相次ぐ証券口座への不正アクセス、企業は他山の石とせよ 「IDが漏れている前提」の対策とは

PR／ITmedia

PR

　証券口座が乗っ取られ、株式を勝手に売買されるなどの被害が2025年に入って相次いでいる。金融庁によると同年1月から5月末までの不正取引件数は5958件、不正な売買金額は5240億円に上っている。多くの人が「自分の資産が危険にさらされている」という危機感を抱いているだろう。

　この問題を「対策が甘い個人が被害に遭っただけ」として片付けるのは望ましくない。今回のインシデントには、企業のITシステムにおけるセキュリティ対策を考える上で重要なポイントが隠れている。「IDが漏えいしているという前提で対策をしなければならないという示唆を含んでいます」――こう強調するのは、ソフトバンクでセキュリティ領域のマーケティング・営業推進チームをリードする澤入俊和氏だ。

　情報システム担当者は、今回のインシデントからどのような教訓を得られるのか。澤入氏と、ITmedia NEWS編集部でセキュリティ領域を担当している編集記者の吉川大貴による対談から導き出す。

左から、ソフトバンクの澤入俊和氏（AIプラットフォーム開発本部 セキュリティ事業第1統括部 セキュリティデザイン推進部 プロモーション企画課 課長）と、ITmedia NEWS編集部の吉川大貴

※以下、敬称略。

不正アクセス被害の裏に「あるマルウェア」　企業システムへの厄介な影響とは

ITmedia NEWS編集部の吉川

吉川　証券口座を巡るインシデントの報道を見て、自分の財布に手を突っ込まれているような不安を抱いた人も多いでしょう。「金融業界の企業はセキュリティ対策を徹底していると思っていたのに違ったのか」という声が上がっていますが、澤入さんのご意見はいかがでしょうか。

澤入　企業も事態を注視しており、金融、そして非金融業界の企業の情報システム担当者からも「どのような対策が必要か」という相談が寄せられることが増えました。今回のインシデントは、証券会社のサービスに脆弱（ぜいじゃく）性や対策の穴があったわけではないと考えています。課題は、アカウント情報の漏えいを想定して多要素認証（MFA）の仕組みなどを実装していたものの、有効にするかどうかの判断をユーザーに委ねていたために利用が浸透しなかった点です。

吉川　多要素認証の不便さと安全性が対立するというのはよくある話ですね。一方で、セキュリティ対策に気を配っていた利用者も被害に遭っているようです。こうした不正アクセスの手口と対策を教えてください。

澤入　最近は、ワンタイムパスワードなどを盗むことにより多要素認証を突破する、「リアルタイムフィッシング」と呼ばれる手口も増えています。単に多要素認証を有効にするだけでなく、耐性がより高い端末認証や生体認証、FIDO（パスキー）を利用することが重要です。また、フィッシングの起点となるメールやSMSからWebサイトやサービスにアクセスするのではなく、公式アプリやブックマークを利用する方法も効果的です。

吉川　今日からすぐに取り組める対策ですね。

澤入　これらの手口の他に、今回の被害拡大を招いたと言われている存在があります。情報窃取に特化したマルウェア「Infostealer」（インフォスティーラー）です。端末がInfostealerに感染すると、Webブラウザで保存されている情報が盗まれ、このような情報が闇市場で売買されることが不正アクセスの温床となっています。

吉川　Infostealerが盗むのはアカウント情報だけではないから厄介ですよね。Webブラウザに保存されている認証情報やCookieなどの情報を収集して外部に送信してしまいます。

澤入　そこがInfostealerの怖いところです。「認証情報を覚える必要がなく楽だから」と言って仕事用アカウントとプライベート用アカウントでWebブラウザの設定を同期している従業員がいる場合、プライベート端末の感染から業務用アカウント情報が漏れてしまう可能性があります。そこから証券口座など個人向けサービスだけでなく、企業システムへの侵入にもつながってしまう場合もあるのです。

「私物PCは利用不可」というルールが守られない　どう対策する？

吉川　仕事とプライベートの境界が曖昧になっているため、何らかの対策が必要ですね。

澤入　個人ができる対策はさきほどの通り「適切な多要素認証を設定する」など基本を徹底することです。

吉川　企業としてはどのような対策が可能でしょうか。「私物端末で業務用アカウントにログインしない」というルールを設けていても、必ず守られるとは限りません。こうした課題に悩んでいる情報システム担当者は多いと思います。

ソフトバンクの澤入氏

澤入　私物端末の利用は一種の「シャドーIT」と言えます。リテラシーを向上させるための従業員教育と、仕組みとしての「CASB」（Cloud Access Security Broker）や「MDM」（Mobile Device Management）などを活用したシャドーIT対策を両立させて全方位的に対策する必要があります。また、認証情報の漏えいなど攻撃者優位となったサイバー攻撃への対応として、「XDR」（Extended Detection and Response）という分野のセキュリティソリューションも有効です。

吉川　XDRは、エンドポイントセキュリティを実現する「EDR」（Endpoint Detection and Response）が発展したものですね。エンドポイントに加えてネットワークやクラウドサービス、認証基盤などの情報やログを取り込んで横断的に分析することで、IT環境全体を監視したりインシデントに対応したりできるソリューションとしてさまざまな製品が登場しています。

澤入　アカウント情報の漏えいによる不正アクセスに限らず、サイバー攻撃対策を考える上で核となるソリューションです。サイバー攻撃の対策、対処において重要なのは、脅威がどこから侵入し、どのような経過をたどって重要なデータにたどり着くのかという全体像の把握です。それを実現するのがXDRというわけです。

吉川　今回のようなアカウント情報の漏えいを起点とするサイバー攻撃において、どのように役立つのでしょうか。

澤入　アカウント情報が漏えいした場合、攻撃者がまず使うのはアカウント権限がそれほど高くない一般職レベルのアカウントです。それを起点にして、権限昇格や他の端末やサーバに移動するラテラルムーブメントなどのアクションを起こしてデータ窃取などの目的を達成します。XDRは、認証システムやネットワーク機器など企業のIT環境全体を監視して、こうした不審な挙動を検知・対処することで攻撃者が最終目的を達する前に封じ込められます。

「宝の持ち腐れ」にしないために　企業が押さえるべきポイントは

吉川　とはいえ、「取りあえずXDRを導入すれば大丈夫」とはなりませんよね。高機能であるが故に使いこなせないという事態は避けたいというのが情報システム担当者の本音でしょう。効果的な使い方はあるのでしょうか。

澤入　ご指摘の通り、ただ導入しただけでは宝の持ち腐れになってしまいます。これまでのセキュリティ対策を踏まえることが肝心です。大企業であれば既に「SASE」（Secure Access Service Edge）やID管理ソリューションなどを使っているかもしれません。それらをバラバラに運用するのではなく、既存の対策と親和性が高いXDRを活用することで横断的な対策を一元的に管理して効率化できます。

　そこまで大規模な投資ができていない中堅・中小企業は、いますぐXDRを導入すべきとは限りません。まずはEDRでエンドポイントを守ることから始めるなど、手持ちのIT資産の保護を段階的に高度化させながら統合していく方法がお勧めです。

XDRで解決できる課題（提供：ソフトバンク）

吉川　XDRの運用は複雑で大変そうですね。

澤入　自社内で運用担当者や専門チームを用意するか、われわれソフトバンクのようなベンダーにアウトソースする「マネージドセキュリティサービス」（MSS）を利用するか、これらを併用するパターンもあります。

いずれにしてもアラートを確認し、何かあれば早期に封じ込める体制を整えておくことが重要です。

　どの製品を導入するかによっても運用時の負担が変わります。検知能力や管理画面の見やすさ、他のセキュリティ対策製品との連携などを考慮することが必要です。最近はAI技術を生かしてXDRの運用を効率化、高度化する製品も登場しています。

吉川　現場として注意すべき点について理解できました。しかし「守りの投資」に前向きになれない経営層が一定数いるかもしれません。説得するいい方法はあるのでしょうか。

澤入　いますぐXDRを導入することが正解とは限りません。目についた製品を場当たり的に導入するのではなく、IT戦略や投資計画と整合性を取った上で進めることがポイントです。

　例えば、「Microsoft 365」を契約していて「Microsoft Entra ID」で認証基盤を構築している企業であれば、サードパーティーのXDR製品を導入するよりもMicrosoftのソリューションを選んだ方が運用の一貫性を保てるため効果的です。Palo Alto Networksのネットワークセキュリティ製品を使っている環境であれば、その延長でXDRを構築するのがよいでしょう。セキュリティだけでなく、ITプラットフォームとの連携を図ることで投資効果をより高められます。

XDRサービスの例（XDR powered by Palo Alto Networks CORTEX）（提供：ソフトバンク）

吉川　XDRを含むセキュリティ対策に関する相談に対して、ソフトバンクはどのように応えているのでしょうか。

澤入　当社はCybereason、Microsoft、Palo Alto Networksといった複数のラインアップを用意し、お客さまのIT投資戦略に合った製品を提案できることが強みです。XDRについても複数社の製品を取りそろえています。MSSやレポーティング支援など運用までサポート可能です。DXやAI活用のお手伝いもできますので、IT戦略全体で相乗効果を出せます。

吉川　「製品を売って終わり」ではなく、顧客のIT戦略を踏まえながら導入から運用まで支援できるということですね。セキュリティ製品が高度化し続ける中で、心強いサポートと言えそうですね。

---

　今回のインシデントを「対岸の火事」と見るか、「他山の石」として自社のセキュリティ対策を見つめ直すかが明日のビジネスを左右するかもしれない。セキュリティ対策を熟考するタイミングと捉えるのが良さそうだ。