ナダブ・アヴィタル | タレスの脅威リサーチ担当シニアディレクター
More About This Author >
ナダブ・アヴィタル | タレスの脅威リサーチ担当シニアディレクター
More About This Author >
2025年は、企業のセキュリティに対する考え方が試される年となりました。ある攻撃は予想外の新たな手法で行われ、別の攻撃は従来の手口をさらに高度化して仕掛けられました。精密に狙いを定めた攻撃もあれば、大雑把で破壊的な攻撃もありました。
攻撃者がシステムの仕組みを技術的な深層レベルで悪用したケースもあれば、企業が最も多忙で、注目を集めていたり、脆弱になっていたりするタイミングを狙ったケースもありました。あらゆる業界の企業がその影響を受けました。即座に被害が表面化した例もあれば、かなり後になってから影響が明らかになった例もあります。
こうした一連の出来事が浮き彫りにしたのは、不都合な現実です。すなわち、私たちが依存しているシステムには、想像以上に多くの脆弱性が存在しているということです。
古い手口が新たに復活
9月、Impervaのリサーチチームは、古いパターンが再び姿を現すのを確認しました。古いセキュリティの穴が依然として大きく開いているのに、攻撃者が新たな穴を探す必要などあるでしょうか。長期間にわたって流出している個人データ、通信事業者の脆弱な本人確認、そしてGoogle Payのごく小さな仕様の穴を悪用して、攻撃者は無害なCAPTCHAボックスを、クレジットカードの下4桁を特定し、標的型SIMスワップ攻撃を成立させる手段へと変えてしまいました。単純なiframeが、誰かの本人情報へと直結する抜け道になってしまったのです。
さらに厄介なのは、こうした漏えいデータがあまりにも日常化してしまっていることです。イスラエルのような地域では、氏名や国民ID番号は事実上公開情報のように扱われ、Telegramの薬物販売ボットから街中の配送ネットワークに至るまで、あらゆる場所に出回っています。こうした地下ネットワークは、古い漏えいデータを利用して購入者の本人確認を行い、警察を排除します。その同じ情報によって、攻撃者は通信事業者に対してほとんど労力をかけずに他人になりすますことができます。
その結果、本人確認の唯一の実質的な障壁はカードの下4桁だけになります。しかし、それを突破するのはあまりにも容易でした。私たちの調査はこの脅威を封じ込める一助となりましたが、銀行、通信事業者、オンラインサービスが今後も下4桁を本人確認の根拠として扱い続ける限り、それは砂上の楼閣に等しいと言えます。過去の漏えい情報が次の攻撃の引き金になるのを防ぐ唯一の方法は、より強力な本人確認を行うことです。
サーバーを乗っ取る違法賭博組織
今年の初め、当社のリサーチチームは、別タイプのステルス性の高い侵害を特定しました。今回は、インドネシアのPHPベースのWebアプリケーションが標的となりました。攻撃者は、既存のWebシェルを悪用して、ファイアウォールやNAT(ネットワークアドレス変換)をすり抜けるネットワークツール「GSocket」をインストールしました。
インストールされると、サーバーは知らぬ間に違法な賭博事業を支える秘密ネットワークの一部となってしまいます。この攻撃は、即座に目立った妨害を行うものではありませんでした。その代わり、長期的な制御と持続的なアクセスを静かに確立していたのです。
ここで得られる教訓は、継続的な監査の重要性を軽視してはならないということです。古いスクリプト、放置されたプラグイン、見落とされたバックドアは、トラフィックが正常に見えていても、すべて企業への足掛かりとなり得ます。
売りに出されるTelegramアカウント
予想どおり、サプライチェーンやサードパーティ製ソフトウェアは、再び新たな問題を引き起こしました。PyPI上で、Telegram Desktopのセッションデータを盗み取るために設計された悪意のあるパッケージをImpervaのリサーチチームは発見しました。たった1つのデータフォルダが盗まれるだけで、攻撃者はユーザーのアカウントに完全アクセスできてしまう可能性があります。
これらのセッションデータが闇市場で取引され、盗まれた認証情報が商品として売買されている事例も確認されました。企業にとっての教訓は、サプライチェーンへの依存に伴うリスクを決して過小評価してはならないということです。
このインシデントは、セキュリティが自社のインフラだけに関わるものではなく、信頼するパートナー、コード、ライブラリにまで拡張する必要があることを痛感させました。依存関係の精査と不審な活動の継続的な監視は、後付けの対策ではなく、標準的な慣行であるべきです。
セキュリティより速く進化するAI
一方で、AIを活用した開発プラットフォームの台頭により、見過ごされがちにもかかわらず影響の規模が甚大な脆弱性が露呈しました。自然言語プロンプトからアプリケーションを作成できるプラットフォーム「Base44」には、認証、セッション処理、プレミアム機能の適用に関する脆弱性がありました。悪意のある攻撃者はこれらの欠陥を悪用してアカウントを乗っ取り、機密データにアクセスすることが可能でした。
同様のパターンが、現在のエージェント型AIワークフローでも見られます。ある人気のMCPサーバーで公開された脆弱性は、AI主導の自律環境における安全でない実装選択が、リモートコード実行を含む重大なリスクを招きかねないことを浮き彫りにしました。この事例では、エージェント間の通信や実行フローに関する不十分な設計と保護措置が、大規模に悪用可能な攻撃経路を生み出しました。つまり、セキュリティが設計段階から組み込まれていない場合、エージェントベースのシステムは攻撃対象領域を大幅に拡大し得るということです。
これらのインシデントが示す教訓は一貫しています。新しい技術は、それを保護するために設計されたセキュリティ対策の進化をしばしば上回ってしまうということです。ローコードのAIプラットフォームであれ、MCPサーバーを介してオーケストレーションされるエージェント型ワークフローであれ、ユーザーフレンドリーな抽象化は、脆弱な基盤となる制御を覆い隠してしまうことがあります。新しいAIツールを導入する組織にとって、セキュリティは後付けではなく、アーキテクチャ、ワークフロー、アイデンティティ管理に組み込まれる形で、最初から対処されなければなりません。
成立しなかったハンドシェイク
ネットワークレベルの脅威も勢いを緩めることはありませんでした。Impervaのリサーチチームは、QUICおよびHTTP/3トラフィックで広く使用されているLSQUICに、ハンドシェイク前のメモリ枯渇によるサービス拒否(DoS)の脆弱性があることを発見し、これを「QUIC-LEAK」と名付けました。攻撃者は、正規の接続を確立する必要すらなく、サーバーをクラッシュさせることが可能になります。
この欠陥は、複数のパケットが解析されメモリに割り当てられる仕組みに潜んでいました。LiteSpeed搭載サーバーを運用している企業は、迅速にパッチを適用しない限り、突然のサービス停止に見舞われる可能性がありました。これは、パフォーマンス重視のイノベーションには、しばしば隠れた運用リスクが伴うことを示しています。
ここで最善の防御策は、インフラを監視して異常なパターンを検知し、可能な限り迅速に更新することです。
1420万という数字が物語る、計画の重要性
最後に、当社のリサーチチームは、予測可能なビジネスイベントにタイミングを合わせた大規模攻撃を確認しました。あるトルコの高級小売業者は、秋の新作コレクションのリリース時に、1秒あたり1420万件という驚異的なリクエスト数に達する過去最大規模のDDoS攻撃を受けました。
この攻撃はトラフィックのピーク時と重なり、システムとオペレーションへの負荷を大幅に増大させました。攻撃者が目立つ形で業務を妨害することを狙っていたのは明らかであり、同社は販売を継続するためにリアルタイムの緩和策に頼らざるを得ませんでした。これらのインシデントは、攻撃者がシステムだけでなく、ビジネスカレンダーも考慮していることを示しています。
重要なイベントを守るには、事前の準備、リアルタイムのインテリジェンス、負荷に応じてスケールできるレジリエントなインフラが必要です。
不都合な真実
これらすべての調査結果には共通性があります。脅威は防御策よりも速いペースで進化しており、あらゆる手口を駆使し、技術的な複雑さとビジネス上の洞察を巧みに組み合わせています。攻撃には、水面下で密かに活動する巧妙なものもあれば、目立つタイミングで攻撃を仕掛けようとする大胆なものもあります。
企業が脅威の進化スピードについていくためには、深い技術的理解と状況認識の両方が必要です。受け身でいる余裕はなく、単に対応するだけでは不十分です。通常の業務やピーク時の活動時間帯に、何が起こり得るかを予測することも同じくらい重要です。
2026年に目指すべき姿
2025年は、脅威が必ずしも予告してから侵入してくるわけではないこと、そしてセキュリティへの取り組みに決して終わりはないことを改めて私たちに突きつけました。しかし、常に最新情報を入手し、警戒を怠らず、万全の準備を整えることで、今日の複雑でノイズの多い脅威環境を乗り越え、確かな自信を持って2026年を迎えることができます。
チームが何に注意すべきかを理解し、たとえ些細に見える違和感でも直感を信じられるようにしておくことが重要です。最も忙しくなるタイミングに備えて計画を立て、準備を整え、インフラが突発的なトラフィック急増や異常なトラフィックにも中断なく対応できる体制を確保する必要があります。
タレスでは、進化し続ける脅威に先んじるため、常に適応を続けています。Imperva Application Securityプラットフォームは、検知されにくいステルス攻撃から、大規模で高インパクトな攻撃まで、あらゆる脅威から保護します。
リアルタイムの監視、インテリジェントな脅威緩和、見逃されがちな攻撃パターンの洞察が得られます。プロトコルレベルの悪用、隠れたバックドア、大規模なDDoS攻撃キャンペーンなど、いかなる事態が発生しても、このプラットフォームはビジネスの円滑な運営を維持できるよう設計されています。
最新の調査情報を常に把握しておくことは、最もシンプルでありながら、最も効果的にビジネスを守る方法の一つです。攻撃者とその手口について理解を深めるほど、被害が発生する前にリスクを特定しやすくなります。ぜひ当社の脅威リサーチページをご覧いただき、貴重なリソースを無料でご利用ください。
Imperva Application Securityプラットフォームの付加価値を体感したい場合は、ぜひ無料トライアルをご利用ください。