。特に人工知能（AI）技術の悪用が広がる中、認証の安全性を高めるには。（2025/5/20）

半径300メートルのIT：
大荒れのサイバー空間　激増するフィッシングに対抗する3つの防御策
フィッシング攻撃が激増しています。対策としては事業者側での多要素認証の導入などが挙がっているものの、これを回避する事例なども話題になっており十分とはいえません。大荒れするサイバー空間で個人ができることはあるのでしょうか。（2025/5/13）

警戒心を緩めた瞬間が危ない
信頼していたWebサイトがまさかの感染源？　「水飲み場型攻撃」の手口とは
警戒すべき危険な攻撃の一つに、水飲み場型攻撃がある。狩りから名付けられたこの手口はどのようなもので、どう対策を打てばいいのか。攻撃事例を交えて解説する。（2025/5/2）

セキュリティニュースアラート：
“偽基地局”による通信傍受や詐欺が深刻化　日本でも本格化の兆し
フィリピンでIMSIキャッチャーを使った通信傍受や詐欺が深刻化し、消費者団体が政府に対策を求めている。装置は小型化して都市部に持ち込まれ、個人情報盗取やマルウェア感染を引き起こしている。この問題は日本にも関係があるという。（2025/5/1）

代表例から賢い選び方まで：
OAuthだけじゃない　現代のAPI開発者が知るべき「5つの基本戦略」（認証方式編）
TechTargetは2025年3月17日、「REST API認証のの基本戦略」に関する記事を公開した。REST API認証に効果の高いアプローチを採用すれば、ユーザーとそのデータを保護しつつ、システム間でのスムーズなデータ交換が可能になる。（2025/4/25）

Mandiantの年次脅威レポートから読み解く
日本でも対策が遅れる「あの侵入経路」が急増――攻撃グループの活動実態
セキュリティベンダーMandiantがまとめた調査レポートによると、脆弱性が侵入経路として広く悪用される傾向に変わりはないが、侵入経路の2番目には前年までとは異なる新たな項目が浮上した。（2025/4/24）

知らない間に個人情報が盗まれる【後編】
このサイト本物？　偽サイトで個人情報を抜き取るファーミングについておさらい
偽のWebサイトに誘導して個人情報を抜き取るのが「ファーミング」だ。ファーミングはいつ、どこで起こるのか。フィッシングとは何が違うのか。（2025/4/17）

知らない間に個人情報が盗まれる【前編】
気付いたら偽のWebサイトで個人情報を入力してた――ファーミングの手口とは
エンドユーザーが気付かない間に個人情報を自ら差し出すように仕向けるのが「ファーミング」だ。その仕組みと手法を紹介する。（2025/4/16）

セキュリティソリューション：
Okta、AIエージェントなどの非人間アイデンティティーを保護する新機能を発表
Oktaは、Okta PlatformにAIエージェントやAPIキー、サービスアカウントなど、非人間アイデンティティーのセキュリティを強化するための新機能を提供する。（2025/4/11）

“活動が困難”になるまで追い詰め
数十億ドルを動かしたロシアのマネロン組織を摘発　国際捜査の成果とは
英国をはじめ各国の法執行機関が、ロシア系のマネーロンダリングネットワークを摘発した。ネットワークが“活動継続は困難”だと判断するまでに至った、捜査の成果とは。（2025/4/8）

M4搭載「Mac mini」はウソのように小さい偏愛系パソコン　モバイル環境でのポテンシャルを探る
フルモデルチェンジとなったM4搭載Mac miniは、小型PCとしてさまざまな活用法が広がった。林信行氏がアレコレ試したところ……。（2025/4/1）

この頃、セキュリティ界隈で：
その「私はロボットではありません」は本物？　マルウェア感染狙う“偽CAPTCHA”出現　米Microsoftが注意喚起
「私はロボットではありません」の画面に偽装してユーザーのクリックを誘い、Windowsをマルウェアに感染させようとする手口が横行しているという。（2025/3/26）

スキミングに遭わないために【後編】
あの決済方法は「クレカ情報流出」が起きやすい？　安全な方法は
カード情報を盗難する「スキミング」を回避するには、カードリーダーに仕掛けられたデバイスを見抜く以外にも、さまざまな対策が可能だ。スキミングから身を守る効果的な方法と、被害に遭った際の対処法を紹介する。（2025/3/22）

記録的な“身代金支払い額”の謎【後編】
「サイバー攻撃開示」の義務化がむしろ“逆効果”なのはなぜ？
大規模なランサムウェア攻撃が相次ぐ中、米国はサイバー攻撃の事後報告に関する規則を施行した。だがこの規則が、企業に身代金支払いを促す原因になるという指摘がある。なぜ逆効果をもたらし得るのか。（2025/3/12）

セキュリティによくある5つの誤解【第4回】
「盗まれるデータはない」と思い込む企業は“あれ”を見落としていないか？
データを盗難や流出から守る対策は全ての組織にとって不可欠だ。しかし残念ながら、自社データのリスクを正しく判断できていない組織がある。その誤解をどう改めればいいのか。（2025/3/12）

実は危ない？　無料の充電ステーション
スマホを充電しただけなのに──マルウェア感染を招く「ジュースジャッキング」とは
公共の場所にある充電ステーションを使うと、スマートフォンがマルウェアに感染する恐れがある。こうした攻撃「ジュースジャッキング」を避ける方法はあるのか。（2025/3/5）